HERRAMfENTAS P'AR,A LA AUDITORIA DE

LOSSI
Manuel Peleo Garcia Suenc

8.1 RESUMEN
La auditoria y la auditoria informatica tienen una dernanda cnxi~nte! crecientes exigencias rde cobertura y granularidad, EI auditor' es un I~':Y;~i limitado, escaso, relativamente care. Hay gran varledad de herramientas de auditorla --nllis 'I} ~ elementales 0 sofisticadas, especializadas 0 multiproposiro, aisladas Oc tntegr~~~ que el auditor puede utilizer para posibilitar/facilitar su tsrea, Illejoclmdro ~, productividad, aumcntando =-si couvicne-c- la cobertura de su estudio, rWu'Cimdo et riesgolerror~ con rnayores posibilldades de uutolUtltizad6n1ult-tQnl:cior.;.

Esa gran varicdad adrnite muchos modes de. cl.asH1tadun. EI1~ l~tip;~s,
principales cabe destacar las herramientus "ernbcbidas'' (EAM). hkS"'\1trtk~.(llei • gt'Sti6n (de la uuditoria)", Ius GAT (CAAT -cuyos referentes son U1EA t ACL ....Ja~ muchas de hacking cticoy los de compliance. , ,,',.'" ',
.:', ::;: , 5- ~

Las

hcrramientas

descritas

aproximadamentecon las que

:tinttJ,~'~eOlf'tZ~~ Gartner recoge.en.su e$tl,~.nllde·,m~~~u,d~.G'R(:
paITd10

cn"d

206 AUDlTORiA DE TECNOLOGiAS Y SISTEMAS DE INFORJl.1AC10N ~~~~~~~~~~~~~~------------------~

(Governance, Risk and Compliances de 200692. Dicho informe vaticina lin CA (Compound Annual Growth Rate, Tasa Cornpensada de Crecimiento Anual) ~~ 23.8% en el periodo 2005-20 10. e

Aparte de esc vertiginoso crecimiento cuantitativo,' debe esperarse tendencia hacia mas herramientas embebidas, automaticas, integradas Con CA~~a haciendo tcleauditoria; con mayor cobertura ymenor granularidad, en tiempo real ~ periodos cad a vez mas cortos.

8.2 INTRODUCCION 8.2.1 Herramientas, maquinas, sistemas, demonios

,

La voz "herramientas" que titula este capitulo debe entenderse en un sentido tan vago camp 10 entienden los diccionarios generales.

1. f. Instrumento, por 10 comun de hierro a accro, con que trabajan los artesanos. 2. f. Conjunto de estos instrumentos.P
1 a: a handheld device that aids in accompllshino a task b (I) .' the cutting or shaping part in a machine or machine tool.

(2) : a machine fo: shaping Jue((11.94 ,

. Las herramientas -par cvolucion, innavaci6n, complejidad Y "~~especializaci6n- se han transform ado en el continuo' Imas bien; popurri) de

nforme GOOl44520 de 29 de noviernbrc de 2006:

.

,gartncLcom/itJcontcntJ498300/498334/risk_rescarch.pdf ; IUlp:llhuscon.rac.csJdrncIlSrvltConsulta?TJPO _BUS=3&LEMA=hcrrnmicntl1

. crriam-Wcbstcr: htlp:IJwww.m-w.comJdictioimry/tool

..

"

. '"".,.'

I

~

------------C_A_PI_·T_U_L_O~8~,]~-r=E~Rr~tA~ ... ~~II~IE~'N~T~A~S~I'~A~R~A~L~A~A~U~I~)J~T~O~R~fA~D~E!L20~S~SJ~2~.O~7

"artefacta~ te,c~o16g.i~os~'de ~que ~os ,servimo~ para hacer (entre otras cosas) estfO tr..bajo: '" herrarnientas - lndqumas - SIstemas - demonios _ aranas _ i .... ~ nu . . .. equipos. Denotnmare genencamente a todos cstos "herrmnientas". Auuque yo 110 estaba alii -_pesc a la creencia de algunos colegas- tengo enlendido que :1. hombre se ha ~ahdo de herramientas (cascanueces, rascadores) desde el Palcolitico, haee 2,5 millones de aii0595, Previa y concurrentemente han usado hen'amientas pa~a ayudarse en su actividad los cuervos", nutrias", simios primates Y grandes snmos (orangutan, gorila, chirnpance, adem as del hombre)", Par 10 que no tiene mucho de particular que tambien las usernos algunos Auditores de Sistemas de Informacion y Tecnologias de la Informacion y las Comunicacianes (Auditores de SIT[C, ASlTIC). Cuando se habla de herramientas (no s610 de ASITIC) hay que tener muy presente el "principia ternario" esquernatizado en la figura 8.1, pero rrecuentemente conculcado. El ASITIC escoge la herrarnienta, en funci6n dela disponibilidad de la misma, de la adecuaci6n de esta al objeto (objetivo y entomo) de la auditoria y del conocimiento-habllldar] del auditor con ella,

8.2.2 Herramientas especificas, substitutivas y multlproprislto
Las herrarnientas suelen ser especificas, pueden ser sustitutivas (como dijo el bruto: "tarnbien un Stradivarius puede servir de maza") e incluso ser multiproposito (l,quien no ha tenido 0 envidiado una navaja swiss army?). Sin embargo, generalmente, el mejor coste-eficiencia se obtiene con herramientas especificas, no multiprop6sito. Salvo, claro esta, que los costes de formaci6n, su frecuencia e intensidad de lISO y el propio coste directq de cada herramienra aconsejen una multiproposito. Los gran des maestros y 105 artesanos de pro, tradicionalmente, han dedicado la mayoria de su tiempo con sus aprendices a: 1) evitar que se dafiaran con

-

91

hlfp:llcn,wikipedia.orgfwiki/Paleolilhic La fam iiia de los CUcr\'os (Corvidac), hltp:llcll,wikipedia,org/wiki/Corvidae
. .

%

~'EsPcCjalll1cnlcla nutria marina(EnhYdra lutris). hUP:!ft:n.wiki~Cdi~,org/\~iki/SCa_O\ler. ~
hUp;J/cn '\';I'kl'p edi ~I iki . , 13,or!:lwl'l(foo

r

X"',

..

limitaciones. "'-----d-e-te-r-m-in a Ia \ herramienta . En ." .inau' (metodologia) .. en funcion de objeto y su I dominic de [ la herramienta. Principio ternario de las herramientas 8.: ~ ~ ---_/ '\ .~~ -: El obieto ~ (objetlvo y entornoj/ ..2. el Prof. "optima". .nip. (no al---reves) ---"'--~--.3 La herrarnienta "perfecta" No existe la herramienta "perfecta". posibilidades Y Los grandcs artistas y cientificos.~~ EI sujeto (quien la usa) " debe'dom. con resultados revolucionarios 99 y 100. el objetivo era ella ensenarles una tecnica.J. public() en 19S1 lInl'lodes\(~ art[:u~ documentaba un uso revolucionario de DELPHI (la conocidatecnien de couvergencia prospC(tlva d\.' hltp:Jlwww. "But Marie lost nearly 20 pounds while doing her doctoral research. Toda herrarnienta tiene sus ventajas e inconvenientes. f0I111aS de usa normales y excepcionales... de In lJCLM. .' tn"que.---h~~m_~nt~ Figura 8. / I\. han Llsado/usan las herramientas de modo anormal. ... Que prim"b a . "'I Marie y Pierre Curie. ._.. Depende del cristal con que sc mire: depende de cada enfoqueespecifico con el que se enfrente su USD.. exhaustedand in pain. Iquiercaso.org/hisloryicurie/brierJ03 100 Por ejcrnplo. porque una herramienta sin tecruca es como un ordenador sin software.O!:CJ' _radium/radium_ 4. -.html... and Pit:rTC \\'i1>.1..208 AUDtTORIA DE TECNOLOGiAS Y SISTEMAS Dr: INFORMACION las herramientas y ii) evitar que dafiaran la obra con las herramientas... '" ~ArJO' . en ocasiones. .. u mas no esta suficienternente documentado._. Jose Maria Urena frances.

e sJ. en el contexto del libro. M.eSI . 1. Palao: "Propuesta de modijicacf(Jll del metoda Delphipara 514 USOen la ordenacion dd territorio ".10).) [ver 8. voy a intentar cefiirme a las de Auditoria SITIC. 101 ".(ve itoria" vease Ia firgura 8) . . .2.... I I.tO 1 meta=lr%3Dlang_en :j.?) ~ hllp:JI"" ·. para ser mas estrictos -tratadas mas adelante-) U optar par una presentaci6n en sentido lata (todas las herrarnientas usadas frecuentemente por los ASITIC y otros auditores).2.scarcl. de la au d· . :: .' Territorio.2.- i' RA·MA 8. . julio) 981. '. Aunque este sera lin empefio meramente formal.theiia.··· ' 102h!tpcf/www. es la (mica cobertura de estos ternas.4 Herramientas CAPil1JLO 8.. Urena y M..... HERRAi\1[ENTAS PARA LA AUDITORiA DE LOS SI209 de Auditoria (solamente) SITIC Aunque el titulo del capitulo reza "Herramientas de Auditoria". de Procesos.<0 :.. AI considerar que este capitulo.:.:iSuScar& .... Revista de Obras Publicas. Operativa.atchi vc&fid0:46 ..' . y mas que 10 tendra. E2'U 80019Ca··udl·t..brg/lTAuditiindcx. me he inclinado por presentar toda la panoplia.:' ~ . ya que la Auditoria SITfC iiene mucho de cornun con otras Auditorias (Fiuanciera..y\V. (Algill1 lector recordara quiza la expresion "auditar en torno al ordcnador")'?'. No se puede ignorar la que parece irreversible tendencia a la "integracion 8. Corporation) para explorar las divcrgencias de los votantes minor~larios en ~ucstiones de Ordcnacidn d.c fm7act=itaudit.pasar de ser una intrcduccion..5.2]. y par tanto no puede -POl' su extension prcvista+. r< ~. ~:".LA-und+lhc+computer'%E2%80%9D&btilG.:.l. . con el inexorable tsunami de la informatica. &- -0 . .googc. j I .5 Enfoque de este capitulo AI redactar este capitulo me cabia la operon de optar entre el sentido estricto de las "herramientas especializadas de auditoria informatica" (CAAT. q-"'Q~.<UU .: it': 1 . I t I t ~ ~[ ! l ~ t t t I' t f i.g . etc.

