Embed Size (px)
Citation preview
La informática forense: no es otra cosa que la recopilación de información en un sistema informático, la cual tiene como finalidad el esclarecimiento de un suceso. • Esta compromete tanto al hardware como al software, y estructuras como topologías de red y el ambiente en donde se desarrolla. • Para la misma nos valemos de distintas herramientas, siendo sin duda la más importante el conocimiento y le experiencia que tengamos como auditores de seguridad, ethical hacker o asesor de seguridad informática. Puntos a Tener en cuenta • Tener un panorama claro de por que estamos auditando. • Mantener la escena del crimen lo más inalterable posible. • Tomar todos los recaudos necesarios para manipular la información. • De ser posible una vez congelado el ambiente, trabajar en nuestro laboratorio forense y nunca en el lugar de los hechos. • El trabajo de un investigador forense es necesario para ofrecer un punto de partida fundamental para los investigadores policiales, ofreciéndoles pistas sólidas, así como pruebas para su uso posterior.
Escenarios Posibles de
Intrusión Detectar un ataque informático. 1- Objetivo de los atacantes. 2- Método de ataque y posibles fallas explotadas. 3- Acciones cometidas en caso de un acceso. 4- Modificación de registros y plantado de rootkit o programas espías, keyloguer, sniffer, script, etc. 5- Daños ocasionados según el acceso y posibles instrucciones por puertas traseras. 6- Daños colaterales 7- Daños económicos, robo de información espionaje informático, acciones ilícitas, maquinas zombis, ataques a otras partes de la red, etc. Escenario Posible de Borrados de Datos • Lugar donde fueron borrados los datos • Que tipo de datos fueron borrados o adulterados • Quien produjo la acción y que objetivos persigue • Métodos usados para el Borrado de información • Tiempo en que se produjo el borrado o adulteración de los mismos. • Posible recuperación de los mismo en caso de que sea factible. • Daños Ocasionados y Daños colaterales. • Problemas Legales Otros puntos a tener en cuenta según nuestra experiencia Que no debe hacer el auditor forense: A- Auditar el sistema para presentar formas de intrusión (¿confuso no?) B- No garantiza la seguridad de los sistemas C- No garantiza la captura de los atacantes D- No garantiza la recuperación de la información E- Se manejara con hipótesis lógicas y comprobables F- Nunca dará por supuesto lo ocurrido
Congelando el Escenario
• Hay que lograr no realizar ninguna modificación de los hechos. • Determinar el área de impacto
• Hacer imagen por triplicado de los discos afectados • De ser posible dejar los discos originales fuera del servicio, lo mismo con los posibles afectados. • Revisar todo el hardware y sus accesos físicos. • Tomar registros de toda la topología de red, log de routers, tablas ARP, sistemas IDS y Firewalls, etc. Y que pasa con la intrusión Física? • Live CD • Ophcrack • Backtrack • Wifislax • Knoppix • Ubuntu • Hacking9 • RIPLinux • Pmagic • Cualquier distro Live CD o pendriver boot Herramientas que usaremos • Comandos de la Shell de GNU-Linux • RIPLinux : Live CD para recuperar datos en GNU-linux • Pmagic: Live CD para recuperación de datos en GNU-Linux • Sleuthkit: Colección de líneas de comandos básicos de Unix y herramientas de análisis que te dan la posibilidad de analizar archivos NTFS, FAT, FFS, EXT2FS y EXT3FS • Chkrootkit: detector de rootkits en GNU-linux • Ree: (ROM extensión extractor) escanea tu memoria (/dev/mem) en busca de extensiones ROM, y las transforma en archivos. Las extensiones ROM son las de la BIOS que residen en el chip de tu ordenador FireCat: Extensión de seguridad para Firefox • Rda: Herramienta forense para adquirir datos remotamente • Mac-Robber: obtiene los tiempos de modificación, acceso y creación de una serie de archivos para realizar análisis forense. • Testdisk: Herramientas para chequear y recuperar particiones del tipo: FAT12 FAT16 FAT32 - Linux - Linux SWAP (version 1 and 2) - NTFS (Windows NT) - BeFS (BeOS) - UFS (BSD) - Netware – ReiserFS • Autopsy: Herramienta grafica para recuperar archivos . • Snare: Poderoso sistema de análisis y de ejecución de informes de intrusión • Fatback : recuperador de particiones FAT • Fenris: simplifica la búsqueda de bugs y las auditorías de seguridad • Aide: Te indica si hay archivos modificados y cuáles son. Se usa mucho en honey pots (sitios aparentemente más frágiles ante invasiones, que captan la atención de los hackers, y que son en realidad una trampa para atraparlos) • Di: Muestra todo lo que tu comando hace e informa de la capacidad del disco en el formato que quieras • Memfetch: Utilidad para descargar la memoria sin comprometer el El análisis forense en un sistema informático es una ciencia moderna que permite reconstruir lo que ha sucedido en un sistema tras un incidente de seguridad. Este análisis puede determinar quién, desde dónde, cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad.
El análisis forense es un área perteneciente al ámbito de la seguridad informática surgida a raíz del incremento de los diferentes incidentes de seguridad. En el análisis forense se realiza un análisis posterior de los incidentes de seguridad, mediante el cual se trata de reconstruir como se ha penetrado o vulnerado en el sistema. Por tanto, cuando se está realizando un análisis forense se intenta responder a las siguientes preguntas: • ¿Quién ha realizado el ataque? • ¿Cómo se realizo? • ¿Qué vulnerabilidades se han explotado? • ¿Qué hizo el intruso una vez que accedió al sistema? • Etc. El área de la ciencia forense es la que más ha evolucionado dentro de la seguridad, ya que (tal y como se muestra en las siguientes figuras) los incidentes de seguridad han incrementado en los últimos años. Además, los ataques son diferentes y por tanto hay que actualizar las técnicas de análisis en cada momento. El procedimiento utilizado para llevar a cabo un análisis forense es el siguiente: • Estudio preliminar. En esta fase se realiza un estudio inicial mediante entrevistas y documentación entregada por el cliente con el objetivo de tener una idea inicial del problema que nos vamos a encontrar. • Adquisición de datos. Se realiza una obtención de los datos e informaciones esenciales para la investigación. Se duplican o clonan los dispositivos implicados para un posterior análisis. En esta fase habrá que tener mucho cuidado en la adquisición de los datos puesto que cabe la posibilidad de incumplir los derechos fundamentales del atacante. • Análisis e investigación. Se realiza un estudio con los datos adquiridos en la fase anterior. En esta fase también habrá que tener mucho cuidado puesto que cabe la posibilidad de incumplir los derechos fundamentales del atacante. • Realización del informe. En esta fase se elabora el informe que será remitido a la dirección de la organización o empresa. Posteriormente, se podrá usar para acompañar la denuncia que realicemos a la autoridad competente. La auditoría forense ha sido definida como “una auditoría especializada en descubrir, divulgar y atestar sobre fraudes y delitos en el desarrollo de las funciones públicas y privadas; es así como se abre un amplio espacio al campo de la investigación, que irá más allá de la simple comprobación de fraudes y delitos.”3 Indagando en diversas fuentes, podemos asumir que este tipo de auditoría, reúne conocimientos legales, en operaciones fraudulentas y aplicaciones metodológicas de procedimientos de auditoría. AUDITORÍA FORENSE: ¿QUIÉNES DEMANDAN ESTE SERVICIO? • Entidades de carácter gubernamental, según sea la vulnerabilidad de sus sistemas de gestión y control. • Entidades Financieras que dada la naturaleza de sus transacciones están expuestas a un riesgo mayor de fraudes. • Entidades de carácter público como son las compañías que cotizan sus valores en bolsas de comercio, cuyos accionistas pueden estar expuestos en sus intereses, especialmente aquellos accionistas minoritarios que no tienen ingerencia en las decisiones de la compañía. • Las compañías financieras son las que han trabajado con mayor recurrencia el tema, en asociación con las entidades reguladoras, dado los efectos perversos que este tipo de actos trae como consecuencia, no tan solo a las entidades en particular, sino al país que recibe el efecto.
OBJETIVOS DE LA AUDITORÍA FORENSE Lo primero es tener claridad respecto al objetivo de la auditoría forense: esta actividad se justifica, en la medida que signifique un aporte, en los procesos administrativos, tanto externos como internos. Por lo tanto, nuestra visión es que es una evaluación de los procesos de prevención de fraudes y actos ilícitos, que dañen la propiedad del estado o de entes privados, con la finalidad de velar por el interés público. Las características y requisitos que debe reunir el Auditor Forense deben ser las de un experto o sujeto investigador, capaz de realizar peritajes a hechos acontecidos y de realizar auditorías que permitan anticipar la comisión de delitos o fraudes. El Auditor Forense debe un profesional imparcial, asignado al proceso como una persona que no reviste el carácter de parte involucrada, resguardando principalmente su independencia. El auditor debe tener la competencia y la preparación de un experto, ya que de su opinión se tomarán decisiones y su informe debe tener la validez para impartir justicia. La condición básica para el aseguramiento y valoración del resultado
INFORMÁTICA FORENSE
La ciencia forense es sistemática y se basa en hechos premeditados para recabar pruebas para luego analizarlas. La tecnología, en caso de análisis forense en sistemas informáticos, son aplicaciones que hacen un papel de suma importancia en recaudar la información y pruebas necesarias. La escena del crimen es el computador y la red a la cual éste está conectado. Gran cantidad de documentos son elaborados digitalmente en computadores para ser a continuación impresos.
