HERRAMIENTAS DE AUDITORÍA DE SOFTWARE
Los tipos de Herramientas de auditoría
- Software a medida o dedicados.
- Software de auditoría de sistemas (CAAT: ACL/IDEA)
- Software general (Excel/Access/SQL)
Los paquetes de software de CHAT más usados son: el ACL (Audit Command Language) y el IDEA (Interactive Data Extraction and Analysis). Estos programas diseñados principalmente para auditoría ejecutan 11 funciones principales. Muchos auditores utilizan Excel apoyado con programación en Visual Basic y/o Macros, para realizar análisis de datos que cumplen estas 11 funciones. También hay muchos programas que cumplen estos procesos a parte del mencionado, algunas firmas auditoras internacionales desarrollan sus propios programas.
Ejemplos de filtros ACL/IDEA:
- Puede evaluar la antigüedad de las cuentas
- Identifica duplicados
- Exportación, esta puede ser transferida a otro software
- Extracción, la información puede ser extraída para análisis
- Identificación de Vacío
- Unión y Fusión
- Muestreo. Se puede preparar y analizar muestra de datos
- Clasificación. La información puede ser clasificada por cualquiera área de datos
- Estratificación: se puede organizar grandes cantidades de datos por factores específicos
- Resumen. Los datos pueden ser organizados para identificar patrones
- Campos totales.
Si nos pregunta qué herramienta elegimos: ¿EXCEL ACL O IDEA?
Obvio que descartamos excel por limitaciones: cantidad de columnas/filas y que no guarda logs. Nos quedan ¿ACL o IDEA? A mi parecer la mejor herramienta es IDEA:
Motivos:
- Cuenta con filtros prediseñados (ACL NO)
- Realiza gráficos (ACL NO)
- La longitud de los campos de caracteres en ACL es fijo y todas las cadenas más largas que la longitud predeterminada será cortada sin previo aviso. IDEA revisa el archivo y determina cuales la cadena más larga de cada uno de sus campos y ajusta la longitud del campo en función de la cadena más larga para evitar cortes indeseados.
- Si hubiese una letra en un campo definido previamente como numérico o fecha o viceversa, IDEA generará un archivo de datos incorrecto para identificar con facilidad y exactitud los registros no válidos. ACL sólo muestra ceros en dichos registros, lo que hace difícil al usuario detectar el error.
- IDEA te permite simplemente arrastrar y soltar a su explorador los archivos de datos para importar
- IDEA hasta te permite importar los proyectos de ACL, para convertirlos fácilmente a formato de IDEA (ACL NO)
AUDITORIA FORENSE
INFORMACIÓN FORENSE
Conjunto de métodos, procedimientos y normas internacionales de buenas costumbres, tendientes a efectuar investigaciones judiciales o privadas en medios tecnológicos, con el principio de conservación de la evidencia
ISO 27.037:
ETAPAS: IDENTIFICACIÓN – RECOLECCIÓN – ADQUISICIÓN – PRESERVACIÓN
Relevancia de la Evidencia: la evidencia digital debe estar unívocamente relacionada con los hechos a investigar
Confiabilidad y Repetibilidad: la evidencia: tiene que ser confiable, y debe aportar los mismos resultados por distintos investigadores, en las instancias que sean
Suficiencia: los elementos adquiridos deben ser suficientes para el hecho a investigar
La norma no especifica si las cuatro etapas deben ser realizadas por el/los perito/s. Tampoco especifica si todas las etapas deben realizarse en la escena del hecho. Todo dependerá de lo que ordene el “oficio judicial” Algunas etapas pueden ser en la escena, otras en el laboratorio
Etapa de Identificación y Recolección
- Obviamente identificar los elementos de la escena y nombrarlos. Los mismos pueden estar descritos o no en el oficio. Así mismo se debe documentar el estado de situación de cada elemento hallado.
- Se debe nomenclar utilizando descripciones simples, ej PC-01, y documentando las características constitutivas del elemento
- Se debe documentar en acta marca, modelo y números de serie de dispositivos de almacenamiento masivo (magnético. Electrónico y óptico)
- Si el paso posterior es traslado a Laboratorio, entonces se deberá almacenar convenientemente, revestir con bolsas anti estáticas y anti ruido EM sobre todo para el caso de equipos móviles (bolsa de faraday)
Etapas de Adquisición
- Se denomina así ya que hay que es la etapa en donde se adquiere la copia más fiel que se puede tener de las evidencias recolectadas e identificadas.