2..._ . '...··. uditor . I"JI~() '1001::XX}() Gu\h6n Cuhdad ISo :>l(lOl SCl~! liSil.6 Tipos Me referire...'~?~ . Integracion de ia auditorla 8.} 1\0 140C. -~ . ~~..'_.·--'.: '.I0 Ce\i!(\n Mcdli()ornblonlol Figura 8.I I I diversos criterios que creo facilitar su procedencia • • funcion usa 0 proposito • • ubicacion productividad .. . Audltona Financiera . • ' cobertura .[. "" '.. Auditoria Operatlva .] ...~ : i. ·1 de Ges ron A.\'.. pues. '_ .....las "-\ Nucleo cornun de 'Sistemas V creciente f " ..' " :"'X_"f...... a una gran variedad de herramientas Las tratare comprcnsion: • segun I de Auditoria pueden SIne. ....2. .

quejas (algunas justificadasJ y escandaloslOJ sabre la auditoria.2..Enron.. Parmalal.. haeer posibles 0 slmplificar-abarater ciertas comprobaeiones es de una gran trascendencia. "'.:. Forum FilaiCiico.. vemos como ambas se declaran lideres en el sector (siguiente tabla)..: ~ l . .. .hay poca informacion independiente (ya que sus emprcsas no cotizan en Balsa).1 DATOS DE MERCADO Los datos que propone Gartner (ver notas 92 y 129) en su esrudio de mercado de GRe (Governance! Risk and Compliance) de 2006 pueden ser una buena estimaci6n de la parte de herramientas mas cspccificas de las que trato en este capitulo. 8.CAPiTULO 8.como he dicho mas arriba de todas las herramicntashacen viable y mas llevadera y cconornica la auditoria de dertos objetos 0 campos a auditar.. . . Dichas estimaciones de Gartner para el"gasto total en software" son del orden de 500 M USD para 2007 Y de 860 M USD para 20 10. . En un mundo plagado de dudas. HERRAMIENTAS PARA LA AtJDlTORiA DE r. IDEA parece hacerlo de forma alzo menostriunfalista Y agresivn que ACL. ... En el apartado siguiente ofrezco algunos datos del mercado de las mas verticales 0 especificas (terminos que -cs de esperar+.quedaran mejor delineados mas abajo).os SI211 Esta ripificacion pretcnde ser introductoria y util si bien no' es una buena c3tegorizaci6n (deja solapes y l~~lInas).2.7 Importancia Las herrarnientas de Auditoria srnc _. sospechas. • ". Sabre el mercado mas especifico y reducido de las CAA T -y mas en concreto los de ACL e fDEA. limitandorne luego a hacer remlSlones a ella.7. Para aligerar 'la presentacion [ntentare dcsarrolla~ ?ada concepto en OC()SlOn de su primera aparicicn.. 8. . La verdad: cuando se publiquen datos ind~pendientes.~ •• '. '· '. I _.. -: '" j- ~_i(- 1~IAFlNSA. .: ". WorldCOIll. Shel'·Oil. Si rccurrirnos a las Fuentes de dichas empresas.. En ello radica fundamentalmente la importancla de las herramientas de Auditoria SIIIe.

lD~r~ln~f~tll~\!D~E~1~h~tN~O~I~~O~G~A~Sl'~'~·~~~~~~---------~I{~.com/company/ Tabla 1. digital.Jas mas amplias. ACL software solutions are delivered in multiple languages in more than J 30 countries to over 170.r.aa a. aUe/ito. 'ovider.000 licensed users through a global network oj ACL offices and channel distribution partners". of. ' 'SISTEMAS DE INFORMACi6N -= I J.. habi1idades inforrnaticas pueden recurrir a usar: los ASIT[C con lilJ En Espafia. -dit am and th 'fi" Assurance Analytics to tJ ie au. ..':: v ."eS Ltd is the leading global PI.U i systems anc. en el que recurrimos a la informatica para reservar nuestras vacaciones ~ buscar parejaque el ASITIC. recurra a la Informatica para ayudarse en su trabajo. IDE'.casewarc-idea.com/fsr. virtual. Bu'Slness S . '1'("~1'11saroU!1( 111" World" • .'C. rs clnd I ~ I p' oJe.. mg.acl. sobre todo..jlI1anclG . H'. the Big Four public accounting firms. • j. .3 HERRAMIENTASDE PROCEDENCIA AUDITORIA SEGUN SU No puede sorprender-en un mundo postindustrial.< .que han dccididosuperur el tabu.500.. http://www. . nOjnfomuilh:OS~ '. g~cias. http://www. .:.L"erVlC . .2'~12~A~l~. U. •I <"". Our international customer base includes 70 percent ~)f {he Fortune 500 companies and over two-thirds oj t.r . and lo~al governments. . ' • ~ asp '.~s ". Segun sus diversos conocimientos y habilidades. '" -l . of I iDEA. .I·r'·e. wired» "wifed". Un numero irnportante aunque decreciente'" de ASITfC son profesionales de 1a Informatica.asp?surl=/aboutus/company.' and. al crecieme numcro de abogados Y otros profesionalcs odgen. tne Ieo. por 10 que sus opciones de herramientas sonvnormalmente. Como dijo el escolastico haec casi 8 'siglos: "Outen puede /0 mas puede 10 menos ". slobot distrib' Ilfol' "Case. and hundreds of natIonal" slate.he Global. Autodescripcion de IDEA y A CL 8.II j'7C 'is the developer at dir I I ' analysis software used by accountants. ademas de eso. I c " I ciontrols professions 'e lnancial management comntunity.\ •.

analizadores de path .~D~E~LO£S~S • • Herramientas Herramientas Herramientas Herramientas del entorno adquisici6n~construcci6n de prueba (lTF: empresa falsa)105 del entorno explotacj6n~operaci6n del SW de Sistenta(SO.Con que productividad?). 104._le-st. -. Cl.~H=E~RRA~_~M~IE~N~T~A~S~PA~_I~~~. SMF logs. debuggers.. y se usan ampliamente..3 Herramientas del entorno explotaci6n-operaci6n Pero. Con las mismas herramientas se pueden auditar dichos sistemas.. Este tipo de. ikipcdia. < - . ernpleado. sc han construido todos los Sistemas de Informacion. ~~:.~~}A~ ----~----_C_A_p_i·_rU_L_O_8~.--~LA~A~U~D~f1~'O~R~fA~. :. .3.. logs) • • • Utilidades Herramientas de Internet (hacking etico) • 8. Las herramientas de prueba -y mas particularmente las ITF (Integrated Test Facililies)I06 [empresas falsas. .3. donde estan los "datos vivos" es en e I-entomo explotacicn-operacion. intruso) debe ser controlado y sup~~tsado.2 Herramientas Las herramientas de prueba de prueba pueden considerarse a caballo de los entomos de adquisicion-construccion y explotacion-operacion (mantenirniento).1 Herramientas del entornoadquisici6n-construcci6n Can lenguajes de programacion._facililY w h·· . (i... como mecanismos de vigilancia y auditoria "continuada" [ver mas adelanto]. pues el ncsgo de impacto de un acceso intrusive en un entorno de produccion es muy alto. 8. acceso (por c.~alquiera: ASITIC.~~(. etc..3. para pruebas]pueden usarse. lllll hUp:J/~n. 8. La cual puedc explotar el ASITIC que sea capaz de manejar -y lograr acceso a--' JCL.Con que productividad?).org!wiki/l ntegraled_. t lei [Gallegos 20041~p.}. SW de red.

logs.. Software de red. y tatalmente trazado." P. ~ .Con que productividad?). clare. 8. en las. A partir de un usuario auditor con acceso privilegiado audita el SW del sistema. merecerian-de haecr caso a 13 moda. se pucden segrcgar dos cnfoques: • • lntentos de intrusion.. Me refiero a las herramientas para el hacking "blanco" 0 "etico". todo esta en ciS? (0 por cncima).3.4..ITORiA DE TECNOLOGiAS Y.. se 8. 8.. Por cllo.IT1C cnpaz de lograr acceso privilcgiado a SO." . lamentablemente.5 Herramientas de TCP/IP e Internet Las herrarnientas de TCP/IP e Internet.. pucde cxplotar es enorme.3. "indagacion" y "vocacion" (incluso "obsesion") por la infonnatic-a{Y. . ya que las herramientas del sistema se ejecutan en mo(~o privilegiado. -... . La complejidad del acceso cs dircctamente prop?r?iol~al a su critieidad. quien debe comprobar que el acceso a utilidades por cl personal auditado esta restringido al maximo. pero sabre todo. conceplo tan equivoco como invasive y acaparador del propio concepto de auditoria: hoy dla rnuchas herramicntas.~ ..' '_14 A.. Lo que el AS. empezaron a apl icar (en el Massachusetts Insti tute of Techno logy-MIT -. parae! ASITIC de formacion Jnfonnatica.. SISTEMAS DH INFORMACI6N ~~~~~~~~~~~~~~~~---------------~ o· . Y para evitar un descenso de la productividad de In auditorla.. Se sabe que la accion (to hack) y su sujeto (the hacker). cuandose .Ja telefonia analogica). cuando se usan. .un capitulo del doble de extcnsi6n que este. fundamental mente de extraccion de datos=._. otras tecnologias: previa y destacadamente. emprcsas y servicios de hacking "etico" se denominan de "auditoria": proponen laparte coma el todo. (i. etc. de icctura. decadas de 1950 y 1960) tenian exc]usivamente connotaciones favorables de "habilidad". y .. '<.:.~ • ~..1 UTILIDADES Las utilidades (programas de utilidadlutililies) merecen resefia explicita Son una potente herramienta .:.UD.4 Herramientas del SW de Sistema Aunque..3.• ~~ . son la "bestia negra" de cualquier ASITIC. en modo privilegiado .