Las nuevas leyes sobre delitos informáticos y la de firmas electrónicas y mensajes de datos abren procesalmente y definitivamente los medios probatorios informáticos. Las operaciones comerciales tienden claramente a reducir costos y ampliar mercados a través de las redes informáticas.
Es posible investigar (aún cuando internet permite el anonimato y el uso de nombres falsos) quien es el dueño de sitios web, quienes son los autores de determinados artículos y otros documentos enviados a través de redes o publicados en la misma. El rastreo depende en sí de quien y como realizó el ataque o cualquier otra acción, es posible buscar atacantes exteriores de sistemas e incluso se conocen casos donde se ha determinado la autoría de virus.
Son igualmente investigables las modificaciones, alteraciones y otros manejos dolosos de bases de datos de redes internas o externas, así como de cualquier sistemas de redes, ataques internos.
La destrucción de datos y la manipulación de los mismos también pueden rastrearse. Los hábitos de los usuarios de los computadores y las actividades realizadas pueden ayudar a la reconstrucción de hechos, siendo posible saber de todas las actividades realizadas en un computador determinado.
El objetivo de un análisis forense informático es realizar un proceso de búsqueda detallada y minuciosa para reconstruir a través de todos los medios el log de acontecimientos que tuvieron lugar desde el mismo instante cuando el sistema estuvo en su estado integro hasta el momento de detección de un estado comprometedor.
Esa labor debe ser llevada acabo con máxima cautela y de forma detallada, asegurándose que se conserva intacta, en la medida posible, la información contenida en el disco de un sistema comprometido, de forma
similar que los investigadores policiales intentan mantener la escena del crimen intacta, hasta que se recogen todas las pruebas posibles.
“informática o cómputo forense es un conjunto de técnicas especializadas que tiene como finalidad la reconstrucción de hechos pasados basados en los datos recolectados, para lo cual se procesa la información que pueda ser usada como evidencia en un equipo de cómputo”.
:"¿Cuánto se puede tardar en reunir las suficientes pistas que den con el autor de un ataque?
Es una pregunta complicada de responder, pues muchas veces el informático forense debe prepararse para fallar en la identificar la persona real que cometió el ataque. Pues la versatilidad que ofrece Internet para enmascarar direcciones IP, correos electrónicos, entre otros aspectos, sugiere un gran conocimiento técnico y paciencia por parte de los atacantes, los cuales también consideran estrategias "anti-forenses" que limiten las investigaciones y la efectividad de las mismas. Luego, la recolección de pista puede ser demorada, algunos casos pueden llevar años en esta labor."
Las herramientas que utilizan los peritos forenses en materia de cómputo para dar con los intrusos, y saber a ciencia cierta qué hicieron en el sistema, se han desarrollado al paso del tiempo, para que nos ayuden en cuestiones de velocidad y faciliten identificar lo que realmente le pasó al sistema y qué es lo que le puede suceder, en su contra parte igualmente se han desarrollado herramientas bastantes sofisticadas en contra de los análisis forenses (herramientas y técnicas que intentan no dejar rastros, camuflarlos o borrarlos, de tal manera que se dificulte una posterior investigación.)
Sí el sistema, por parte del administrador, fue forzado a seguir funcionando, eliminando las posibles vulnerabilidades o cualquier otra supuesta vía de acceso al servidor, la investigación forense no podrá seguir el rumbo correcto ya que:
1. Se eliminaría cualquier posibilidad de persecución del intruso en un futuro ya que se modifica la "escena del crimen" y no se podría calcular los daños estimados con un grado elevado de certeza.
2. Hay muchas posibilidades de que se le paso algo importante por alto al administrador y el intruso (o intrusos) siguen teniendo acceso al sistema. Por lo tanto es mejor sufrir un "downtime" de red, mientras que se realiza el análisis forense del sistema.
Se tiene que establecer una prioridad entre:
(a) Funcionamiento inmediato, teniendo presente que las huellas dejadas por el/los intruso(s) pueden haberse eliminado por descuido del administrador y su equipo, y que el servidor puede seguir teniendo puertas traseras bien ocultas. Esta opción permite estar operativo en poco tiempo.
(b) Investigación forense detallada. Esta opción supone un mayor tiempo de permanencia offline sí no existen planes de contingencia y procedimientos para el backup del servicio.
Bases de la Informática Forense:
1. Experticias, Auditoria e Inspecciones en Computadores y Páginas Web. 2. Ubicación de origen de correos anónimos y archivos anexos. 3. Determinación de propietarios de Dominios .com .net .org y otros. 4. Pruebas de violación de derechos de autor.
5. Control preventivo y restricción de uso de computadores e Internet. 6. Protección de información y derechos de autor. 7. Recuperación de data y archivos borrados intencionalmente o por virus. 8. Recuperación y descifrado de las claves.
Al realizar un análisis de informática forense es necesario tomar notas de lo que se hace con el disco duro, y a que hora, almacenándolo en una ubicación segura como por ejemplo una caja fuerte. Es recomendable que siempre que se trabaje con el medio original esté acompañado por un colega, para que conste a los efectos legales y el testimonio pueda ser confirmado por alguien con un nivel de conocimientos similar.
Las copias deben ser hechas bit-por-bit, es decir será necesario hacer imágenes del disco. La investigación debe ser llevada sobre una copia y nunca sobre el disco original. Se debe hacer tres copias del disco duro original. Sobre todas las copias y original se debe llevar acabo una verificación criptográfica - un checksum. En lo posible realizar dumps de memoria y almacenarlos al igual que los discos.
Es importante todos los hechos pertinentes al caso durante la preparación, recuperación y análisis de las pruebas sobre un ataque sean anotados para poder desarrollar un informe detallado de incidencia que se debe preparar una vez terminado el análisis. Este documento deberá servir como una prueba del incidente o compromiso. Siempre que se realiza cualquier apunte al cuaderno, el asistente debe tener completo conocimiento y entendimiento de lo que ha sido apuntado.
Antes de apagar el sistema, será útil recoger algunos ejemplos de aquella información que posiblemente no ha sido cambiada por los intrusos, como la organización de sistema de ficheros logs, el nombre del host, su dirección IP del fichero e información de algunos dispositivos.
El análisis de la comunicación de datos es realmente importante allí se trabajaran en dos actividades:
1. Intrusión en una red de computadoras o mal uso de la misma. 2. Interceptación de datos.
La intrusión en una red de computadoras o mal uso de la misma es la actividad de la informática forense principal cuando el análisis se hace sobre estructuras de esta naturaleza. Consiste en las funciones siguientes:
a) Detección de la intrusión. b) Detectar la evidencia, capturarla y preservarla; y c) Reconstrucción de la actividad específica o del hecho en sí.
El descubrimiento de la intrusión generalmente involucra la aplicación de software especializado y en algunos casos hardware, para supervisar la comunicación de los datos y conexiones a fin de identificar y aislar un comportamiento potencialmente ilegal.
Este comportamiento incluye el acceso no autorizado, modificación del sistema en forma remota y el monitoreo no autorizado de paquetes de datos.
La captura de la evidencia y su preservación, generalmente tiene lugar después del descubrimiento de una intrusión o un comportamiento anormal, para que la actividad anormal o sospechosa pueda conservarse para el posterior análisis.
La fase final, la reconstrucción de la intrusión o comportamiento anormal, permite un examen completo de todos los datos recogidos durante la captura de la evidencia.
Para llevar a cabo con éxito estas funciones, el investigador forense debe tener experiencia en comunicación de datos y el apoyo de ingenieros y/o técnicos de software.
a) Antes de realizar un análisis se debe tener en cuenta la siguiente información:
a) sistema operativo afectado. b) inventario de software instalado en el equipo c) tipo de hardware del equipo d) accesorios y/o periféricos conectados al equipo e) si posee firewall f) si esta en el ámbito del DMZ (Zona desmilitarizada) g) conexión a internet h) configuración i) parches y/o actualizaciones de software j) políticas de seguridad implementadas k) forma de almacenamiento de la información (cifrada o no) l) personas con permisos de acceso al equipo m) el pc esta dentro del DMZ n) existe IDS o) cuantos equipos en red
Informática Forense
Control legal. A los fines de contar con asesoramiento y manejo de terminologías, leyes y normas vigentes que el perito no está habitualmente acostumbrado a utilizar, sumado como beneficio que permitiría interactuar con los órganos jurídicos intervinientes y lograr un entendimiento de las partes, perito fiscal o juez para el logro de los objetivos propuestos por las partes Calidad. Sumado al control legal como la forma de ser orientada a la mejora continua de las técnicas, productos, bienes o servicios, sistemas y procesos del modelo utilizado, con el propósito de crear valor para sus beneficiarios, en este caso la Justicia y la propia actividad realizada. Gestión. Coordinar todos los recursos disponibles para conseguir determinados objetivos. Implica amplias y fuertes interacciones fundamentales
La definición de informática forense “Es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permite identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal”. Ampliaría diciendo que es: “Una ciencia que busca reproducir científicamente con una metodología estricta de los hechos acontecidos y su correlación para determinar el grado de impacto, y posteriormente establecer en coordinación con otros entes intervinientes, mecanismos tendientes a evitar nuevamente su ocurrencia, que van desde el marco normativo hasta la utilización de mecanismos técnicos”. Es un método científico porque supone la adquisición de nuevos conocimientos, mediante el estudio de la evidencia observable y medible, aplicando un razonamiento lógico, elaborando modelos e hipótesis y corrigiendo o mejorando estas últimas según se obtiene más evidencia.
