HERRAMIENTAS DE AUDITORÍA DE SOFTWARE

Los tipos de Herramientas de auditoría

Software a medida o dedicados.
Software de auditoría de sistemas (CAAT: ACL/IDEA)
Software general (Excel/Access/SQL)

Los paquetes de software de CHAT más usados son: el ACL (Audit Command Language) y el IDEA (Interactive Data Extraction and Analysis). Estos programas diseñados principalmente para auditoría ejecutan 11 funciones principales. Muchos auditores utilizan Excel apoyado con programación en Visual Basic y/o Macros, para realizar análisis de datos que cumplen estas 11 funciones. También hay muchos programas que cumplen estos procesos a parte del mencionado, algunas firmas auditoras internacionales desarrollan sus propios programas.

Ejemplos de filtros ACL/IDEA:

Puede evaluar la antigüedad de las cuentas
Identifica duplicados
Exportación, esta puede ser transferida a otro software
Extracción, la información puede ser extraída para análisis
Identificación de Vacío
Unión y Fusión
Muestreo. Se puede preparar y analizar muestra de datos
Clasificación. La información puede ser clasificada por cualquiera área de datos
Estratificación: se puede organizar grandes cantidades de datos por factores específicos
Resumen. Los datos pueden ser organizados para identificar patrones
Campos totales.

Si nos pregunta qué herramienta elegimos: ¿EXCEL ACL O IDEA?

Obvio que descartamos excel por limitaciones: cantidad de columnas/filas y que no guarda logs. Nos quedan ¿ACL o IDEA? A mi parecer la mejor herramienta es IDEA:

Motivos:

Cuenta con filtros prediseñados (ACL NO)
Realiza gráficos (ACL NO)
La longitud de los campos de caracteres en ACL es fijo y todas las cadenas más largas que la longitud predeterminada será cortada sin previo aviso. IDEA revisa el archivo y determina cuales la cadena más larga de cada uno de sus campos y ajusta la longitud del campo en función de la cadena más larga para evitar cortes indeseados.
Si hubiese una letra en un campo definido previamente como numérico o fecha o viceversa, IDEA generará un archivo de datos incorrecto para identificar con facilidad y exactitud los registros no válidos. ACL sólo muestra ceros en dichos registros, lo que hace difícil al usuario detectar el error.
IDEA te permite simplemente arrastrar y soltar a su explorador los archivos de datos para importar
IDEA hasta te permite importar los proyectos de ACL, para convertirlos fácilmente a formato de IDEA (ACL NO)

AUDITORIA FORENSE

INFORMACIÓN FORENSE

Conjunto de métodos, procedimientos y normas internacionales de buenas costumbres, tendientes a efectuar investigaciones judiciales o privadas en medios tecnológicos, con el principio de conservación de la evidencia

ISO 27.037:

ETAPAS: IDENTIFICACIÓN – RECOLECCIÓN – ADQUISICIÓN – PRESERVACIÓN

Relevancia de la Evidencia: la evidencia digital debe estar unívocamente relacionada con los hechos a investigar

Confiabilidad y Repetibilidad: la evidencia: tiene que ser confiable, y debe aportar los mismos resultados por distintos investigadores, en las instancias que sean

Suficiencia: los elementos adquiridos deben ser suficientes para el hecho a investigar

La norma no especifica si las cuatro etapas deben ser realizadas por el/los perito/s. Tampoco especifica si todas las etapas deben realizarse en la escena del hecho. Todo dependerá de lo que ordene el “oficio judicial” Algunas etapas pueden ser en la escena, otras en el laboratorio

Etapa de Identificación y Recolección

Obviamente identificar los elementos de la escena y nombrarlos. Los mismos pueden estar descritos o no en el oficio. Así mismo se debe documentar el estado de situación de cada elemento hallado.
Se debe nomenclar utilizando descripciones simples, ej PC-01, y documentando las características constitutivas del elemento
Se debe documentar en acta marca, modelo y números de serie de dispositivos de almacenamiento masivo (magnético. Electrónico y óptico)
Si el paso posterior es traslado a Laboratorio, entonces se deberá almacenar convenientemente, revestir con bolsas anti estáticas y anti ruido EM sobre todo para el caso de equipos móviles (bolsa de faraday)