Wikipctlia. . . .~- .org/cyberlaw/library/ccfptsc. . conocimientos de sistemas e 1I11. EI mero cscanco de pucrtos cs IIC1(O en J. .I\~U:!.ado"ilicito..:.: ~ .orglwiki/Hackcr _definition_controversy .google.askmlaws. 111tP:!len \ 'iki .:. ..tv~\~J~.1·1·"-" . http://cn. En mi opinion existe 1 1a1I'orque accpcion original positive coexistc con la peyorativa...__. - le'l:n O:\S." S . sa I.:M. La nueva "horna~al' de ha. u El hacking "blanco" 0 "etico'" IU [en lugar de csa expresion cquivoca sugiero: auditor. 3utoti. de la "carga de pago": al investigador 0 mero curioso Ie inleresa mas identificar las vulnerabilidades que explotarlas en los diversos modos posiblcs (basta evidcnciar el datto que se podria haber heche)' 12. .' I' ab )ut the same as that between a locksmith between a penetration tester and a cnmrna IS at . File _ defin ilion http://en.:I.). la .htm I ill ntl! .er..ckers.wikipcdia.orglwiki/H I \ I hllp:llcn.•. ..Cr:lC Pellc/rating QiteslioJl.'.on Systems Control Journal.:. 1 "hI. Quiza la diferencia esta en la autolimitacion. de intruSO mas 0 mcnos malevolo (con toda In pleyade de crackers. . '.m:.!D~I~TO~1~d~A_!D~E1L~O~S~S~1 2~1~5 Con ~I . I'.rcsearch..200t. . . son proli ficos en la generacion de malware y capa~es de crear en tiempo record pequenos program as capaces de busc .orghviki/Hacker ackcr jlc lin ition _conI roversys.nicas que eI hacking de "sombrero negro" icrackersv: todo el caralogo de software y de malware. skills are the same. a rCllud(pcse a las dificuhades que plantean la globa I'rzacron y.llo explosive de Ia Informatica y de Internet.ticmpo ~ el desarro. . http://www...llors%22&btnG= B uscar& meta= I1"%3 lang_en 0 tiD (\111C G ':\r)' first use of the term "ethical hackers" appears (0 have bCl:n in (111 Interview with John Patrick of1~M by .corn/] ourna II sj/403/pal mer .. ]TI 1C difference " . peyorativa. esa acepci6n ?OSltiva ha VI~-a?o) parcial pero acus~dal11entelO\ a otra.:II.:n~~N:2. csl search '1h1"'cs&q =%22scri pI +gcner<.. R· ..cohorle de los SCl'ipf-kiddieslO8 campa a SllS has por eI ciberespacio. Y atacar Sistemas. Pero "de noche todos los gatos SOI7 pardos' y hay una irnportante comunidad de "sombreros grises" que unas veces se comportan Iicitamente y otras no 1\3.~ __ -- C_A_Pl_T_U_LO... .!lw'\\._S':. III k .f· Inicntras que en EEUU cs un 'acccso no . ibm . blandiendo script gener(llorsIO? y..a I It .':. tnlCgnt).w..ierencc •n apphC3110nand IS 1 . Anthem thai appeared II) a I.R:::.:.. . http://lI'wl\' .A:.:.org/wi ki/Scri pt_ k idd le 11)1 I hup. volumen <I.. ra. la I~\ 1 http://cn.htlll L I· '. ctc. investigador'!'] tieue a su disposicion las mismas hcrramientas y tc..mning. Just a vi . .OrmaclOn.org/wiki/Grcy_hal • ~1.:.lnfonnat.·~rl\~S~p:::A~. ~.:A:. par el "sombrero blanco".. sin grandes aoC • d' r . II: Oil und a . • ..II . lpedm..• ' ..' comas que la cnca. phreakers. '. ..:. ". J line 1995· -ISSU' of Cornputcrworld». h' ... :' .wik ipedia.. .largon.wikipedia.' .1 Ia (r· ersidad de jurisdiccioncs) importa aqu! 1\1.

coml ::'>-. pmllas tn.penelralion-!CSling. a cs mctodns ~ II estan en continua cvo Iucion.cqulvalcntcs 11 .sn~as. Son.r Ulg('~'lmos Y metouos. lj "patente de corso". La tab I.-. cu. ._5 (cuferni os \.1 (vcr "agll'" 217) rcsefia . .wHlo..mJitorla de \·I1~ncr.i:- .. prueba de ev aluacion de ncsgo tCCJ10r6g1co". "evaluacion tic segurldad"...I pro10<0105 ".. aunque ~ IIICIUido aigullos c"nlOlldos . u pcnetmclon": ·'. hllpJ/www. • ldenti ficar: o aplicaciones sistemas operatives SGBD (Sistemas de Gesti6n de Bases de Datos) Topologia de red o o o • Explorar: a o contrasefias servicios • • Adquirir versiones y sus exploits o privilegios • informacion control • IJJ " '..cmlsn. simpl i ficadameme. C"'"O WIllits).on Iii" ..' I "'I' J enran emu at' as mctor os l C os pntlclpa cs al:lt]UC!'l connell OS..' at r". J .eti co" in 1>•I II "1 . .lOs) .. " . 10 que dilicllita 01 i nte 01" de rcsc nurlo'! en II~ libr.J~Jo. 8 ..• ml.Iandur.. .. e Las prucbas de pcnct rndbn (p.. del hacker.c.• ' aJellca~nentc (OS ~~nlcnarcs de I • ~nas importantcs (he proclIraJu cxclll.~ suelen proponerse subrcpt iciumcntc objcti vos que.'9' l:. gencncos. Las herramientas _illdepcndicnlcmcntc I r I del color. t cml..216 AlJDlTORL\ DE TI~CNOLOGiAS Y SISTEMAS ()E [NFORMAClON un paralelismo macabro con los plratas Y los "corsarios'' es decir."I(}'\'/8"'I) de I httcki "K ..:".

Lynx.ast. Userdump. Bindery. Pazcan. Nikto. Security Check. Packet rafter. Bubonic. Hunt. Rootkit. Ethereal. Root. 'l-Sight. Jad. Herramientcsde hacking : :-: . pof. Nimda. Pretty Park. Queso. WcbMiTM. SubSeven. Pandora. ADrvfutate. nmap. LanManagcr Hash.. Cheeps. Cain and Abel. CookicSpy. JilI32.otros metodos de hacking: scanning. TARA. Webspy. GetAcct. LogAnalyzer. TCPView. Spooflog. SQLbf. WebCracker. SSPing. Winzapper. Inzider. WIll~CPKilI. SQLExec. Shaft. SQLDict. Back Oriffice Plug-ins. Netscan Tools Pro 2000. Elitcwrap. Chknull. Backdoor. Bo. SpyAnywhcre. directmy traversal y SQL 111JecllOl1. eBlaster.t '. Pinger. NBTDeputy. NAT. SID2User. Varient. IlS. vVS_Pmg_Pro. Cherobyl.'- . YerSll1ia. dsniff. dskprobe. Win'Irinoo. \VIDZW~reless IDS. 5MBDie. Graffiti. Tripwire. IKS Software Logger. s'Term. Winfnnnp. User2SID. RPC Locator. nS5-Koei. Wget.Rustock. Targa. CPU Hog. Read'Cookies. basada en Google. AiroPc~k. Burglar. NTInfoScan..exe. B~~kOnficc 2000. Loki. ManlnThelvliddle. eJlUf/lerafion. Visuall. NeoWatch. .\V32/0paserv Worm. Camera/Shy. uggernaut. SQL2. lconPlus. Tabla 8.~. TrinWire. . 5MBRelay. Sam Spade. QAZ. SnadBoy. NOVEL8FH. MAC Changer. Neo'Irace. IPSECSCAN. Smurf. Netlnterceptor. Antispector. John the Ripper. hk. BjnCrack. Ettercap. Fuente: elaboraci6n propia.NLM. Novelffs. Land. TFN. Silk Rope 2000. IP Watcher. IIS5Hack. IEEN. Code Red Worm. Tini. URLsnarf. StegDetect. HTTPort. . Elslave. pcAnywhere. Bugbear. Wrappers. 'mailsnarf. Trojan Maker.. entre . Trinoo. r: ~~. TCPReplay. . Spector. Black Widow. ARIN. IDS Detection. Snifffret. AirSnort. Gobbler. Getit.. TFN2K. 5MBRelay2. FireKillcr 2000. icmpenum. LOphlCrack. W32/Klez. Stacheldraht. Donald Dick. Whisker. Sockst'hain. HTTrack Web Copier. SMAC~ Smart Whois. Kock. footprinting. Auditpol. 1\ CAPillJLO 8. passwo"d?l~ess~ng. Hping2.1. N-Stealth Scanner. IPEye. WebSleuth. 5MBGrinder. Traceroute. LNS. GetAdmin. SQL Slammer. EFSVicw.' :"? : '~. Weblnspect. I Love You. Code Red. SNMPUtil. SARA. Snort. Hard Disk Killer. KerbCrack. SideStep. cURL.. lmmunix. Dumpxec. Brutus. Nessus. EtherFlood. mstrearn. SYN Flood. fPort. IRIS. NSLookup. Whack a Mole. nbname. SETPWD. Process Viewer. Enum.Zombie Zapper.Sniffcr. disabling audit. SolarWinds Toolset. NWPCRACK. Net'Turnbler. NetBus. SQLSrnack. WinDNSSpoof. Munga Bunga. THC-Scan. PassList. Find _ddos. Snow. frJgrouler. sniffing} buffer overflow. \Vin Nuke. RID. Userlnfo. ObiWan. WinS~LMiM. Melissa. Ping of Death. WinSniffer. Etherl'eek. JoIL2. Wireshark. ArpSpoof. Macof. TTYWatchel'. HERRAMIENTAS PARA LA AUDITOR!A DE LOS SI217 Para ello se usan. ESM. Legion. Hardware Key Logger. Whois. Kismet. eMailTracking Pro. CyberCop.r ~-------------------~~~~~~~~~~~~~~~~~ f r i. Netcat. DDoSPing. NIDSbench. StackGuard. ExploreZip.