Además, los resultados deben ser objetivos e imparciales, lo que implica un alto grado de profesionalidad para con la tarea por realizar. La metodología aplicada debe ser conocida, sabida y practicada, de forma que otros investigadores, utilizando los mismos métodos, puedan llegar a las mismas conclusiones. Si esto no se logra, la posibilidad de la pérdida de la evidencia con valor probatorio es inminente y todo lo que con esto conlleva. La forensia informática deberá permitir responder preguntas tales como: › ¿Cuándo? › ¿Quién? › ¿Cómo? › ¿Dónde? › ¿Para qué? › ¿Por qué?
Preservar el lugar del hecho y evitar la contaminación de evidencias No solo tiene como finalidad la preservación de la evidencia computacional por así decir, sino también de todo lo que lo rodea en función de que pueden existir evidencias inherentes a otros campos que no podemos desconocer, y por ende contaminarlas, con lo cual se debe trabajar de manera mancomunada, íntegra y proactiva, lo que nos lleva a dividir la evidencia dentro del lugar del hecho en: ■ Primarias Inherentes a la actividad pericial específica dentro del campo de la informática. A su vez la subdividiremos en: › Evidencia electrónica: hardware, material del sistema informático. › Evidencia digital: los datos contenidos dentro de la evidencia electrónica. Para generalizar, estos dos tipos de evidencias mencionadas aquí serán llamadas “evidencia computacional”. ■ Secundarias Todas aquellas que no tengan relación con el campo de la informática. De aquí que el trabajo del equipo de respuesta vital deberá tomar conciencia del resguardo, manejo y preservación de las evidencias ajenas a él, no pudiendo aludir desconocimiento, con el fin de evitar la alteración de éstas; por ende deberá interrelacionar con peritos de otras especialidades. Una vez que ya se resguardó el lugar del hecho y se determinó cuál es el campo de acción y las medidas del caso, se deberá tratar a éstas de la siguiente manera: 1. Con acciones metódicas El equipo de respuesta vital debe ser responsable de sus propios procesos, ya que deberá, no solo documentar cada paso de las actividades realizadas, para que cualquiera pueda validar y revisar cada uno de los procesos con los mismos métodos científicos, reproduciendo sus resultados y obtenidos en forma unívoca. No olvidar documentar todas las actividades que se efectúen en presencia de testigos que avalen las actividades realizadas, dado que esto podrá ser limitante a la hora de su presentación ante algún estrado por las actividades técnico legales concretadas y que será la actividad del integrante del equipo con perfil legal del cumplimiento de los lineamientos legales. 2. Originar o controlar la cadena de reguardo/custodia Este documento no es más que una hoja de ruta donde se documenta quién, cuándo y dónde se manipuló la evidencia. Esto permitirá saber cómo se custodió la evidencia y dar cuenta de una administración adecuada de la prueba y que detallaremos más adelante como actividad esencial de equipo.
Fuentes de la evidencia La evidencia digital es única, si la comparamos con otras formas de evidencia documental. Recordemos que en un primer momento la evidencia digital posee las siguientes características: › Volátil. › Anónima. › Duplicable. › Alterable y modificable. › Eliminable. Como vemos, la evidencia digital es frágil, pero existen mecanismos como la “Certificación matemática de la prueba” que garantizará su integridad y autenticidad, haciéndola lo suficientemente robusta y con valor legal. La RFC 3227 establece pautas para la recolección de evidencia por su grado de volatilidad, lo que resulta en una buena práctica metodológica por seguir para la preservación y extracción de evidencia: › Registros y contenidos del caché. › Tabla de enrutamiento, caché ARP, proceso, núcleo memoria. › Archivos temporales. › Estado de los procesos en ejecución. › Disco rígidos y otros. › Registro y supervisión remota de datos, de interés para el sistema en cuestión. › Configuración física, la topología de la red. › Los medios de comunicación. Esta evidencia debe cumplir con algunos preceptos para poder ser presentada como prueba en un juicio, ya que sin algunos de estos puntos carecerá de valor probatorio. ■ Admisible Que tenga valor apoyado en el marco técnico legal, mostrando que la evidencia ha sido recolectada y registrada en el lugar y las condiciones descriptas sin modificaciones al original. ■ Auténtica Debe garantizarse para que sea irrefutable como prueba legal. ■ Completa Debe poder reproducir los acontecimientos que ocurrieron previos a los hechos desde el punto de vista técnico, sin juicios o perspectivas particulares. Con respecto a este punto, el equipo no deberá señalar o indicar a la persona en sí, sino solo los hechos estrictamente técnicos legales. ■ Confiable Nada debe dejarse librado al azar ni dentro del marco legal vigente ni el trato tecnológico desde el punto de vista metodológico, ya que otorgara una autenticidad y veracidad de la prueba recabada, que con posterioridad se analizará y presentará. ■ Creíble Debe ser lo suficientemente interpretada por cualquier persona, sin dejar dudas sobre la calidad técnico legal utilizado. Aquí es donde dividiremos el informe del equipo en dos partes, una para lectura de personas sin relación con el campo tecnológico y otra, con todos los datos técnicos necesarios para su reproducción de un tercero. Flujo de la investigación Con lo que se expuso hasta el momento partiremos con el flujo de la investigación. Ésta es una metodología que se inicia una vez conocido el incidente, que deberá ser el disparador para la intervención de los que venimos denominando equipo de respuesta vital. Este equipo, como mencionamos anteriormente, deberá estar conformado no solo por personal técnico capaz de realizar una estricta metodología técnica, según la situación, con el fin de preservar la evidencia, sino que también deberá estar integrado por personal con un perfil jurídico legal, que permita otorgar un control bajo este campo.
Identificado el incidente o hecho Se tomará en cuenta una serie de pautas que se refieren a la recopilación de evidencias, donde entra la actividad del equipo de respuesta vital. ■ Requerimiento para la intervención del equipo de respuesta vital Ya sea por orden judicial o interna de una empresa u organismo, este documento avalará el inicio de las actividades del equipo y contendrá los puntos que originarán el flujo de la investigación, teniendo en cuenta los aspectos legales para su realización y en lo técnico solo se limitará a lo estrictamente solicitado. Pudiendo contener datos como: ■ Tipo de hecho. ■ Fecha y hora del hecho. ■ Información técnica de los equipos afectados, acompañado, en lo posible, de especificaciones (capacidad de disco, RAM, sistema operativo, etc.). ■ Responsable o dueño del equipo. ■ Y todo otro dato que se considere de interés, recordando que no deberá ser ambiguo sino algo puntual y acotado. ■ Acuerdo de confidencialidad Éste tiene como fin, según el caso, las garantías de la no divulgación y del tratamiento de la evidencia desde el equipo hacia terceros. Recuérdese que la actividad solo se limita a lo estipulado en los requerimientos. ■ Asegurar la evidencia Tendiente a asegurar los procesos técnicos legales llevando a cabo la conducción de la forensia con una estricta metodología científico y legal. ■ Identificar la evidencia
■ Por su prioridad: teniendo en cuenta que el equipo podrá considerar elementos más importantes que otros en su proceso metodológico de recolección de evidencias. ■ Tipo de dispositivos: he aquí el tipo de evidencia electrónica o digital y su forma de tratamiento. ■ Modo de almacenamiento:
› Volátiles: aquellas que se perderán una vez apagado el equipo. › No volátiles: medios físicos de almacenamiento, discos duros, pendrives, etc.
Una buena práctica sería tener una lista de elementos y su tratamiento para tener una identificación metodológica sin dejarla librada al azar. Metodología pericial Esta metodología que se presenta para el equipo de respuesta vital tiene como fin establecer una serie de pasos mínimos en un ciclo en el que no puede obviarse ninguno ya que, de realizarlo, no se llegará a la meta esperada para presentar la evidencia recabada como prueba irrefutable ante un juicio.
Preservar y extraer Una vez recabada la información necesaria y analizada la situación, el equipo evaluará los aspectos legales a tener en cuenta y la metodología científica por seguir, tomando en cuenta los aspectos técnicos legales. Hay que considerar: Aspectos técnicos › La evidencia electrónica en todas sus formas. › La evidencia digital y el grado de volatilidad de la información. › Una metodología de recolección de evidencia podrá ser el método de espiral centrado desde el incidente extendiéndose hasta los límites judiciales establecidos en el punto de la pericia que posteriormente se volcará en un plano para su presentación. › La evidencia no solo se limita a lo electrónico o digital, ya que se podrán introducir documentos escritos o elementos contenidos en las traseadoras de papel, etc. › La documentación de todas las actividades realizadas, ya sea a través de escritos, fotografías, videos, etc., cuyo fin es la reproducibilidad. › La recolección de la información on line u off line, según el escenario que se plantee en el momento de la actividad. › Podrán surgir nuevas fuentes de evidencia que no se tomaron en cuenta en el origen, lo cual deberá ser solicitado adecuadamente para la realización de la presente actividad. › La preservación implica aspectos técnicos relativos a la integridad de la evidencia original. La utilización del hash (MD5, SHA-1) es de gran ayuda, y además existen múltiples herramientas forenses que permiten la copia bit a bit y generan automáticamente en hash la información recolectada. › El soporte donde se preserva la evidencia deberá estar libre de toda información que la corrompa o contamine, ya que ello puede hacerle perder su valor probatorio. › Etiquetar numéricamente cada copia de la evidencia sobre el propio medio de almacenamiento con la fecha y hora. Con posterioridad se volcará dicha numeración en la cadena de resguardo. › Una vez extraída, efectuar la verificación de la copia realizada. Aspectos legales › Leyes y normas vigentes. › Inicio de la cadena de resguardo, que contendrá: › Dónde, cuándo y quién recabó o examinó la evidencia. › Quién estuvo custodiando la evidencia, durante cuánto tiempo, dónde se almacenó y bajo qué condiciones. › Esto otorga a la evidencia una seguridad desde el punto de vista de que se restrinja la manipulación de personal no autorizado. › La presencia de los testigos que corroboren las actividades realizadas.