- A esa copia fiel, la denominaremos de ahora en más la llamaremos “Copia Forense o Imagen Forense”
- Una imagen forense, es una copia “bit a bit” de la evidencia a adquirir, sin importar, la estructura de datos y sistema de archivos a copiar
Tipos de Imágenes Forenses
- Imagen tipo DD, efectuada con el viejo comando de copia dd, es el denominado plano, y ocupa el mismo espacio que el original. Su extensión es archivo.dd
- Imagen tipo EWF, es el formato propietario de Encase, que ya es un estándar libre hoy. Participa en varios archivos. Comprime y puede ser encriptado. Archivo.E01, Archivo.E02, etc
- Imagen tipo AWF, similar al anterior. Siempre fue un estándar abierto. Prácticamente en desuso
¿Qué condición debe tener la evidencia original en el momento de la adquisición?
- La evidencia original debe mantenerse “inalterable”. Entonces en el momento que vayamos a hacer la “imagen forense”, la misma no debe ser alterada por el Sistema Operativo en dónde hagamos la tarea
- Por ende se debe bloquear contra escritura
Bloqueo por Hard = Bloqueadores y Duplicadores Forenses
Bloqueo por Soft = Bloqueo de USB en Windows o Distro de Linux Forense
Etapa de preservación
- Etapa más que importante, ya que da aval técnico y jurídico a las anteriores
- ¿Qué se tiene que preservar?
Evidencias Originales (embalar, bolsas faraday, etc) Evidencias de las imágenes realizadas
- ¿Qué es lo que preserva a las imágenes forenses? El cálculo del Hash
Concepto de Hash: Es una función matemática de criptografía. Dado un archivo digital, si aplicamos la función hash a dicho archivo, obtenemos como resultado un número finito de bits, que es unívoco a dicho archivo. Si el archivo no se modifica, el cálculo del valor hash dará siempre el mismo resultado. Luego de adquisición de cada imagen forense, se deberá efectuar un hash a la evidencia original, y a la imagen forense efectuada. Si ambos hashes resultan coincidentes, entonces la copia forense es “íntegra”, y la evidencia será preservada
Procedimientos con computadoras
- Extracción de los discos duros Existentes
- Nomenclar los discos correlativamente respecto a lo efectuado con cada CPU, ej PC01-HD01
- Inserción de cada disco en la CPU examinadora
- Inserción de cada disco en un duplicador forense
- para el caso de notebooks, se podrá arrancar con boot USB/DVD forensic
- CPU que se encuentra apagada , “NO SE ENCIENDE”
- La CPU que se encuentra encendida “NO SE APAGA”. Se debe adquirir memoria RAM, y luego proceder a su desconexión eléctrica.
- Servidores de disponibilidad crítica, corresponde archivo de “EVIDENCIA LÓGICA”, esto es tomar imagen en vivo del contenedor o carpeta que corresponda
- Servidores con sistema RAID, imagen forense de cada disco. Luego en el análisis se deberá rearmar el volumen lógico
- Memorias, usar adaptadores USB y bloqueando dicho puerto contra escritura para su posterior adquisición
- Elemento móvil, bolsa de Faraday o “Modo Avión” aunque es cuestionable
(Las buenas costumbres de la informática forense indican adquisición de Disco Físico. Si por oficio se solicita solo volumen lógico, carpetas o contenedores, se debe asentar en acta que así fue ordenado, y el perito en su informe puede hacer un descargo de que es lo que se pierde al no realizar imagen del disco en su totalidad)
Forensia en móviles
Etapa de evaluación: se debe evaluar las pruebas digitales a fondo con respecto al ámbito de aplicación del caso para determinar el curso de acción a tomar.
Etapa de Adquisición: Las pruebas originales deberán ser adquiridas de manera de proteger y preservar la integridad de las mismas.