pero puede no protcger Jos mtereses "personale 1.O~R. sitios Web can las bases de datos de inscripciones basadas en motor Jet (Joinl Engine Technology).txl.:r:.contadorwap·· +: COIn/ .:. con rnucho..EM~A::. mas usado par los .4 HERRA}VIIENTASDE AUDITORIA SEGUN SU FUNCION .//\\ ' .2. de los empleados. por ejemplo..1.S.. os U:08 que e c . Vcr hit . que puedcn sufrir un ataque de "Man in the Middle" durante sus consuItas bancarias...pese al aumento ?e. ro cts.2 y ss.. y en cntomos y CI rcunstancms tan d iversos que "tipi fi " ) P .6 Herramientas especiflcas de auditoria y herramientas ofimaticas Constituyen.php b . 1SIS • e liS . y es posible que una red proteja adecua~arnente los JJ1terescs emprcsariales que la sustentan. . eI mayor peligi 0 se encuentra en I ~ed interna. p: "\\w...:.~ auditor da a las hClTamientas que usa es una simp)' f . Los ataques mas simples tienen un .NonnaJlllenrc.. .~2~18~A~u!!o~r~ro~R~iA~D~E2r~EC~N~)O~L~O~G~i. que sigue desprotegida ante un atacante ?vezado ~ acompafiado d a "Cain y Abel".6. vease en Ia tabla 8.. lcar.. ... el conjunto de hcrramientas ASJTIC.::..u:...:IN:.3..:::D:. 8.. Se tratan en mas detalle en la seccion 8. situadas baja directorios no protegidos.~_1I\_C_~I_6_N ~ Me parece relevante comentar q. " ~a ~ud~toria es u~a activid?d profesional (discrecional) tan am Iia con~plcja.::E. .:.gran impacto SI se realiz~Hl en u~ entorno local. Otro punta a considerar es el hecho de que Google es considerado I principal herramienta. La capacidad de utilizar la potencia de un buscador capaz de indexar todos los contenidos no adecuadarnente protegidos 115. 1 IcaClOn rayana a la cancatura: • captura de datos analisis de datos combinaciones de captura y ana')'. mediante robots. 8...l hacking externo en zeneral y de las medidas de control pen ferico..S~IS~T!::.f~\S~Y.

218 AUOITORfA DE TECNOLOGIAS Y SISTEMAS DE INFORMACrON ~ Me parece re~evante comentar q. sitios Web con las bases de datos de inscripciones basadas en motor Jet (Joint Engine Technology). 8.6.por ejemplo. C mayor pc rgro se enclIcntrae n red interna. ' . que pucden sufrir un ataque de "klan in the Middle" dUrante ~~s consultas bancarias. La capacidad de utilizar la potcncia de un buscador capazd . .php .3. mediante robots. . Se tratan en mas detallc en la seccion 8. . C IIId exar todos los content id as no a d ecuacd amentc protegt id os 115·. 8.6 Herramientas especificas de auditoria y herramientas mas usado por los .' e~s~ empresariales que la sustentan.txt. situadas bajo directories no protegidos.4 HERRAMIENTAS FUNCION DE AUDITORIA SEGUN SU La auditoria es una actividad profcsional (discrecional) tan amplia y compleja.u~".coril/robots. y en entornos y circunstancias tan diversos que "tipificar" los usos que el auditor da a las herramientas que usa es una simplificacion rayana a la caricatura: • • • captura de datos analisis de datos combinaciones de captura y analisis IU Normatmente.2 y 5S. ' J". ofimaticas Constituyen. lnt 1) Otro punta a considerar es el heche de que Google cs cOrlsiderado la principal herramienta. Vcr hllp.1.pesc ~I aument~l?e.//www.e! conjunto de herramientas ASITIC.1 h~cking extcrno e general y de las rncdidas de control periferico.. vease en la tabla 8. que sigue desprotegida ante.2.. con mucho. un atacante ~lvezado ~ acompanadollia "Cain y Abel" Los ataqucs mas simples ucnen un gran unpacto SJ se reali2'ln de entorno local" y es posible que una red protcja adecuatlarnenre los en un .contadonvap. pero pucde no proteger los intereses Hpcrsonal de los ernpleados.

:~ .'. 0 menos automatlCas-· ) en . ).CAPITULO 8. Las herramientas para obtener muestras pueden ser de procedencia. naturaleza.. segun reglas mas 0 • un filtro que selecciona complejas. cornplejidad 0 ubicaci6n muy diversa. marketing y auditoria. . aleatoric. La (mica exigencia (a menudo incumplida) de un procedimiento de muestreo. u. ..' .. 0 (Computer • una herramienta GAS (Generalized Audit Software)/CAATT Assisted Audit Tools and Techniques). tratadas en 8. captura datos.. mas ga 1 I . .) es una tecnica estadistica de la que se sabc mucho y -par desgracia+se abusa rnucho (par ignorancia de quienes lo hacen).-I' .4.1Captura de datos Estc primer tipo de herrarnientas recoge informacion. banalizacion y abaratam~ento de e~u!~os infonnatic~s. 1l131'Carciertas entidades( clientes. una. en este caso permitir el mas fecundo usa de las leyes de la Estadisticaes que sea un muesrreo estocastico. registros en un log. utiJizados -como serafl Id esenca demantes de acci . Las buenas practicas de muestreo han contribuido substancialrnente en el ultimo mcdio siglo a enorrnes economias y aumentos de productividad en gestion de la produccion.:~ ~ :". accesos. ciertas transacciones. ' .... 'J!osldisparadores en e acetones. " .. ImRRA~lfJENTAS PARA LA AUDITORiA DE LOS SI 219 i I 1 ! 8.4. productos. cuentas . para que genere la maxima productividad -. fase posterIOr 0 stITIU tanea. que .. simplemente colocar una "bandera" (flag) en un campo de la BD para ". • men os . y la ilidad de GAS/CAATT potentes y amlgables posibilita explorar universes . disPonib~~ difusi6n. Puede tratarse de: • una rutinita de 'diezmado' de un log. usados (analizados.. ~..4.1. interpretados. ~. 8. control de la calidad.2.6.1lVIUESTRAS El muestreo de una poblaci6n de datos (transacciones..

con grabacion y timeSfamp) es una variante del muestreo. 15.. registros. tecnicas de alerta y notificaci6n (sinopticos. ncwc.rat I. wild pcdia.n II IIIIp:flfacu]IY.(poblaci6n total) en lugar de limitarse a muestr~s.ientas.. .2 VIGILANCIA La vigilancia (en "ticmpo real". en su Axioma 2. . hl1r:l/en. etc. menssjes email y sms) y de escalade (gestion de incidencias y crisis) puede ser !TIUY elevada y cornpleja. Wiky rlusinc$s Dal3 Processing Library." e-ervrcc l. orensics..1..org/w ikifDma_ analysl s_(in format ion_techno Iogy) In.) hasta una muestra reducida. Entre tanta sofisticacion no esta de mas recordar la recomendaci6n de Benjamin. 0 "difcrida".eve IAgreements> .4.. 8110 permitc.:. p.1.. de hacer que las herramientas de vigilancia del 'sistema de aplicacion" vigilen eJ grado de exito de la aplicacion. been criticized because they reach conclusions based upon limited samples".4. Iutp. Il>i. Las herramientas y las tecnicas usadas. accesos. fichcros ternporales relacionada con ella 0 ~on el i!f . New York. '/ www. I' _ .:'111~s)'~. Puede (de Iransaccioncs ' La sofisticaci6n de procedimiento$ Y herram. metricas de SLA 111. Acuerdos de Nivel de Servicio. abarcar desde el universe 0 poblaci6n total registros en un log. f' . en funcion de los mismos criterios de exito con que se justifico su necesidad. Robert I: Control of the Information System Development Cycle. lave.hun .I' ttors . 1971. DcnJiU~lII. . las 8.crn ~c~jg~cr can produ~c within the system reports thaI will tell .ed u/toconnor/d 26/4 261inks. 8. 1'. filtros (incluso de lnteligencia Artificial). En todo caso deben ser COJ1sideraciones que lleven a la especificacion de la muesrra 0 c!e riesgo y de productividad cl unlverso.."x~om~.· HOllO /1 all. whether the system-is a SUl'CC5S . IH. supe~ar fa crftica tradicional de que los auditores basan sus concluSlOl1CS en muestras JIlTIItadasl[6 ..3 FORENSE Una variante especial de la recogida de datos es la forense'!".. ademas de no alterar la informacion recozida ni 13 indirecta logs.