› Que el equipo realice, en todos los casos, solo lo especificado estrictamente en los puntos de la pericia, teniendo en cuenta que el equipo puede asesorar a terceros sobre la necesidad de ampliar la búsqueda y, obtenida la autorización por escrito, la realización de la recolección de la información solicitada. Recuerde que el Equipo de respuesta vital es un elemento de asesoramiento técnico legal dentro de los requerimientos solicitados, indistintamente de quién haya originado los requerimientos.
Identificación La colocaremos como una buena práctica que puede estar contenida tanto en la etapa de análisis como en la etapa anterior. Aquí, tomada por separado, su implementación será según el criterio y la metodología a utilizar pero que no podrá obviarse debido a su importancia.
Esta metodología basada en lista de procedimientos por efectuar es solo orientativa para la realización de las actividades del equipo.
Analizar los datos recabados › Una tarea clave a la hora del análisis es la localización de la información específica vinculada con los requerimientos. Esta actividad, en muchos casos, requerirá de un trabajo multidisciplinario entre el equipo de respuesta vital y quien originó la solicitud de la intervención del equipo. Es aquí donde el hombre con el perfil legal se interrelacionará con éste ya que podrá canalizar mejor los requerimientos técnicos legales desde el perito al tercero y viceversa, generando una mejora de los datos recabados para su presentación. › Es importante mencionar que el análisis de la información siempre se realizará sobre copias, nunca sobre originales que se tomaron durante la recolección de la información. › En este análisis no solo se seleccionará la o las herramientas forenses más adecuadas sino la metodología científica por utilizar, para colocar los hechos en una línea temporal y una correcta extracción de la información y posterior análisis. › Del presente análisis podrán surgir nuevas fuentes de evidencia por analizar, que no se tuvieron en cuenta en las etapas anteriores, momento en el cual el equipo deberá solicitar su correspondiente autorización para la realización de las actividades necesarias para su análisis.
Un tema que no podía dejar fuera del análisis de datos es la protección de la intimidad de los datos recabados en esta etapa. Es un aspecto para tener en cuenta, en todos los casos, por la posibilidad de la existencia de información confidencial, ajena al caso o no, entre la evidencia recolectada. Es ésta la importancia de la confidencialidad anteriormente mencionada. › ¿Qué medidas se toman para proteger esa información? › ¿Quién tiene acceso a ella? › La comisión de una infracción o delito no implica la suspensión de las leyes y normas sobre protección a la intimidad y la privacidad de datos de carácter personal. Esto hace que la actividad no solo se limite a lo solicitado por un tercero ante la intervención del equipo, sino también a la ética profesional, recordando que, una vez finalizados los análisis, se debe poner a disposición toda la evidencia recolectada, sin excepción.
Presentar Informe técnico › En esta etapa se elabora el informe con los resultados obtenidos en las etapas anteriores. Es aquí donde el perito solo establecerá los hechos acontecidos desde el punto de vista técnico sin arrojar ninguna opinión personal al respecto, solo lo hará desde y respaldado por la metodología antes descripta. Su presentación deberá contar con una estructura básica como: › Antecedentes del hecho. › Documentos recopilados y examinados. › Inspecciones realizadas. › Entornos del análisis. › Descripción de la metodología utilizada para la recolección de la evidencia. › Descripción de las herramientas utilizadas. › Descripción de los hallazgos. › Cronología de los hechos. › Conclusiones. En estas conclusiones se establecerán los hechos acontecidos teniendo en cuenta las evidencias recabadas. Si fuera el caso, como herramienta de la seguridad informática, se establecerá cuáles son los datos que se deben eliminar y algunas propuestas básicas para hacer frente a futuros incidentes. › Anexos Donde estará todo lo referente a la faz técnica, para que un tercero logre reproducir las actividades realizadas por éste, que van desde la autenticación del material informático, las herramientas forenses utilizadas, los métodos de recolección de la información y pasos realizados durante la recolección, todo esto colocado cronológicamente. › Una inadecuada presentación puede conllevar a falsas expectativas o interpretaciones de los hechos, con lo cual, se lo debe presentar con un lenguaje entendible sin tecnicismos ya que éstos estarán volcados en los anexos. Informe ejecutivo Este informe tiene como finalidad un resumen del análisis efectuado, que se realizará junto con el técnico legal a fin de lograr una fácil interpretación por las autoridades judiciales o personal no técnico. Debe ser lo más preciso y escueto posible y tendrá que contar con ciertos puntos mínimos, a saber: › Introducción: se volcará el objetivo del análisis y se colocará la información de la evidencia proporcionada. › Análisis: descripción breve del entorno de trabajo y las herramientas utilizadas y la cantidad de tiempo empleado. › Sumario del hecho. › Resumen del hecho tras el análisis de la evidencia. › Principales conclusiones a los que se arribó tras el proceso de análisis. Aquí es donde se ve el aporte de la forensia a la actividad de la seguridad informática › Descripción del incidente. › Solución del incidente. › Recomendaciones finales del hecho: › Aquí se volcará la propuesta de distintas barreras tendientes a evitar nuevos incidentes de seguridad. Prueba pericial En esta etapa podremos auditar los procedimientos realizados y establecer ya las pruebas periciales tendientes a la generación de disparadores para los distintos campos de interés de la presente prueba. Sobre la base de lo recolectado, la reconstrucción podrá realizarse en tres formas › Reconstrucción relacional Muestra la relación de los objetos con otros objetos y su interacción. › Reconstrucción funcional. Se hace marcando la función de cada objeto dentro del lugar del hecho mostrando cómo operan u operaron y son utilizados o fueron utilizados. › Reconstrucción temporal.
Ubicar los indicios en una línea de tiempo desde el momento de su conocimiento. Al plasmar esta actividad, deberá considerarse la colocación de las tres modalidades de reconstrucción, ya que según sea el caso podrá ser disparador para otras actividades que no son inherentes al equipo y que el tercero visualice más claramente la actividad desarrollada. Conclusiones El punto más importante es saber que la informática forense con un control legal y una calidad de gestión tecnológica deberá ser abordada más seriamente como una disciplina auxiliar de la justicia moderna, para lo cual la formación técnica con un alto grado de ética profesional, y personas con perfil legal especialistas en este campo, es algo que no debemos dejar librado al azar. Los delitos informáticos van en constante avance y de aquí la necesidad de a contar con leyes, normas y un riguroso método científico que permita utilizar la evidencia computacional en un proceso legal. Presentar hasta aquí lo expuesto solo tiene como finalidad dar a conocer una de las tantas formas en la que se puede trabajar, ya que la experiencia de cada uno llevará a adaptar la mejor metodología según el entorno donde se desenvuelva la actividad y con ello lograremos que ésta tenga su uso con el potencial que se posee y se merece para el esclarecimiento de los hechos y para afianzar la posición dentro de la justicia.
PRINCIPIOS DEONTOLÓGICOS Son un conjunto de preceptos que establecen los derechos exigibles a aquellos profesionales que ejerciten una determinada actividad. La finalidad de los principios deontológicos es incidir en sus comportamientos profesionales estimulando que estos se ajusten a determinados principios morales que deben servirles de guía.
PRINCIPIOS DEONTOLÓGICOS APLICABLES A LOS AUDITORES INFORMÁTICOS Estos principios deben concordar con los del resto de profesionales y más con los de quienes cuya actividad presenten mayores relaciones con la de la auditoria. Los principios deontológicos son:
PRINCIPIO DE BENEFICIO DEL AUDITADO La actividad del auditor debe estar en todo momento enfocado a orientar el máximo provecho de su cliente. Cualquier actitud que anteponga intereses personales del auditor al auditado deberá considerarse como no ética. El auditor deberá evitar estar ligado en cualquier forma a intereses de determinadas marcas, productos o equipos del auditado con los de otros fabricantes. El auditor deberá abstenerse de recomendar actuaciones innecesarias o que generen riesgos injustificados para el auditado.
PRINCIPIO DE CALIDAD
En caso de que los medios impidan o dificulten la realización de la auditoria deberá negarse a realizarla hasta que se le garantice un mínimo de condiciones técnicas que no comprometan la calidad de sus servicios. Si el auditor considera conveniente ganar el informe de otros técnicos mas cualificados sobre algún aspecto que supere su capacitación profesional deberá remitirlo a un especialista para mejor calidad de la auditoria.
PRINCIPIO DE CAPACIDAD Principio relacionado con el de formación continúa. El auditor debe estar plenamente capacitado para la realización de la auditoria. El auditor puede incidir en la toma de decisiones de la mayoría de sus clientes con un elevado grado de libertad dada la dificultad practica del auditado. Debe ser consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditoria evitando que una sobreestimación personal pudiera provocar el incumplimiento parcial o total de la misma. El auditor deberá procurar que sus conocimientos evolucionen con el desarrollo de las tecnologías de la información.