Etapa de Análisis: Investigación de los puntos de pericia solicitados por oficio. Lo mejor que nos puede pasar es que los puntos vengan bien detallados. Saben llegar oficios generalizados
Documentación y reporte: Las acciones anteriores deben ser debidamente documentadas. Se debe concluir con un informe escrito de lo efectuado, en el ámbito judicial cuidando las formas. En el ámbito interno con un Escribano que da fe a las actas generadas; el paso posterior puede ser la presentación de las pruebas en la justicia.
Análisis Forense
*Antes de iniciar el análisis, si el perito no actuó en el allanamiento, debería verificar la última fecha de encendido del equipo, O sea la fecha de último encendido debe ser menor o igual a la fecha de allanamiento, nunca posterior. De verificar esto, el perito debe reportar que se ha roto la cadena de custodia*
Informe o Dictamen Forense
AUDITORÍA DE EECC
INTRODUCCIÓN
El taller de Auditoría de Estados Contables en un contexto computarizado tiene por objetivo identificar entre las técnicas de auditoría de sistemas estudiadas en el curso aquellas que pueden ser aplicadas en una auditoría de estados contables.
En el informe 15 se detalla una serie de controles que se recomiendan realizarse, en un primer momento, sobre el ambiente en general. Y enumera una serie de técnicas y procedimientos para los sistemas en particular.
El auditor debe conocer el ambiente para poder determinar con la mayor exactitud posible, el riesgo que se verá reflejado en la tarea de auditoría.
Tanto las normas nacionales como las internacionales de auditoría determinan que el auditor debe conocer el ente, su estructura y sus componentes. Dentro de estos, incluyen que debe conocer el sistema contable con el cual se procesan las transacciones comerciales, de las cuales derivará luego el estado patrimonial, el de resultados, y otros informes.
CONSIGNA
En la simulación presentada en este taller, van a acompañar la auditoría de un balance contable de una empresa, que registra sus operaciones a través de un sistema informatizado. Luego de trabajar en los primeros puntos, trataremos de generar qué procedimientos o técnicas utilizamos para poder determinar si los saldos presentados por el balance son correctos.
Ambiente general:
- En la RT 7 se describe, como uno de los primeros puntos del proceso de auditoría:
“identificación del ente a auditar.” Bajo esta premisa, identifiquen distintos tipos o clases de entes que conozcan y escriban una lista.
- Sociedades Anónimas
- Sociedad de Hecho
- Sociedad de Responsabilidad Limitada
- Unipersonal
¿Cómo les parece que pueden estar organizados? Como ejemplo, una sola sede.
- Casa Matriz
- Sucursales
- Filiales
- Franquicias
- Servidores
- Base de datos
- Centro de Cómputos
- Cableado
- Cámaras de Seguridad
- Sistema de Gestión.
- Ahora llegamos a nuestro objetivo, que son los estados contables. Identifiquen las partes de un balance contable.
- Cuentas
- Clasificación de Cuentas
- Asientos Contables
- Mayores
- Libro Diario
- Tengan en consideración las respuestas de las dos últimas preguntas. ¿Cómo creen que un balance contable puede estar influenciado por la estructura informática del ente?
Discuten y escriben las conclusiones.
Un balance contable está influenciado por la estructura informática por el tiempo y calidad de la información obtenida, estos recursos hacen a la complejidad de la información desde el registro, clasificación y resumen; necesarios para la toma de decisiones de los distintos niveles (operativo/táctico/estratégico) del ente.
Procedimientos – ejemplos
Diseñen los procedimientos de auditoría a utilizar, teniendo en cuenta un entorno de sistemas con tecnología de la información.
Informe del auditor.
Una vez finalizada la tarea del auditor de sistemas, vamos a redactar el Informe.
Escriba qué temas deberían resaltarse en el Informe de una auditoría contable entre el emitido por un auditor de sistemas y un auditor contable.
Tanto la auditoría contable como la auditoría informática requieren que los sistemas informáticos aplicados estén acorde a las necesidades de la organización lo cual permitirá mantener un control adecuado de la información económica-financiera de la empresa. La auditoría contable se encarga de revisar la razonabilidad de la información presentada en los estados financieros mientras que la auditoría informática se encarga de determinar el grado de eficacia del sistema informático aplicado en la entidad.