en --8 9 sc recozen " g .d ella d e ensoe--I' d-e .'IA CAPfTlJLO 8.t 13-.0 ese caracter s610 10 tienen sus usuaries? Perc SI cabe. Iegitimos 0 ilegitimos -: : "'. -I d e as herramientas 1 forenses mas 8. en la sccci6n 8.2...5 JIERRA"MTENT AS DE AU-DITORlA SE~UN SU ~ PROPOSITO usa 0 No es estc el Ingar para (intentar) zanjar el debate sobre In "neutralidad" de las tecnicas 0 herrarnientas: {. Un ejemplo de vigilancia-analisis cooperativo diferido se propene mas 8. aludidos mas arriba) 0 ser diferidas..\..4. !.1 AUDITORIA COOPERAT[VA adelante._.2 Analisis EI a~alisis 0 interpretaci6t. incluso con horizontes muy ampiios. Las Herramientas • • de Auditoria pueden usarse para: Auditoria SITIC Otros usos.i6n (alertas y gestion de incidencias. al menos..\.In integrl~dad de Ia -.-. HERRAMIENTAS PARALA AUDITORf" DB LOS SJ 22f Proceso de . recordar In cuestion. desde haec tres afios. de un determinado (grupo de) fichcro(s).4. .3. deben perrnitir probar .l y evaluacion de la informacion rccogida puede SCI' concormtante con la rccogida de In informac. recogida la evidcncl3. Un ejernplo de escenario de "analisis muy diferido' pucde ser el caso en que una auditoria rutinaria detcctc una debilidad irnportante en una prueba de cumplimiento y ella mueva al ASITIC a desencadenar una prueba sustantiva (total o por muestreo) sabre eI h istorico.---- o R.a gtlOHS En la scccion divulgadas.tiencn carga moral? (. Un ejemplo de escenario de "analisis diferido" es el analisis de ficheros con motive de una auditoria anual 0 semestral.6~1. 8..

"D J d .._·. erec I I I I tarjeta 10 e a TIC.' -. 100..'. realizados por empresas aparentemente correctas.:.TE!:'C::.6 I1ERRAMIENT AS DE AUDITOR1A SEGUN SU UBICACION . auditoria: detecci6n de fraudes. "perfilado" de clientes.biz. Aqui clasifico las herramientas en dos grandes categorias: .. con mas ..::O::. .:::.:.'Jl0 rol. . normal. aparte de las intervcnciones de control de directives y supervisores.2 Otras Auditorias.!. . ..Rlbas.! I i I mas presion rezulatoria del mundo. 8. 22~22~A~. Auditoria Operative..' exccsiva• prolifn..IN. dedicadas a trafico de direcciones.IllS que CLlI '. -----.. • cumptimicnto .2Y.5.de Landwcll Pricewaterhous ex. sin mencionar las intervenciones de las Agendas Reguladoras". togas..: visita". con IISegtln un estudio deJa OCD~.:.T~O~R~iA~D~E~i.' .. . del "lado claro". &. Auditoria LSO 9001: 2000.Tavler. 1:1'. y del "lade oscuro". ISO 27001..ooners: "E=. Espana es uno de los paises . ISO 14000.::..' .1Ole £oop ers: ' irmen irnpll . ~ Q ItA ".1 .I .:.:. t 8.000 normas VIVa$. Tanto mayores cuanto mayor y mas diversificada es la empress. ctc...'..:.5.1 Auditoria SITIC' Es la utilizacion y dellibro.5.~D!:P. CSA (Control Self Assesment) y circulos de calidad..[I • .. La Vanguardia 20070726. 'dan de .. coordinadas la SITIC 0 no (usualmente no) con Se dan frecuentes e importantes solapes de "albarda sobre albarda" entre Auditoria lnterna y Externa. Auditorfa de Cuentas. p.raClOn d C agenC. ..3 Otros usos Cab en otros usos: • Legitimos. 8.• . d.lf'..U~D~I~.. donde las herramientas de auditoria pasan a ser un todo con el malware. Auditoria SITIC.I_ON_.O~G~A~A~S.I consen tirni .S::' L~ST~E~Jv~IA~S:.!N~O~l~. a la etc. la contemplada en la generalidad de este capitulo 8. :. aplicables )' una . de . ."..F:.::.___ _ __ ~:... 1 i Este apartado se propane tratar las herrarnientas de auditoria en funcion de su ubicaci6n 0 integracion mayor 0 menor en las aplicaciones 0 sistemas auditados..:"'t\.l1 '.C. . • Iicgitimos. pero ajenos investigacion dcmoscopica. ..R. Socio .

que he ido sefialando en apartados anteriores. estan directa y cspecificamente disefiadas al servicio del auditor y la funcion de auditoria (con Ia obvia excepcion de las herramientas horizontales.$ "t~JAA2. Vida . que tambien suponen significativas ayudas a la productividad). sinopticamente. HERJv\MIE'N' .£!J£D£!9 de ru.. . ' 0 no.9 '-. Naturaleza "ciclica" y "administrativa" del ciclo de vida de la ASlTiC Aunque. se trata de dos polos. • exentas.l~{LcjJ~. evidentementc. ~~~--------------~~~~~~~~~l~A~S~P~A~RA~L~A~A~U~D~I~TO~f~{j~A~D~E~'. aplicac" Jon 0 .~·. y iii) sefialar el &.I . interactuando sincr6nicarnente .{(2~~t..3._Q~Jg(l en ~.I?allegos 2004). C. p 94..periodica). de Vida' prop~esto en. con elementos (fu n damenta mente arcJuvos de datos) de till . intermedios." n- :I (lnSp!radO en el'ClclO. ofimaticas. como modules de una ( . La figura 8. . .wJllg.@ §lCW ~Pl1£i!!tle. I' " .) Figura 8.if" CAPfTUlO 8. ii) el muy importante peso relativo de las tareas administrativas en la totalidad de Ja carga de trabajo de Iaauditoria.3 propene. 9.[~JO~S~S~I~22~J • ernbebidas. existiendo muchos casos Unas y otras intentan responder positivamente a Ia cuestion de la productividad. a ap IcaClon 0 SIstema. una triple reflexion: i) la de la natumleza ciclica de la auditoria discreta (que esta mas clara cuando es adcmas.V~lQ~~r 'CicIo de Q.' SIstema.tr.

Auditoria continua (0 muy frecuente).F'" J Presupuesos t " ~ De 13 reflexi6n conjunta sabre 13 figura 8. ' .214 r\UDlTORiA DE TECNOLOGfi\$ Y SISTEMAS DI~ INFORMACION elevado acoplamiento Rlesgos Y a -ase .nar \1 " ." esta vra para mitigarlos..\. • integrales de auditoria administrativas Y las tecnicas.'.3 puede concluirse que 'sc t ender' . que existe (debiera 111 cxistir) entre la Fase I Evaluaci6n d C .s ".4. I. Prospectiva Auditoria SlTIC 2007 ." . Paquetes en la figura 8.zar Automatizada Embebida Ambito Integrada Figura 8. de lonna que Ia. que "integren" las 1a b ores Esto pretendo esqucmat.2017 l:t EI prcsupuesto a o d be Direccion $(. por 10 tanto. 11 f: ')' duci I' eel fl6 correccion y can e a aCI ite re ucir e nesgo. . de los rccursosque esta dispucsta a asig a .~ seren Ie~de os nesgos que ue 'r " c rresgos..1 conscic asienar I·' In auditoriaa asumc f a resultar de la e a Iuacron dc ri .4. y. hacia un 050 creclenle de: a • • Auditoria integral. . que acorte los ciclos dete '6 . que minimice solapes y lagunas de unas Y afras intervenciones.