PRINCIPIO DE CAUTELA Sus recomendaciones deben estar basadas en la experiencia. Debe estar al corriente del desarrollo de las tecnologías de la información e informar al auditado de su evolución. Debe actuar con cierto grado de humildad evitando dar la impresión de estar al corriente de una información privilegiada.
PRINCIPIO DE COMPORTAMIENTO PROFESIONAL El auditor deberá actuar conforme a las normas implícitas o explicitas de dignidad de la profesión. Debe cuidar la moderación de la exposición de sus juicios u opiniones evitando caer en exageraciones o atemorizaciones y transmitir una imagen de precisión y exactitud en sus comentarios. El comportamiento profesional exige del auditor una seguridad en sus conocimientos técnicos. El auditor debe guardar respeto por la política empresarial del auditado.
PRINCIPIO DE CONCENTRACIÓN EN EL TRABAJO El auditor deberá evitar que el exceso de trabajo supere sus posibilidades de concentración y precisión en cada una de las tareas. Deberá calcular las posibles consecuencias de la acumulación de trabajos. Evitar la práctica de ahorro de esfuerzos basada en la reproducción de partes significativas de conclusiones obtenidos de trabajos anteriores.
PRINCIPIO DE CONFIANZA
El auditor deberá facilitar e incrementar la confianza del auditado en base a una actuación de transparencia en su actividad profesional. Para que haya confianza se requiere una disposición de dialogo que permita aclarar las dudas por las dos partes. Debe adecuar su lenguaje a nivel de comprensión del auditado, si es necesario detallar su explicación
PRINCIPIO DE CRITERIO PROPIO Este principio está relacionado con el principio de independencia. El auditor deberá actuar con criterio propio y no permitir que este dependa de otros profesionales aún de reconocido prestigio. En caso de que aprecie diferencias de criterio con otros profesionales deberá reflejar dichas diferencias dejando de manifiesto su criterio.
PRINCIPIO DE ECONOMÍA El auditor deberá proteger los derechos económicos del auditado evitando generar gastos innecesarios. Debe procurar evitar retrasos innecesarios en la realización de la auditoria. Tener en cuenta la economía de medios materiales o humanos. Debe delimitar de forma concreta el alcance y límites de la auditoría. Deberá rechazar las ampliaciones de trabajo que no estén directamente relacionados con la auditoria aún a petición del auditado.
PRINCIPIO DE FORMACIÓN CONTINUA Este principio, íntimamente ligado al Principio de capacidad y vinculado a la continua evolución de las tecnologías de la información y las metodologías relacionadas con las mismas. Impone a los auditores el deber y la responsabilidad de mantener una permanente actualización de sus conocimientos y métodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de la oferta.
PRINCIPIO FORTALECIMIENTO Y RESPETO DE LA PROFESIÓN
Deberá cuidar del reconocimiento del valor de su trabajo. La remuneración por su actividad profesional debería estar acorde con la preparación del auditor. Debe evitar competir deslealmente con sus compañeros rebajando sus precios a límites impropios. Deberá promover el respeto mutuo y la no confrontación entre compañeros.
PRINCIPIO DE INFORMACIÓN SUFICIENTE Este principio de primordial interés para el auditado, obliga al auditor a ser plenamente consciente de su obligación de aportar, en forma pormenorizadamente clara, precisa e inteligible para el auditado, información tanto sobre todos y cada uno de los puntos relacionados con la auditoría que puedan tener algún interés para él, como sobre las conclusiones a las que ha llegado, e igualmente informarle sobre la actividad desarrollada durante la misma que ha servido de base para llegar a dichas conclusiones. Dicha información deberá estar constituida por aquella que el auditor considere conveniente o beneficiosa para los intereses o seguridad de su cliente y estar en consonancia con la utilidad que pueda tener, en el presente o en el futuro, para el mismo. El auditor deberá asimismo comprometerse con sus conclusiones, debiendo indicar en ellas los defectos observados en el sistema informático, las líneas de actuación que recomienda y las dudas que respecto a las mismas se le plantean.
PRINCIPIO DE INTEGRIDAD MORAL
Este principio obliga al auditor a ser honesto, leal y diligente en el desempeño de su misión. Evitar participar voluntaria o inconscientemente en cualquier acto de corrupción personal o de terceras personas. No aprovechar los conocimientos adquiridos durante la auditoria para utilizarlos en contra del auditado. Deberá emplear la máxima diligencia, dedicación y precisión utilizando su saber y entender.
PRINCIPIO DE LEGALIDAD El auditor deberá evitar utilizar sus conocimientos para facilitar a los auditados o terceras personas la desobediencia de la legalidad vigente. No consentirá ni colaborará en la eliminación de dispositivos de seguridad ni intentará obtener códigos o claves de acceso a sectores restringidos de información. Debe abstenerse de intervenir líneas de comunicación o controlar actividades que generen vulneración.
PRINCIPIO DE LIBRE COMPETENCIA La actual economía de mercado exige que el ejercicio de la profesión se realice en el marco de la libre competencia, siendo rechazables, por tanto, las prácticas tendentes a impedir o limitar la legítima competencia de otros profesionales y las prácticas abusivas consistentes en el aprovechamiento en beneficio propio, y en contra de los intereses de los auditados, de posiciones predominantes. En la comercialización de los servicios de auditoría informática deben evitarse tanto los comportamientos parasitarios como los meramente desleales, entendidos los primeros como aprovechamientos indebidos del trabajo y reputación de otros en beneficio propio, y los segundos como intentos de confundir a los
demandantes de dichos servicios mediante ambigüedades, insinuaciones o puntualizaciones que sólo tengan por objetivo enmascarar la calidad y fiabilidad de la oferta.
PRINCIPIO DE NO DISCRIMINACIÓN El auditor en su actuación previa, durante y posterior a la auditoría, deberá evitar inducir, participar o aceptar situaciones discriminatorias de ningún tipo, debiendo ejercer su actividad profesional sin prejuicios de ninguna clase y con independencia de las características personales, sociales o económicas de sus clientes. Deberá evitar cualquier tipo de condicionantes personalizados y actuar en todos los casos con similar diligencia con independencia de los beneficios obtenidos del auditado, de las simpatías personales que tenga hacia éste o de cualquier otra circunstancia. Su actuación deberá asimismo mantener una igualdad de trato profesional con todas las personas con las que en virtud de su trabajo tenga que relacionarse con independencia de categoría, estatus empresarial o profesional, etc.
PRINCIPIO DE NO INJERENCIA El auditor, dada la incidencia que puede derivarse de su tarea, deberá evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar un cierto desprestigio de su cualificación profesional, a no ser que, por necesidades de la auditoría, tuviera que explicitar determinadas incompetencias que pudieran afectar a las conclusiones o el resultado de su dictamen. Deberá igualmente evitar aprovechar los datos obtenidos de la auditoría para entrar en competencia desleal con profesionales relacionados con ella de otras áreas del conocimiento. Esa injerencia es mayormente reprobable en los casos en los que se incida en aquellos campos de actividad para los que el auditor no se encuentre plenamente capacitado.
PRINCIPIO DE PRECISIÓN Relacionado con el principio de calidad exige al auditor la no conclusión de su trabajo hasta estar convencido. En la exposición de sus conclusiones debe ser crítico. Debe indicar como ha evaluado únicamente aquello que haya comprobado u observad o de forma absoluta.
PRINCIPIO DE SECRETO PROFESIONAL La confidencia y confianza son características esenciales de las relaciones entre el auditor y el auditado. El auditor no debe difundir a terceras personas ningún dato que haya visto, oído o deducido durante el desarrollo de su trabajo. Imponer medidas y mecanismos de seguridad para garantizar al auditado que la informacion documentada va estar segura.
PRINCIPIO DE VERACIDAD Debe siempre asegurar la veracidad de sus manifestaciones con los límites impuestos por los deberes de respeto, corrección y secreto profesional. Este principio no debe, sin embargo, considerarse como constreñido a expresar únicamente aquello sobre lo que se tenga una absoluta y total certeza, sino que implica, con el grado de subjetividad que esto conlleva, poner de manifiesto aquello que, a tenor de sus conocimientos y de lo considerado como "buena práctica profesional", tenga el suficiente grado de fiabilidad como para ser considerado comúnmente como veraz mientras no se aporten datos o pruebas que demuestren lo contrario
PRINCIPIO DE SECRETO PROFESIONAL La confidencia y la confianza son características esenciales de las relaciones entre el auditor y el auditado e imponen al primero la obligación de guardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividad profesional. Solamente por imperativo legal podrá decaer esa obligación. Este principio, inherente al ejercicio de la profesión del auditor, estipulado en beneficio de la seguridad del auditado, obliga al primero a no difundir a terceras personas ningún dato que haya visto, oído, o deducido durante el desarrollo de su trabajo que pudiera perjudicar a su cliente, siendo nulos cualesquiera pactos contractuales que pretendieran excluir dicha obligación. El auditor tan sólo deberá permitir el acceso y conocimiento de la misma a los profesionales que, bajo su dependencia organizativa, estén igualmente sujetos al deber de mantener el secreto profesional y en la medida en que, por las necesidades de información de los mismos, sea preciso.
