Herramientas Auditoria

En esta ocasion, se verificaron y probaron diferentes herramientas de auditoria, que sirven para agilizar las etapas que se desarrollan en procesos de auditoria, los sistemas de auditora son muy complejos y necesitan de un nivel detallado de verificacion de la informacion, y esta informacion que se quiere verificar es tambien muy compleja, por eso para estos casos siempre es mejor tener conocimientos de que herramientas pueden sernos utilies para agilizar la practica de los procesos que se estan auditando.

Las herramientas que se testearon fueron:

WinAudit: WinAudit es una herramienta que permite verificar en la computadora donde se ejecute, un diagnostico profundo para detallar los componentes de software y hardware que se tiene actualmente en la maquina.

EZSBenford: EZSBenford es una herramienta de auditoría que tiene como estrategia utilizar la ley de benford para el analisis digital de los datos en la deteccion de fraudes transaccionales.

RUSecure:

RUSecure Information Security Policies, es una herramienta con información sobre las políticas de seguridad en una organización, está basado sobre los estándares internacionales para la seguridad de la información ISO 17799 y BS 7799.

CIS NG Scoring Tool:El CIS NG Scoring Tool, es una herramienta que proporciona puntos de referencia para diferentes utilidades, también provee software, datos, información y otros servicios y materiales.

Router Audit Tool:

El Router Audit Tool analiza las vulnerabilidades que se encuentren en un router.

Taller IDEAS

En esta ocasión, se trabajo con una herramienta que analiza información para la detección de fraudes, la descripción del software se hace a continuación:

IDEA es un software que sirve reducir costes en análisis, agregar calidad al trabajo, y satisfacer los nuevos requerimientos profesionales vinculados a control interno y detección de fraudes.

Este software permite leer, visualizar, analizar, manipular, obtener muestras o extraer datos desde archivos provenientes de múltiples orígenes - desde un mainframe hasta una PC -, incluyendo reportes impresos.

La pagina principal de la herramientas es la siguiente: http://www.caseware.com/products/idea

Los siguientes son algunos enlaces a videotutoriales referente a la herramienta:

Fases Auditorias Cruzadas

En este ejercicio de auditorias cruzadas, se plantearon diferentes fases para la entrega de informes a los demas grupos, en estas fases aprendimos como se debe sustentar la informacion que se registra, y como las personas auditadas deben argumentar que lo que dicen es cierto.

Auditoria Cruzadas

Se realizaron auditorias cruzadas, con los procesos de Cobit a la empresa auditextiles, cada grupo con su grupo de procesos y sus cuestionarios, empezó a desarrollar los cuestionarios, que eran a su vez, resueltos y argumentados por otro grupo encargado de responder por esos procesos, fue importante desarrollar este ejercicio, para identificar la forma en que se responden y se hacen las preguntas, y para identificar que tanto conocimiento se tiene de la organización.

Dominios de Cobit

Planear y Organizar

P02: Definir un Plan Estratégico de TI

Este proceso, verifica que tan coordinado esta

plan estrategico de ti

con los procesos de la empresa

P02: Definir la Arquitectura de Información

Se debe crear y actualizar un modelo de información de negocio y definir los sistemas que optimizan el uso de esa información.

P03: Determinar la dirección tecnológica

Se debe determinar la dirección tecnológica para dar soporte al negocio

P04: Definir los Procesos, Organización y relaciones de TI

Este proceso verifica como estra estrucuturado, como se manejan los puestos de trabajo, como se estan implemtando los procesos de la empresa.

P05 : Administrar la Inversión de Ti

Cuando se da la tarea de gestión de recursos de inversión en TI, se debe manejar esas inversiones verificando de donde salen, que es lo que motiva esa inversión, que lo justifica, etc., también se hace un análisis de como esta retornando a la empresa esa inversion de TI.

P06 : Comunicar las Aspiraciones y la Dirección de la Gerencia

Este proceso verifica como estan las comunicaciones con la gerencia general, como es esta manejando ese proceso en dodne se toman las desiciones, en muchos caos suscede que la alta direccion toma desiciones y los subordinados no se adn cuetna, es necesario, qeu esta información se entregada tambien al personal al cual tenga uno a cargo, y quienes participan en esa desición.

P07: Administrar los Recursos Humanos de TI

Se es necesario saber como manejar el personal deacuerdo a las características que tienen, sobre todos tener mucho cuidado con personas con un actitud caótica

P08: Administrar Calidad

En este procesos de calidad CMMI tiene un enfoque mas preciso para definir, mejorar y medir la calidad de servicios prestados por TI

P09: Administrar y evaluar Riesgos de TI

Se debe focalizar el manejo de Riesgos en las TI, de manera que esos riesgos este en un limite que sean controlables, de manera que esos riesgos no nos afecten o nos hagan vulnerables.

P10: Administrar y evaluar Riesgos de TI (PMBook, Prince Book)

Tener una adecuada tecnología para manejar los proyectos, se es necesario para garantizar entregables, optimizar recursos y para encontrar un camino optimo para administrar recursos financieros.

Caso Nominas

El caso nominas, es una situacion que se presento en la vida real, en la universidad de caldas, en donde se produjo un problema grave en el pago de la nomina a los empleados, de tal manera que unos cuantos recibian mas de lo que realmente tenian que recibir y otros recibian menos, todo esto se dio por fallas en la forma como se administro la migracion de los datos, con una planificacion sin mucho analisis y con una ejecucion inicial del nuevo sistema en una temporada muy sensible para el manejo de la informacion financiera de la institucion.

COBIT

En esta semana, empezamos a ver el tema de gobierno de tecnologías de TI Cobit, que abarca temas referentes a la infraestructura tecnológica de una empresa.

Tiene 34 objetivos nivel altos que cubren 215 objetivos de control clasificados en cuatro dominios: Planear y Organizar, Adquirir e Implementar, Entrega y Apoyar y Supervisar y Evalúar.

Independientemente de la realidad tecnológica de cada caso concreto, COBIT determina, con el respaldo de las principales normas técnicas internacionales, un conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la organización.