...:NO ..:. porque: "Most current commercial ~pplications coul~ be c~s~omi7.4...".1Herramientas embebidas Se trata. en la captura y mas discreta en la periodificacion del In Sobrc todo construidas..independent of "on .__-'---.1.2 AUDITORIA inevitablemente con otras muchas) importa particularmente forenses (vease 8.O~S~I~U~~R~b~A'~. cuando se pretendan CONTINUAJAUDITORIA EN LiNEA EI objetivo. I'mua.. 20071 p.)...6. . . !I l\ I'AHA LA AlJDITORiA ~~~~~ SI 225 DE LOS • '" 8.:. continuous c ni .c. [eRM.:>.c1 1"11 • I' "11' t " 1S nile as a qUIrI( as -.. .101 SIS erna prinCipal..". ~ .2. [CRM.6. p.. t. 0 bien que durante el hacking etico.. y puede quedar "quemado" como auditorl) 0 par el buen hacer de los desarrolladorcs.te de hcrramientas COl t . normalmcnte por requerimiento de un ASITIC que ha p~rtlc.emision del infonne"o ser l11£lS continua. . norr.'. morntonng and auditing take. IVI III onzacton conllnua y au rtona. 2007]...6.lpado en el proyecto (jcomo consultor. ~ III Monit iz '. conlinllOU· s con t· ro I or morutonng ae I'rvr't"I·'S • When both continuous.4. 47. ·0· .l1almcn.1..l. como en general hacen los GAS/CAAT (vease 8. de la presion auditora (riesgo de auditoria acotado y 8..1 HERRAIVIIENTAS INTRUSIV AS Y NO INTRUSIVAS Intrllsivas (en e~ sentido de que insertan en el sistema algun servicio para generar logs."".... 47.d wit~ such features: Howcver.: asslJrJIlCe can be established". cost and other considerations and the technical skills that would be fCqu\fC~ ttl.. 'V\. por ejernplo.bhsl1 and operate lhesc tools tend to limit the usaue of embedded audit modules to specific fields and applications .C.place. .. "i··· . ' di '.. Esta clasificacion (que --como otras en este capitulose soIapa 1! ... -..I'~A§_~.~. ji j tecnicas bajo condiciones 8.~~~'~~. i / d " .con ' . ..~as he~r~ll!ien~~scmbebida~ ....3). Puede abarcar el cicio completo "captura de informacion .al tiempo que la ap IC?C. dejen algun tipo de traza.represclltan probablemente la mejor apuesta por la sostenibilidad presupuesto acotado).. .' _ "' _.."'. .6.~. simplcmente.. 10 m iSOlO "'""Continuous aud iti ngshould be .__ ~__. es asegurar que (el creciente nurnero de) las transacciones en tiempo real se bencfician de monitorizacion y controles tambien en tiempo real 123 • La auditoria continua exrge serVlCIOS ell linea" Puede ser total 0 por muestreo. en este caso probablemcnte son mas de vigilancia/control interne).i No intrusivas (se limitan a leer y reprocesar).r __ ~RA~:~~1~A_. ... ¥ - ~C=A~I~li·~ru~I~. ••• • .I~'~·N!. cst~....

en la direccion correcta. s610 se producira. Y un camblOde cullura para.nnas en tlempo. el dalamining. 1:4 [eRM _0071.tlca os . lnforrnation .el impacto de ciertas amenazas. una transmision pirata. I . : :. periodicas 0 continuas. Las condiciones de exira para una auditoriad continua son estrictas: i) alta ~. si nos han instalado un spyware para transferir a las 00:00:00 ciertos ficheros. . las CAA T..h tm. real' ' ") Y) .·03 . Sarva. p.. y -fundamentalmentelos modulos embebidos (embedded audi: modules EAM). f automatizaci6n de la detecci6n. • . 47.fJ [eRM 2007). Use t~~hnology 10 actually audit as opposed 10 using technology to automate manual auditing procedures. ') i15htlp:llwww. 2 .1. • .:": . esta en la rcdacci6n de las reglas de los filtros automaticos. si nuestro cicio de detcccicn-corrcccion es de 24 horas. III exec ente y agil inlerfaz 26 con los auditores (hu.Asl.C~' •. las redes neuranales y el XBRL.. naturalmente. V er tarn bilen: . . (jOjaUl todo fuera tan simple y facil !). 47...IAS DE INFORMACION ~-~~~~~~~~~~~~~~~~~--------------~c:~. debe ser inversarnente proporcional al periodo de la "ventana" de detecciones. In IA (Inteligencia Artificial). -r 0 I': . los datawarehouses. el futuro. con filtros SOls. informe -que sera ma~ frecuente qlI~ trimestral. .5) presenta un modelo actual.qu~. las herramientas de consulta (query). los SaBD (DBMS)..podria dernandar recursos y trabajo significativosl_~.nyss.6. Sv'>lcms control. p.. Srinivas: Continuous Auditing Through Leveraging Technolosn LV' In V olume 2.orglcpajoumal/2003/0S031dcptJdO'::41'.26.3 AUDITORiA DIFERIDA "COOPERATlVA" EI cjernplo que sigue (figura 8. 10 .. como rnucho.. al lapso (usualmente superior) entre detecci6n y analisis-accion. La auditoria continua es tendencialmente esfuerzos y tiernpo para hacerla realidad. 8. Las t<~cnicasde auditoria continua recorren: el registro de transacciones.2006.05. AUOiTORIA DE TECNOLOaiAS Y SISTEf'. quedan muchos Quiero insistir en que parece evidente que -3 igualdad de otras circunstancias+.3 3. I II herramientas de audilOria avanzadas y parametflCas..cpa..manos) altamcnte cualiticadosl . y -sabre todo-.. Y IV) con minima estorbo al auditadol27• La mayor dificultad.

agmentaclOn. Ita .. ~1Todo. . Ejemplode Auditoria Cooperativa / Al hi 10 de este ejernplo. e acompariada de una . .trae (en trempo real 0 diferido) del . ( saccion . al '1 .. Web envia ( ~ 1Iditad 0 In trans d " .~~~~~~~~~~~~~~!e~~~ LOS SI227 c. .__ Ta_I:J_U_la_r"T"e. en la figura) -de forma crecienteno tendra dircctamente un humane en uno u otro extrema emisor 0 receptor. por ejemplo). a ambos.§:1lgo 0 muy dlterido I Figura 8. . LO H. SohCltu . Cada vez mas. xu 1~ el fo~mularJo cumplimentado S mcorpoi a a su informe..i i .:.:.. ... de esos sub-universes de transacciones entre motores es In auromadzacion del arbitraje financiero.RA:. SOl . empleand.5.oopcrativamente- retorna el fot al ! I t @ Selecciona. a e aquellas qu .. dUna aplicacion . Un ejcmplo.este proceso '. habra mas transacciones iniciadas y/o finalizadas por "motores".'.'~ .ex..e -segun un "criteria" (tan .:.. entre muchos. I'· ..El a. - I ASITIC.. mUSlin mente a to a por sospecha de frao . I ...sp.. qUlen tabula las respuestos y las . ldenufican casas de desequilibrio.es. univer. en que los motores de las entidades financieras exploran los mercados. con CAAT If CRlTER 10 una muestra de transacciones muestra Aplicacl6n Web (emile la transacci6n sele~clonada al auditado e incorpora 'mascara' (pelicl6n y cuesuonano) 1· "-. anoma as (par tmporte . . IIERRAMIFNT . e explicacion y un forrnulario (. ~C=A~I~li~TU~~C!.so de transacciones una muestr.. d ... ..:l_as~_ _J @I I . . ~uede~desencadenars~ -punto 4 en tiempo re~r w .1anzan. Nonnalmente la actividad de estos . . ' 1 Plcsuntanlcnte 'I . O .. AudItor .. los analizan y -si cumplen ciertas condicionesprogramadas-. ' camp IcJo cuanto sc desce )_. quiero serialar que el "universe de transacciones" (1. u.respuesta.uditado --{. I\S PARA LA AUDITOHiA 08 El ASlTIC. automaticamente las ordenes correspandientes.:_M~A~.. . una CAAT . 10 que par la naturaleza y volumen de estas transacciones recabara cl usa de herramientas de auditoria mas eficacesy eficientes.__.1:. .

. ". exentas (no embebidas) constituyen. Todas las herrarnientas se usan ampliamente par los auditores./ SlIpporl the compli .'" ar 1.. I vrt' hIlpJ/www. . . .6.pdl: p4. Las herrarnientas conjunto de herramientas 9.2 GRe de .8. ".are 128 EI umplio empleo en la aud ltoriade. tras el cual entran ell reposo Y hay que rearmarlos ( resetearlos ) manualmente. - .. . . omo todo 10 que yo incluyo en I~ 9. and legal" 1.. .lf!_!:"""II. .. a un ~ierto n~nn~:ode transaccioncs. ' . /'...1.6. y ii) de herramientas espccificamente disenadas como de auditoria. . '.. . 8.~29 Para Gartner.. .. .. . por diseiio prudente. -.gurtncr. titea. eneral d Illite cmradas (capturas) propias• de los sistem as d e Vtgl ancla· 1"9 a "1 .. estas herrami . .2.1 k' p. G()Vf~rI1CmCe. .2 I-Ierramientas exentas Esta seccion. consldcftl..2... tareas frccucntcmcnte rcpctitivas. . ... ranee management.. s. sobre las que pueden hacerse "integraciones" de productos comerciales espccificos de auditoria.1.comhl/contcnV49830()/498334/ r. entas otlmaticas se justifica por razones de produCIJ\ldad en . . 8.1 Gro upwa re EI groupware son aplicaciones (0 suites) particularmente diseftadas para eI trabajo en cquipo (basadas..2.' ."_ .motorcs esta limitada. . process.1. " ~I '1softw. fundamental mente. integraciones' para Auditoria ~I ejemplo mas ~onocido de groupware SITIC. con mucho. Risk and Compliance (GRC) puede incluido en esta cate goria of rna. .6.2. . ..6.1HER. f1s.6).2). Software ojJeril1<'s in the GRC /1. en nuestro entorno) de herramienlas ofimaticas!" (figura 8. en g~ .6. f51. se propane plantear principalmente: i) el amplio usa por los ASITTC (como por cualquier otro profesional -e incluso ciudadallo-.cnntrols automation at I . . 1. 51 bilen. GRC es una categorfa Ian am lia c . . es Lotus Notes. audit maflt. hay en el mercado 8.'-ona nss management._research. de relntiva mayor extension. ooeratto .8. 1 i1'~ ana 1 ys/s. " . "..... l\'o In 0..RAMIENTAS HORIZONT ALES (OFIMATICA) ofimaticas Mcrece especial atencion el groupware... .. .«''(1\ ".3..! parcialmente . .JiJ1l:l11~ a .II mOmlarlllg •.. .. en un SGBD y una aplicacion de workflow). el mas usado por ahora por los ASITIC (ver seccion 8.