PRINCIPIO DE SERVICIO PÚBLICO La aplicación de este principio debe incitar al auditor a hacer lo que esté en su mano y sin perjuicio de los intereses de su cliente, para evitar daños sociales como los que pueden producirse en los casos en que, durante la ejecución de la auditoría, descubra elementos de software dañinos (virus informáticos) que puedan propagarse a otros sistemas informáticos diferentes del auditado. En estos supuestos el auditor deberá advertir, necesariamente en forma genérica, sobre la existencia de dichos virus a fin de que se adopten las medidas sociales informativas pertinentes para su prevención, pero deberá asimismo cuidar escrupulosamente no dar indicios que permitan descubrir la procedencia de su información. El auditor deberá asimismo tener presente la ponderación entre sus criterios éticos personales y los criterios éticos subyacentes en la sociedad en la que presta sus servicios, debiendo poner de manifiesto sus opciones personales cuando entren en contradicción con la ética social que el auditado pueda presumir que está implícitamente aceptada por el auditor.
PRINCIPIO DE RESPONSABILIDAD El auditor deberá, como elemento intrínseco de todo comportamiento profesional, responsabilizarse de lo que haga, diga o aconseje, sirviendo esta forma de actuar como barrera de injerencias extraprofesionales.
Si bien este principio aparentemente puede resultar especialmente gravoso en auditorías de gran complejidad, que por otra parte son las habitualmente encomendadas a los auditores informáticos es preciso tenerlo presente a fin de poder garantizar su responsabilidad en los casos en que, debido a errores humanos durante la ejecución de la auditoría, se produzcan daños a su cliente que le pudieran ser imputados.
La responsabilidad del auditor conlleva la obligación de resarcimiento de los daños o perjuicios que pudieran derivarse de una actuación negligente o culposa, si bien debería probarse la conexión causa-efecto originaria
del daño, siendo aconsejable estipular a priori un tope máximo de responsabilidad sobre los posibles daños acorde con la remuneración acordada como contraprestación por la realización de la auditoría.
PRINCIPIO DE PUBLICIDAD ADECUADA La oferta y promoción de los servicios de auditoría deberán en todo momento ajustarse a las características, condiciones y finalidad perseguidas, siendo contraria a la ética profesional la difusión de publicidad falsa o engañosa que tenga como objetivo confundir a los potenciales usuarios de dichos servicios.
La defensa del prestigio de la profesión obliga asimismo a los auditores informáticos a evitar las campañas publicitarias que, por su contenido, puedan desvirtuar la realidad de sus servicios, enmascaren los límites de los mismos, oscurezcan sus objetivos o prometan resultados de imprevisible, cuando no imposible, consecución.
PRINCIPIO DE INDEPENDENCIA Este principio, muy relacionado con el Principio de criterio propio, obliga al auditor, tanto si actúa como profesional externo o con dependencia laboral respecto a la empresa en la que deba realizar la auditoría informática, a exigir una total autonomía e independencia en su trabajo, condición ésta imprescindible para permitirle actuar libremente según su leal saber y entender.
La independencia del auditor constituye, en su esencia, la garantía de que los intereses del auditado serán asumidos con objetividad; en consecuencia el correcto ejercicio profesional de los auditores es antagónico con la realización de su actividad bajo cualesquiera condiciones que no permitan garantizarla.
Esta independencia implica asimismo el rechazo de criterios con los que no esté plenamente de acuerdo, debiendo reflejar en su informe final tan sólo aquellos que considere pertinentes, evitando incluir en el mismo aquellos otros con los que disienta aunque sea impelido a ello.
El auditor igualmente deberá preservar su derecho y obligación de decir y poner de manifiesto todo aquello que según su ciencia y conciencia considere necesario, y abstenerse de adoptar métodos o recomendar líneas de actuación que, según su entender, pudieran producir perjuicios al auditado, aunque éste así se lo solicite.
Importancia de la auditoria forense
La auditoría forense es sin duda un tema de la actualidad e importancia, vinculado directamente con la lucha contra la corrupción y con la labor que deben desarrollar las autoridades en el sector público. Sin embargo, la sola decisión de las autoridades y directivos tampoco será suficiente si la contraloría general de la república no cuenta con profesionales altamente calificados, capacitados y experimentados en la investigación de fraudes, cuyos informes constituyan a nivel del ministerio público y de los juzgados y tribunales de justicia, sólidos instrumentos para la iniciación y sustanciación de las acciones penales tendientes a establecer culpables y responsables de los ilícitos, con la certeza de que serán impuestas las penas correspondientes.
El producto de la auditoria forense es una prueba pericial especializada. Se le considera como un medio de aportar cierto tipo de información o asesoramiento al proceso de datos de carácter científico, técnico y especializado.
La auditoría Forense
Investiga, analiza evalúa, interpreta y documenta hechos relacionados con diferentes tipos de delitos en la cual establece la capacitación plena del o los responsables. Determina la forma y tiempo en que se dieron los hechos y la cuantificación del daño patrimonial Puede ser a una institución privada o del estado.
Las auditorias forenses pueden realizarse en cuanto a la auditoría financiera, operacional, de gestión, ambiental, obras públicas, informática en la cual realizan los auditores donde detectan la presencia de delitos o en caso de denuncias específicas.
La auditoría forense es el conjunto de técnicas utilizadas en la investigación de hechos de fraudes de corrupción para la prevención de estos hechos, la detección o para la presentación de elementos probatorios.
Características de la auditoria forense
Las características de la auditoria forense son
Se analiza la información de forma exhaustiva
Se piensa con creatividad
El trabajo requiere actividades de análisis, cuantificación de pérdidas, recolección de evidencias.
Debe poseer un sentido común de los negocios
Es conocedora de temas contables, de auditorías, criminologías, de investigación y legales
El Fraude
Es un acto inmoral o ilegal perpetuado por una persona en contra de otra persona física o jurídica. A la persona que comete el fraude se le llama defraudador y a la afectada se le llama defraudado.
Error
Es acción incorrecta pero no intencional, sino causada por problemas por problemas matemáticos, conceptuales, físicos. Por ejemplo. Olvidar hacer un backup y se arruina el DD.
Irregularidad
Es acción indebida por falsas declaraciones, por omisiones intencionales, por manipulación o por falsificación.
Las razones o causas del fraude es porque la gente tiene baja moral y lo suele explicar por tres argumentos:
1. Oportunidad. 2. Presión. 3. Racionalización.
Los fraudes de la empresa pueden ser ventas ficticias, aportaciones ilegales, sobornos, precio de transferencia acomodada, sobrevaloración, transacciones irregulares, información financiera maquillada, fraude fiscal, desfalcos, falsificación.
Usuarios de auditoria forense
Son las investigaciones corporativas, asuntos criminales, soportes de litigios y reclamos al seguro.
Soporte en litigio
Comprende el:
Conflicto entre empresas - Conflicto entre empresas y ex empleados - Disputa entre accionistas
Reclamos diversos.
- Investigaciones Corporativas - Llamadas anónimas - Cartas de empleados disgustados - Rumores
Asuntos Criminales
- Crimen - Fraude - Auto quiebras - Incendios premeditados.
Habilidades - Legales - Investigativas - Manejo de evidencia - Y presentación de hallazgos
Las normas a utilizar serán: - Las legales - Auditoria Interna y Externa.
Las funciones claves roles y responsabilidades
En materia de fraudes al consejo de administración le corresponde administrar la sociedad y en consecuencia es responsable de establecer las políticas, procedimientos y los controles internos.
Designar supervisar y evaluar al director general y formular un plan.
Responsabilidades del consejo administrativo
A través de su presidente ejecutivo principal y financiero debe declarar públicamente la responsabilidad sobre los estados financieros, sancionar los estados financieros y preparar el informe de gestión, prevenir el fraude, descubrirlo, investigarlo y establecer las sanciones que correspondan.
El auditor interno frente al fraude
Corresponde evaluar los procesos de gestión de riesgos control y gobierno el cual debe identificar los indicadores de fraude pero no se espera que tenga los conocimientos que deben de tener los investigadores de fraude.
Disuasión del Fraude
Consiste en aquellas acciones que deben evitar la realización del fraude y para limitar los riesgos de que el fraude se consuma. El principal mecanismo para la disuasión del fraude es el control.
El auditor interno puede recomendar cualquier investigación que considere necesaria cualquier circunstancia y el cual debe informarlo a la autoridad.
Bases de la informática forense
Experticias, auditoria en inspecciones en computadora y páginas web, comunicación de origen de archivos anexos, determinación de propietarios de dominio .com .net .org, etc.
Prueba de violación de derechos de autor, control preventivo y restricción de uso de computadoras e internet, protección de información y derechos de autor, recuperación de datos o archivos borrados intencionalmente o por virus y recuperación de cifrado de las claves.
Al realizar un análisis de informática forense es necesario tomar nota de lo que se hace con el disco duro, a qué hora almacenándolo en una ubicación segura como por ejemplo una caja fuerte, es recomendable que se trabaje con el medio original que este acompañado de un colega para que conste a los efectos legales y el testimonio pueda ser confirmado por alguien con un nivel de conocimiento similar, el análisis de datos es sumamente importante porque se trabajara en dos partes, una es la infusión en una red de computadoras o mal uso de la misma y la otra es la interceptación de datos, la intrusión en la red con mal funcionamiento es la actividad de la informática forense principal cuando el análisis se hace sobre estructuras de esta naturaleza en las siguientes definiciones
La detección de la intrusión
Detectar la evidencia
Capturarla y preservarla
Y la tercera es la reconstrucción de la actividad específica, para el descubrimiento de la intrusión se especifica el software en la cual se supervisa la comunicación de datos y las conexiones de red, antes de realizar un análisis se debe tener en cuenta la siguiente información.
a) Sistema operativo afectado b) Inventario de un software instalado en el equipo c) Tipo de hardware del equipo d) Accesorios y/o periféricos conectados al equipo e) Si posee hardware si esta en el ámbito de la dmz (zona desmilitarizada) f) Si posee internet g) Configuración h) Parshes y/o actualizaciones de software i) Políticas de seguridad implementadas j) Seguridad de la información si esta cifrada o no k) Personas con acceso al equipo l) La pc esta dentro de la dmz m) Cuantos equipos existen en la red
TOMA DE DECISIONES CRÍTICAS EN PROYECTOS DE AUDITORIA INFORMÁTICA Una adecuada toma de decisiones.