. Su producto Auto Audit" es una conocida herramienia vertical de gestion.audinfor.6.rvrsystems. Se declaran especialistas en cumplimiento.9.2 VKRTICALES Qesti6n ::>=-0 lIERRAMlENTAS vcrticales.paisley http://www. Actualrnente Gesia 2000. gesti6n del riesgo..2.cant! http://www.Entre Internal Audit Workflow Technology.2.8.'':'. '" :. ~ '..6.. :":. ..3 I-IERRAlVllENTAS VERTICALES DE GESTION Emprcsas par tipos: o Unos ejemplos (ver tarnbien 8'. Protiviti Inc.." . ..de gestion se in~linan hacia las horizontales v el groUpl1>'are ya tratados. " '.9). Quiza si seftalar la nnportancia que las grandes finnas de auditoria han concedido a sudesarrolloy uso]... : . 8.he~aI~ientas mas tecnicas. sus tccnologias: • • RVR Systems. gestion de vulnerabilidades y configuracion..protiviti.. rendimiento operativo y gobernanza TIC. Las m<ls. ". • BindView.com/ • Paisley. • Sistemas Expertos (SE e IA) [demasiado ~llmeroso~ y disperses para dar aqut mas detalles. Consultores de gestion de riesgos. gestion de directories y accesos). pueden serlo mas de Las .. a mas especializacias. : : ~: "'l . Su plataforma R VR admite cualquier coleccion de marcos.2. Adquirida en 2005 por Symantec.4) aunque caben otras (como SAS y SPSS) no especificas de Auditorin SITIC. Las mas tecmcas consisten fundamentalmente en las GAS (8. Se define como una empresa de GRC.com/portaVsite/pro-us/· http://www. Algunos Ejcmplos de Productos y Audinfor -el decano producto www. estandares y normativas internas y soporta nativamente COSOy ComT. Software de curnplimiento de seguridad (gestion de politicas y cumplimiento. ~ " ~ ~. Empresa de GRC.com! espartol-s-..6. .....

ocasiona\mente integradas en suites)..e. ~T~EC~·N~'O~l~.ST.SIS (1DEA). I:> '". Cliul} slid :.:::D:.2.. deteccion .\I..tripwire. Audit Command Language (ACL) hltp'/l.I~N.. Herramienta PricewaterhouseCoope..rs. por 10 que suelen ser invariantes de \05 programas y mas objetivas en cuanto a los datos (que en general es \0 que importa.nc13e (repeticiones 0 \agunas de nurneros de factura.::I~:iv.:' ~ ~RA • o TeamMate.FO-=-RJ\.cascwilre-ldcil.\~1!!. 0 siga autOlmiticamente una • c~\cuto.co clauil.comlindex.. los tres terrninos se usan como sinonimos.O~G~Ji~A~S~Y~' S~I::. . que pueden resumirse en capacidad de: • hnportaci6n de datos (no inrrusiva) de archivos en una gran variedad de soportes y codificados segun una gran variedad de estandares.=..X"~ ..13 s de co mer d enC13S (d e una cadena) a comprobacion 0 e de secu. resultado de aplicar una fOnn~la (hP? "Excel") a los campos originalmente importados.aspx'lbhcp= I Interactive Ana ). siendo CAAT e\ mas usado._1_A_C_IO_· N________ 2~O~A~'~1~)l~T~O~R~i. opcion d~ que 1a extraccion sea cornpleta de muy diversas pautas de muestreo. 8.4 HERRA1V[IENT AS VERTICALES TECNICAS Las herramientas verticales tecnicas que voy a referenciar otras mas genericas. buen ejemplo de un niche de especializaci6n-..com/teammate/ de trabajo de Trip\vire. IDEA y ACL se reparten el mercado profesional de los ASITlC. En la practica. Se declaran tideres en auditoria y control de configuration http://www.:. Las mas conocidas son ACL e IDEA 130 -ambas canadienses.6.... .:.. de gestion de papeles www.:'l~A. hltp.... en primer Iugar). mID '".cOIn . "..que van desde. Ambas tienen funcionalidades similares. creando "campos logicos". En general atacan a los archivos de datos y no a los programas de aplicacion. panopiia de tecnicas amisables de analisis.ac . Son herramientas especializadas (verticales.\VW.I/\\.:::E:.\. son las GAS y Las herramientas GAS (Generalized Audit Software) 0 CAAT (Computer Assisted Audit Tools) se aplican para gestionar las CAATT (Computer Assisted Audit Tools and Techniques).cfm · ..<c I . (Esto facihta recalculos de comprobaci6n)... a la selecclOnd Ill) ".)T!:. por ejemplo). pero ap1icables a Auditorias SITIC. Una _gran. I'" ~' .pwc..:. ..::S.M' • Dato [.

ntado a usuanos con mayor mve ue COnOClITIlCntos tecnicos. f? nicos) que ACL. Se trata de Software estadistico y estadistico-sociologico. merece dejarse constancia testimonial del concepto BEAST (Beneficial Electronic Audit Support Tools). http://www.. p.CAPiTULO 8. ~ d ~ dI ' Ley de Benfor • pasanco par to os os estadisticos tradicionales. pero de solida tradicion) son SAS y SPSS. d . y X. !" "'Gallegos. La palabra clave.7 HE·RRA~IIENTAS DE AUDITORlA SEG(rN SU PRODUCTIVIDA.comfcorporatc/iu?ex.: http://W\V\v.. generalmente ciclica (todavia). .94.l3l. y el peso relativo de las labores adrninistrativas y de gestion (no rneramente "tecnicas''.". rrn3cion para el usuario final.3) aconsejan cautela en la evaluacion de herramientas IItecnicas" no integradas 0 facilme). Otras herramientas (no especificas de auditoria.. figura 8. muy potente.. Resefia aparte (par su dificil clasificacion) http://www. one . . mas intuitive y orientado a usuaries finales no .x~ways..teintegrahles en "paquetes de gestion": \ .aspx.lJnes para perfilar datos 0 detectar elementos inusuales incluso la aplicacion Ii. para la tecnologia forense: EnCase.guidancesoftware. .approva.. os (con una gran diversidad de criterios y algoritmos). • II . 20041. es "pro ucnvida .l-IERRAMIENT'ASPAR/\ ~ LA AUDlTORiA DE LOS SI2Jl . quiza el S\V mas conocido. con potencia y productividad no tan alejadas de las de lasherramientas GAS. Inc.net!company . con el que se pueden realizar parte de las tareas CAATT. Tambien merecen cirarse.. una vez mas. menor carga de . . de todo el SW forense. como generalizacion de las CAAT. 8. 2005}.D La naturaleza recurrente..' id d" . . incluyendo numerosas reglS. que revela Sll DOS subyacente.Ways Software Technology AG... De Guidance Software.netJforens]cs/ .~ . III ICo<lcrrc. esta mas basado en comandos y tee . de Ia IDEA parece mas modemo y productivo (menos "clics". merece Approva Corporation: Pinalmente. de la auditorial32. es cuesti6n de la capacitacion de los ASITIC.UlclO .

de .' . ~:" -. p. 08.3. 05! 07.3. 09 Y 10 -' S6 Realizacion de Labores de Auditoria . Normas y Directrices de lSACA deInteres Auditoria" para "Herramientas de -ISACA-ha generado normas y directrices de particular autoridad.1..07 08.. for. i I I G8 Docurnentacion de la Auditoria Muestreo en Auditoria Actividadcs de Seguimiento GIG todo 2.par(i auditor/a interna sean aaecuac. Puntas concretes todo todo I . . No puedo aqui presentar "in extenso" su tratamiento de las "Hcrramientas de Auditorla": la tabla 8.' .6 Y 4..2.2. 20041.. . I Rcporte Actividades de Seguimiento (JSAG) (Directrices 03.3. . • 1. 7: Norma 2030 Admi nislrad6n de Recursos. sujicientes y efectivamente asignado» .~ 04.IJJ .2.. (Norrnas Generales I h. COil el plan apro ac o 'e.09 IS Auditing Guidelines Codigo G3 de Audltoria) Titulo Usc deCAAT . . b I . ie "El director eJecu "Iva UI audttorio debe asegurar que los' recursn. los . S7 58 .2 I 035 I Fuente: claboracion propia.1.3 recogc La Information Systems Audit and Control Association '131 fIAt. Sistemas dclnformacwn) Titulo C6digo Puntas concrcto. a partir de Norrnas y Directrices publicadas por ISACA en su portal. ' . para III Auditoria de~ Standards . cumplir . a 24J06/2007 Tabla 8.. IS A U( litiIIIU (SISA)'..

8 I1ERRAMIENTAS COBE'RTURA etc.i.Y unos pocos ejempJos destacados de herramientas para TCPIJP.1.: :> ~':1: . . .~" . 8. Hay una infinidad de productos. .archivos. .. y a veces se considera necesaria. .or· g/ . los dos gigantes incontestables -Symantec Y Computer Associates. ". t'catnente las principales referencias .3 IDEA Interactive Data Extraction and Analysis. (Ver tarnbien Tabla 8.I' s en http://www. y 8.: ~ 8. . Me renero aqui al ambito. HERRAMIENTAS PARA LAAUDrI'ORiA DB LOSSI23l ~ .com/DefauIt.9. tornadas de docUlllentos . 8. Hay empresas can diversos productos de diverse tipo. Par tanto una c. bSQ. http://www.: . alcance cobertura de casos.CAPiTULO 8. h. Herramientasde hacking. Conseguirla depende de una habil combinaci6ri de herramientas embebidas y GAS/CAAT.'.: . DE AUDITORiA 0 SEGUN SU ·registros.. elm 11. ol'g/espal1a/an{ipiracy/Free-Softwal'e~Audit- 8. '. sII10P I pub ICO a nuestro tema. . 8.6.. . tP://lVWW. .acl.". Me limito a sefialar alguna fuente de herramientas gratuitas. .. las CAAT de referencia -ACL e IDEA-.2.' .2 ACL Audit Command Language.1Herramientas gratuitas Tools.._ ". es deseable una gran (incluso total) cobertura coste-cficaz.9 ALGUNOS EJEMPLOS DE PRODUCTOS EMPRESAS POR TIPOS Hay una multiplicidad Y de empresas y de productos.lsaca.3).9.aspx?bhcp= 1 .atalogaci6n no tend ria cabida aqui. Claramente. .9."." .

como es logico.darknet. economistas.caseware-idea.4 Symantec http://\V\vw.9. pcnnywhere.ncSSU$. sin hacerlo desde Ia perspectiva de SLI productividad.s)'mantcc.9. c) con rnenor riesgo/error. i'llittp:l/www. responsables de auditorfa y auditores.9. pof Security Check Wireshark.org/ .symantec.org.com/enterprise/index. y sobre todo de ii) la disponibilidad de herramientas y tecnicas que permitan: a) hacer ciertas pruebas. Yersinia son otros ejemplos de los -literalmentemiles d~ herramientas localizables en Internet -tanto en el "lado claro" como en el"lado oscuro .eornlcntcrprisclindex. puede ser propio de tecn61ogos 0 de historiadores.5 Computer Associates http://ca. gestores. Nikto.http://www.jsp hllp:l!\\. en evolucion constante. Nessus. pero seria un error impcrdonable en empresarios._134 8..jsp 8.10 CONCLUSIONES La Auditoria SITIC esta. b) con mayor cobertura.com/us/products/ 8.ukl2006J04/top-15-sccurityhackins"lools~1I1ililics/ hltp:llmnap-onlinC'. Esa evoluci6n depende fundamental mente de i) las nuevas demandas y objetivos (por ejemplo de "cumplimiento").60tras John the Rippel'.com 8. Contemplar las herramientas y tecnicas. y d) con mayor productividad.ww.coml hllp:llwww. Nmap.

CSA (Control Self Asscsment) y circulos de calidad. Auditorta de Cucntas. habilidades. continua.riesgo apreciado y ta coberrura deseadadesestructurar todas las capas debidas a intercses. Discreto-Continuo EI enfoque discrete (puntnal 0 . automatica. par ordcnador. Asislida Mayor participacionde profesionalcs con expericncia. Disponibilidad Escasa en h~mlillos absotutos (n° de ASITIC) y relatives: ticrnpo.lugar. antes que aplicar las tecnicas habria que aplicar cl sentidocomun. en ticmpo real. ISO 14000. periodificado) es lin atavismo que arrastrarnos par Ialta de recursos.por falta de cultura y reflcxion. sin mencionar a lasAgencias Rcguladoras.Tecnlea EAO: Enscitanza Lent. MaS groupware. Auditoria ISO 9001: 2000.2). Compensar los deficits con aplicaciones de lAo .AspcdO . Mas tcleauditorla. expcriencia y -sobre toclo. . Hay frecucntes c irnportantes solapes de "albarda sabre albarda" entre Auditoria lnterna y Externa. Menos viajes. Se debe partir del. ignorancia e incultura e instalar sistemas' de Auditoria lntegrada (figura 8. ISO 27001.a.Dimension Problema Tccnologh\ . Aqui (y tambicn en todo 10 demas). sesgada mllchas veces. menores seran sus castes. Cuanto antes se detecte unproblema. Lagunas y Solapes Mas auoiforiaernbebida. Auditoria SITIe. Auditorla Operativa. aparte de las intervcnciones de control de directives y supervisores. ~eficitaria (cuantitativa y cuaht<ltlvamente). Mbs auditorla embebida y automatica.

..it\lIl ulcncn. se vcn COf7atiu" II dcdicar III mnyotia dc su llc111PO ilill n tmhuj\l" ndlllini'lirutiv{)" (pln!HnC..-..:--l ("7lcCh-e-n--+-rv-r=-a-y-or-y-"-ma..-e-fi·~-.Dimcnslcn Trabajo. rcqtltrJd. en [ugar de t:.' . el acceso a universes. III chivnr papele" Ill! Iruhajo. comirnsa. y pollticas de la organlltlCll).. CA!\ Tf'.:rtnr cntrcv l'ilil'~.~. hcrramieneas dl:. '-.. 110 limllatla!l a mucslrus sino cxtcnrlidus nl univcrso.. Algunos tendencias Los auditores son un recurso escaso.h_ I----------~-I------·--. c... .rnaclonnlcs en quicnes conflo munifiestun su pasrno por cl d~ncil en E~paj'\:l de pruebas sustantivas y cuant ital ivas.nntmr:a.1TnI:nlc lie la • iludilnri:fl cmlY:htd:i. . ! tener mils cobertura y granularidad.trtlS Las CAAT pueden hacer viable/rentable s610 muestras. . con plazos de· capacitacion significativos. !.. 10th concn:I.4. tiernpo real y de las CJ\ATT. _. et't nIHOITl1Jt. Aumentar su disponibilidad y productividad es un reto importnnte. '. -----_ Prucbas sustantivn I t:1Y 1111 clamor ere iientc.'IH1U.-e-n-n-m-c--h·-o-s-c-as-o-s-. (Sin caer en cl error d('". y cnben diversas estratcgias.-u-~-'d-".~. I I Expcrtos iut .~-.---~---. en dcmanda de prucbus $1I'-fllllliva'i..~ i y mas ccncrctamentz c! h : auditoria cmbebida ~ automatica...""" muy dependientcs de las lrcrramientas disponibles. .h...-.vu":. Maynry m1.gn~. gt''}! iollllf vlnlcs).: que la autentica Iuerza reside en la cultura establccidas por la aha direccion)..236 AUDtTORlA DJ:I ECNOLOG!AS Y S1STtElV1AS DE INFORMi\('ION Aspecto .. p Los factores crlticos son unos pecos. Ia. ..!. Todo ella se amplifica.. relativamente caro.:t.. ~ -.G-r-a-n-u-ta-ri-d-ad--+-L-as-p-n-Ic-b-as-. I~qllipo'l jlrf)\6fltcn~ClII1I<¥S habillilfl(lc. ticmpo real y de Ill:.1~-'1 di~pC1'llhk. . hucer nn h)sn Imi. It:..:y&.ic~J. Tambien pucden permitir ln automutizncion de muches rutinarias.n y hl'lltcmHi1icl1f~r. (Ilgunl\.~ .-. Tabla 8..> ~.Adminlstrativo Pruhterun Por ~lfuern poco cl problcma de cscascz de ASITIC cualificudos. para los ASITIC. con cl consiguientc aumcnto de 1<1 roductividud del ASITIC. i--C-o-b-crt-u-ra-. si cabe.. I.fir_.

" ... 2004. http.. .. Auerbach. En particular: Chapter 4: Auditing Information Technology Using Computer-Assisted Audit. 36:37. . Normas Generales para la Auditorla de los Sistemas de Informacion... es e 0.11 AGRADE'CIMIENTOS . .. CAATT and Other BEASTfor Auditors.Isaca.. y 0 mamfiesto aqui. .12 REFERENCIAS 8. y -sobre todo. yapreciare Sll .l. 2007.. pp.. .'.cfm?Section=Standards&Template=/ContentMana gementiContentDisplay. David G. " .Javier Moreno han revisado enltircamente y'I lee h 0 .A~S0:P~A~RA~1 {IA I" DE LOS SI2J7 A~A~£')I~'r'2~"·~''~Q' ~'~"~ k. .. or.12. ISACA.1 Lecturas recomendadas elSA Review Manual (CIUv12007) En particular. . 3rd edition.::. " d' " as dispersion. han con t' nib Ulida a dema con . hay Gallegos. Ekaros Analytical Inc... agra ecrrmento y publico recol1ocnniento. . " \ .d b t .cfm&ContentID=19227' Coderre 2005: Coderre.:O~':::.Todo error. ' '.z/www.:. 8.25:48 de la version inglesa.I' Bria y .. exageracion.L.. decimi . http://www. 1)1 manuel@palao. 2005.de I)) c:orrecclOn.. 2004: Gallegos..~ .41 version espanola.:.'._UL::. parses .::.4).:. 33:35. ' comumcaClon . Frederick et al: Information Technology Control and Audit. nnportdntes (pese a su gran IV'ease ta a S. .8 .-. ~~ficit 0 sesgo que el lector pueda encontrar es susceptible '. sbla 8. _------C-AJ. en uncion e empresas.Ricardo .org/ .isaca. manzacion 0 debate (privado 0 publico) ..esquema de este capitulo' .__ 'D~:-:.orgffemplate. 8.coni .. ISACA. ' emas criticas.IA:. To0 ls and Techniques. ':' ': . . '" ' . . refercncias y revtsiones de estilo al ultimo borrad ' . cultllras) .: " . 2nd Edition. .:H~E~Rl~{A~M~I~EN~"·~r.C . aportaclOnes va iosas a mi .'~" Por scfialar algunos aspectos y tcndenci f' ._:'}i:.:'-.

Sign up to vote on this title
UsefulNot useful