1. ¿Cree usted que el personal participante en la auditoria es importante si o no? Si por que una de las partes más importantes dentro de la planeación de la auditoria sistemas es el personal que deberá participar y sus características.
2. ¿Qué características cree usted que debe tener estas personas?
Se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener el personal que intervendrá en la auditoria. En primer lugar se debe pensar que hay personal asignado por la empresa. Como el ingeniero en sistemas y Técnicos.
3. ¿Como planificaría usted una auditoria de sistemas? Yo la haría siguiendo una serie de pasos previos que me permitan dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.
4. ¿Que haría Usted para que la planeación de los sistemas de auditoria fueran cada vez mejor? Pues yo haría una planeación cada vez mejor y eficaz.
5. ¿Haría usted antes de cada auditoria de sistemas una investigación preliminar si o no y como la haría?
Si la haría observando el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.
6. ¿que diferencia y semejanza ve usted en la auditoria de sistemas y la auditoria financiera? Que la financiera se enfoca en la Veracidad de estados financieros preparación de informes de acuerdo a principios contables, evalúa la eficiencia, operacional y Eficacia y la de sistemas Se preocupa de la función informática.
7. ¿Como seria una Evaluación de Sistemas? La evaluación debe ser con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de objetivos.
8. ¿Cree usted que debería haber un control de proyectos en la auditoria de sistemas? Si debe haber un control ya que debido a las características propias del análisis y la programación, es muy frecuente que la implantación de los sistemas se retrase y se llegue a suceder que una persona lleva trabajando varios años dentro de un sistema o bien que se presenten irregularidades en las que los programadores se ponen a realizar actividades ajenas a la dirección de sistemas. Para poder controlar el avance de los sistemas, ya que ésta es una actividad de difícil evaluación.
9. ¿Que clases de auditoria conoce? Financiera, Económica, Sistemas, Fiscal, Administrativa.
10. ¿Cuáles cree usted que son los objetivos principales de una auditoria de sistemas? • Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD • Incrementar la satisfacción de los usuarios de los sistemas computarizados • Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles. • Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. • Seguridad de personal, datos, hardware, software e instalaciones • Apoyo de función informática a las metas y objetivos de la organización. ACTIVIDADES CRÍTICAS DE LA AUDITORÍA INFORMÁTICA
• Verificación del control interno, tanto de las aplicaciones como de los sistemas informáticos, centrales y periféricos.
• Análisis de la gestión de los sistemas de información desde una vista de riesgo de seguridad y de efectividad de la gestión.
• Evaluación de la integridad, fiabilidad y certeza de la información, a través del análisis de las aplicaciones.
• Análisis del nivel de actualización de las TICs en la organización •Análisis de la gestión de los riesgos de la información y de la seguridad informática.
• Verificación del nivel de continuidad de las operaciones (campos de revisión : riesgo de la información, continuidad de las operaciones, gestión del centro de información, efectividad y actualización de las inversiones).
• Diagnóstico sobre la contribución de las aplicaciones y recursos a las necesidades estratégicas y operativas de información de la organización.
el auditor interno debe convertirse en consultor y apoyo del auditado, sugiriendo procedimientos de control interno, efectividad y eficacia y medición del riesgo
empresarial. Hacia una Auditoria en Informática eficiente Clave:
Conocimiento, habilidades y capacidades profesionales y personales del auditor informático.
Conocer teóricamente normas, políticas y estándares de auditoría/informática, no son garantía de seguridad y confianza.
Experiencia: Práctica, Disciplina, Orden y Objetividad.
Facultades apropiadas de: análisis objetivo, habilidades de comunicación y modelación conceptual, observación y capacidad para tomar decisiones.
Síntomas de Necesidad de una Auditoría Informática: Las empresas acuden a las Auditoría externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases: a) Síntomas de descoordinación y Desorganización: - No coinciden los objetivos de la informática de la compañía y de la propia compañía - Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. (Puede suceder con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna norma importante.) b) Síntomas de mala imagen e insatisfacción de los usuarios: - No se atienden las peticiones de cambios de los usuarios. (Ej. Cambios de software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.) - No se reparan las averías de hardware, no se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente. - No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de aplicaciones críticas y sensibles. c) Síntomas de debilidades económico - financiero: - Incremento desmesurado de costos - Necesidad de justificación de inversiones informáticas (La empresa no esta absolutamente convencida de tal necesidad y decide contrastar opiniones) - Desviaciones presupuestarias significativas - Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a desarrollo de proyectos y al órgano que realizo la petición). d) Síntomas de inseguridad: Evaluación de riesgos
- Seguridad Lógica - Seguridad Física - Confidencialidad (Los datos son de propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales) - Continuidad del servicio. Establece la estrategias de continuidad entre fallo mediante planes de contingencia. Centro de proceso de datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la Auditoría. El síntoma debe ser sustituido por el mínimo indicio. MANEJO DE PRESUPUESTOS EN PROYECTOS DE AUDITORIA INFORMÁTICA
Se le llama presupuesto al cálculo anticipado de los ingresos y gastos de una actividad económica (personal, familiar, un negocio, una empresa, una oficina, un gobierno) durante un período, por lo general en forma anual. Es un plan de acción dirigido a cumplir una meta prevista, expresada en valores y términos financieros que, debe cumplirse en determinado tiempo y bajo ciertas condiciones previstas, este concepto se aplica a cada centro de responsabilidad de la organización. El presupuesto es el instrumento de desarrollo anual de las empresas o instituciones cuyos planes y programas se formulan por término de un año.
MANEJO DE INCIDENTES PROYECTOS DE AUDITORIA INFORMÁTICA
Administración de Problemas: El objetivo es asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder implementando un sistema de manejo de problemas que registre y haga seguimiento a todos los incidentes.
DIFICULTADES DE LA AUDITORIA INFORMÁTICA, ANÁLISIS RETROSPECTIVO ACTUALIZADO Y A FUTURO. DIFICULTADES DE LA AUDITORIA INFORMATICA Características de un computador señala las características más importantes de un computador en su relación con la auditoría. Ellas son: • Automatismo del computador. El computador como un autómata nos libera del comportamiento probabilístico de los seres humanos. • Determinismo del algoritmo. El computador trabaja mediante un proceso exactamente definido que fija la secuencia estricta en que ha de realizarse una serie de operaciones para arribar a un resultado prefijado. Esto lo realiza un programa que en realidad se trata de un modelo determinístico. Se podría resumir en que un computador actúa siempre igual ante iguales situaciones; su comportamiento no es autónomo, sino que debe ser previamente determinado por el hombre (a través de un programa). Como corolario, el riesgo no está en el instrumento en sí (el computador), sino en quién lo maneja y controla (el programador u operador)
RETOS Y PROYECCIONES DE TI Y DE LA AUDITORIA INFORMÁTICA Esto implica que las variables: Estrategia, Alcance, Nivel de riesgo tolerable del Auditor Deben ser definidos antes de elaborar el Plan de Acción o Programa de Auditoría, por cuanto de estas respuestas depende la rentabilidad y eficiencia de la Auditoría así como la calidad de la información y las pruebas que se obtengan. Este es un paso muy importantes en el sentido que es aquí dónde se moldea la Estrategia y las premisas claves de la Auditoría, se obtiene el punto de vista y las sugerencias del Jefe de Grupo, se determina cuán importante es la Auditoría para la Entidad y qué nivel de riesgo de Auditoría se puede aceptar en relación con la importancia del Area o Sistema que representa el Auditado. Se refleja además en la calidad de la
opinión necesaria para minimizar la posibilidad de arribar a una opinión equivocada que pudiera afectar la credibilidad e integridad del auditor. De la Estrategia, los Objetivos Generales de Auditoría y el nivel de riesgo de Auditoría tienen mucho que ver con el enfoque de prueba que posteriormente debía considerarse. Determinación del Enfoque de Prueba: Para la determinación de las técnicas de prueba nos auxiliamos de una matriz cuyas filas recogen 65 Herramientas o Técnicas de Prueba posibles y en las columnas los 8 Tipos de Sistemas: 1-Manual 2-En lote 3-En desarrollo 4-En Línea 5-Disperso de Red 6-Distribuido Cliente/Servidor 7 - M i c r o c o m p u t a d o r a s 8-Probabilísticodonde en cada escape se define el nivel de efectividad que la herramienta posee para ese t i p o d e s i s t e m a y a d e m á s s i s e c o r r e s p o n d e c o n u n a P r u e b a d e C u m p l i m i e n t o o u n a Prueba Sustantiva. Es importante destacar que al usar un enfoque de prueba equivocado se pueden obtener resultados de prueba que no sean indicativos del verdadero riesgo inherente al sistema. Elaboración del Programa de Auditoría: Está claro que en esos momentos ya hemos definido:
Los Objetivos que hay que verificar,
Los riesgos que son necesarios evaluar y
Las Técnicas que vamos a emplear.
ESPECIALIZACIONES EN AUDITORIA INFORMÁTICA
La Certificación en Gestión de Seguridad de la Información (CISM) es la certificación de ISACA introducida desde el año 2002 y dirigida específicamente a profesionales experimentados en la Seguridad de la Información. La certificación CISM está orientada a la gerencia de riesgos y gestión de seguridad de la información.
Certified Information Systems Auditor (CISA) es una certificación para auditores respaldada por la Asociación de Control y Auditoría de Sistemas de Información (ISACA) (Information Systems Audit and Control Association). Los candidatos deben cumplir con los requisitos establecidos por la ISACA.
La certificación CISA fue establecida en 1978, debido a las siguientes razones:
Desarrollar y mantener una herramienta que pueda ser utilizada para evaluar las competencias de los individuos al realizar auditorías de sistemas.
Proveer una herramienta motivacional para los auditores de sistemas de información para mantener sus habilidades, y monitorizar la efectividad de los programas de mantenimiento.
Proveer criterios de ayudar y gestión en la selección de personal y desarrolladores.
"Certified in the Governance of Enterprise IT" (CGEIT) que permite a las empresas disponer de profesionales capaces de aplicar las mejores prácticas y obtener los mejores resultados en la gestión de los Sistemas de Información y Comunicaciones.
Esta certificación se basa en las cinco áreas del conocimiento del gobierno TI, así como también en las normas que respaldan el buen gobierno de las TI (COBIT e ITIL).
El certificado está diseñado para profesionales que desempeñen su profesión en las áreas de Gestión, Asesoramiento o Auditoría del Gobierno de las TI.
El Certificado en Sistemas de Información de Riesgos y Control (CRISC) es una nueva certificación ofrecida por ISACA y se basa en la propiedad intelectual de la asociación, investigación de mercado independiente y los aportes de expertos en la materia de todo el mundo. La certificación ha sido diseñada para profesionales de TI y de negocios que identifiquen y gestionen los riesgos mediante la elaboración, implementación y mantenimiento de sistemas adecuados de información de los controles.
La designación CRISC está diseñado para:
Los profesionales de TI Profesionales de riesgo Análisis económico Los gerentes de proyecto Cumplimiento de los profesionales de la empresa
CRISC Áreas de Enfoque
La designación CRISC se centra en:
Identificación, evaluación y la evaluación de respuestas a los riesgos Supervisión de riesgos Es el diseño de control y aplicación Es seguimiento, control y mantenimiento
AUDITORIA FORENSE La auditoria forense investiga, analiza, interpreta, evalua y documenta hechos relacionados con diferentes tipos de delitos en la cual establece en la edificación plena del o las responsables determina la forma y tiempo en que se dieron los hechos y la cuantificación del daño patrimonial puede ser a una institución privada o a estados. Las auditorias forenses pueden realizarse en cuanto a la auditoria financiera, operacional de gestión, ambiental, obras públicas, informática, en la cual la realizan los auditores donde detectan la existencia de delitos o en caso de denuncias específicas, la auditoria forense es el conjunto de técnicas utilizada en la investigación de hechos, fraudes y corrupción para la proyección de estos hechos la detección, o para la presentación de elementos probatorios. FRAUDE: es un acto inmoral o ilegal perpetrado por una persona en contra de otra persona física o jurídica a la persona que comete el fraude se le llama defraudador y a la afectada defraudada. ERROR:es acción incorrecta pero no intencional sino causada por problemas matemáticos, conceptuales. IRREGULARIDAD: es acción indebida por falsas declaraciones por omisiones intencionales, por manipulación, o por falsificación. RAZONES Y CAUSAS DEL FRAUDE Es porque la gente tiene baja moral y lo suele explicar por tres argumentos - La oportunidad - La presión
- La racionalización Los fraudes de la empresa pueden ser ventas ficticias, aportaciones ilegales, sobornos, precio de transferencia acomodado, sobrevaloración, transacciones irregulares, información financiera retirada, fraude fiscal, desfalcos, falsificación. USUARIOS DE AUDITORIA FORENSE · Investigaciones corporativas · Asuntos criminales · Soportes en litigios · Reclamos al seguro SOPORTE Y LITIGIO Conflicto entre empresas y ex empleados, disputa entre accionistas y reclamos diversos, corporativas, llamadas anónimas, cartas de empleados disgustados, rumores. ASUNTOS CRIMINALES · Crimen · Fraude · Auto quiebras · Incendios premeditados HABILIDADES Pueden ser legales e investigativas, manejo de evidencia y presentación de hallazgos, las normas a utilizar serán las legales, auditoria interna y externa. Las funciones claves, roles y responsabilidades en materia de fraudes al consejo de administración le corresponde administrar la sociedad y en consecuencia es responsable de establecer las políticas, los procedimientos, y los controles internos. Designar, supervisar y evaluar al director general y formular un plan. Las responsabilidades del consejo administrativo, atraves de su presidente ejecutivo principal y financiero debe declarar públicamente la responsabilidad sobre los estados financieros y preparar el informe de gestión, Prevenir el fraude, descubrirlo, investigarlo, y establecer las sanciones que corresponden. El auditor interno frente al fraude, corresponde evaluar los procesos de gestión de riesgos, control y gobierno, el cual debe identificarlos de fraude pero no se espera que tenga los conocimientos que debe de tener los investigadores de fraude, la disuasión del fraude consiste en aquellas acciones que deben evitar la realización de fraude y para limitar los riesgos de que el fraude se consuma, el principal mecanismo para la disuasión de fraude es el control, el auditor interno puede recomendar cualquier investigación, que considere necesaria cualquier circunstancia y el cual debe informarles a las autoridades responsables de la organización.
Requisitos para la elaboración de un informe de Auditoria El Informe de Auditoría indica:‡ Estructura del Informe 1. Título o Identificación del Informe Distinguirlo de otros informes 2. Fecha de Comienzo 3. Miembros del Equipo Auditor 4. Entidad auditada 5. Objetivos 6. Alcance y Enfoque de la Auditoría Estándares, especificaciones, prácticas y procedimientos utilizados Excepciones aplicadas 7. Materias consideradas en la auditoría Situación actual‡ Hechos importantes Hechos consolidados Tendencias, de situación futura Puntos débiles y amenazas (hecho = debilidad) ‡ Hecho encontrado ‡Consecuencias del hecho
‡Repercusión del hecho (influencias sobre otros aspectos)‡ Conclusión del hecho 7.Recomendaciones I. Estilo y Contenido: Objetivo, claro, conciso, constructivo y oportuno II. ‡Apropiado a los destinatarios.‡ III. Identificar organización auditada‡ IV. Objetivos (lo que trata de cumplir la auditoría) V. Alcance: naturaleza, tiempo y extensión del trabajo de auditoría VI. ‡Área funcional VII. ‡Período de auditoría
VIII. ‡Sistemas de información, aplicaciones o entornos audita IX. Hallazgos significativos de la auditoría (causas y riesgos) X. Conclusión: evaluación del auditor sobre el área auditada XI. Recomendaciones, para realizar acciones correctivas XII. Nombre, Dirección y Datos Registrales del Auditor XIII. Firma del Auditor XIV. Fecha de emisión del informe
Una planificación adecuada de auditoría adecuada es el primer paso necesario para realizar auditorias de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoria así como los riesgos del negocio y control asociado. Hay 7 partes importantes de la planificación de la auditoria : 1) Plan previo 2) Obtención de antecedentes de el cliente 3) Obtener información sobre las obligaciones legales del cliente 4) Realización de procedimientos analíticos preliminares 5) Evaluación de la importancia y el riesgo 6) Conocimiento de la estructura del control interno 7) Evaluación del riesgo de control Comprensión del negocio y de su ambiente. . Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de la auditoria, así como los tipos de sistemas que se utilizan. Riesgo y materialidad de auditoria • Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado Normas De Auditoria Las normas de Auditoria Generalmente Aceptadas (NAGAS) son los principios fundamentales de auditoria a los que deben enmarcarse su desempeño los auditores durante el proceso de la auditoria. El cumplimiento de estas normas garantiza la calidad del trabajo profesional del auditor. A continuación se menciona algunas de las áreas que deben ser cubiertas durante la planificación de la auditoria: Comprensión del negocio y de su ambiente. . Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de la auditoria, así como los tipos de sistemas que se utilizan. Riesgo y materialidad de auditoria • Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado Normas De Auditoria Las normas de Auditoria Generalmente Aceptadas (NAGAS) son los principios fundamentales de auditoria a los que deben enmarcarse su desempeño los auditores durante el proceso de la auditoria. El cumplimiento de estas normas garantiza la calidad del trabajo profesional del auditor. Instrumento para realizar una auditoria LCLint (Splint) una herramienta que comprueba posibles problemas en programas escritos en C. Se encarga de buscar muchos de los errores más habituales, pero además localiza posibles violaciones de información oculta, modificaciones inconsistentes de estados, usos inconsistentes de variables globales, errores en la gestión de la memoria, comparticiones peligrosas de datos o usos de alias inesperados, usos de memoria no definidos, de referencias al puntero nulo . Flawfindel examina el código fuente buscando fallos de seguridad .Busca funciones con problemas conocidos. Como desbordamientos de buffer), errores de formato condiciones de,