Etapas de Adquisición

Se denomina así ya que hay que es la etapa en donde se adquiere la copia más fiel que se puede tener de las evidencias recolectadas e identificadas.
A esa copia fiel, la denominaremos de ahora en más la llamaremos “Copia Forense o Imagen Forense”
Una imagen forense, es una copia “bit a bit” de la evidencia a adquirir, sin importar, la estructura de datos y sistema de archivos a copiar

Tipos de Imágenes Forenses

Imagen tipo DD, efectuada con el viejo comando de copia dd, es el denominado plano, y ocupa el mismo espacio que el original. Su extensión es archivo.dd
Imagen tipo EWF, es el formato propietario de Encase, que ya es un estándar libre hoy. Participa en varios archivos. Comprime y puede ser encriptado. Archivo.E01, Archivo.E02, etc
Imagen tipo AWF, similar al anterior. Siempre fue un estándar abierto. Prácticamente en desuso

¿Qué condición debe tener la evidencia original en el momento de la adquisición?

La evidencia original debe mantenerse “inalterable”. Entonces en el momento que vayamos a hacer la “imagen forense”, la misma no debe ser alterada por el Sistema Operativo en dónde hagamos la tarea
Por ende se debe bloquear contra escritura

Bloqueo por Hard = Bloqueadores y Duplicadores Forenses

Bloqueo por Soft = Bloqueo de USB en Windows o Distro de Linux Forense

Etapa de preservación

Etapa más que importante, ya que da aval técnico y jurídico a las anteriores
¿Qué se tiene que preservar?

Evidencias Originales (embalar, bolsas faraday, etc) Evidencias de las imágenes realizadas

¿Qué es lo que preserva a las imágenes forenses? El cálculo del Hash

Concepto de Hash: Es una función matemática de criptografía. Dado un archivo digital, si aplicamos la función hash a dicho archivo, obtenemos como resultado un número finito de bits, que es unívoco a dicho archivo. Si el archivo no se modifica, el cálculo del valor hash dará siempre el mismo resultado. Luego de adquisición de cada imagen forense, se deberá efectuar un hash a la evidencia original, y a la imagen forense efectuada. Si ambos hashes resultan coincidentes, entonces la copia forense es “íntegra”, y la evidencia será preservada

Procedimientos con computadoras

Extracción de los discos duros Existentes
Nomenclar los discos correlativamente respecto a lo efectuado con cada CPU, ej PC01-HD01
Inserción de cada disco en la CPU examinadora
Inserción de cada disco en un duplicador forense

para el caso de notebooks, se podrá arrancar con boot USB/DVD forensic

CPU que se encuentra apagada , “NO SE ENCIENDE”
La CPU que se encuentra encendida “NO SE APAGA”. Se debe adquirir memoria RAM, y luego proceder a su desconexión eléctrica.
Servidores de disponibilidad crítica, corresponde archivo de “EVIDENCIA LÓGICA”, esto es tomar imagen en vivo del contenedor o carpeta que corresponda
Servidores con sistema RAID, imagen forense de cada disco. Luego en el análisis se deberá rearmar el volumen lógico
Memorias, usar adaptadores USB y bloqueando dicho puerto contra escritura para su posterior adquisición
Elemento móvil, bolsa de Faraday o “Modo Avión” aunque es cuestionable

(Las buenas costumbres de la informática forense indican adquisición de Disco Físico. Si por oficio se solicita solo volumen lógico, carpetas o contenedores, se debe asentar en acta que así fue ordenado, y el perito en su informe puede hacer un descargo de que es lo que se pierde al no realizar imagen del disco en su totalidad)

Forensia en móviles

No existe el concepto de imagen forense, ya que se examina el sistema en vivo. Con lo cual hablamos del concepto de “extracción lógica” de los datos de la SIM+Sistema Operativo

Antes de la extracción lógica se debe usar bolsas de faraday para confinar el equipo dentro, para aislar de señales EN entrantes y salientes, que puedan contaminar la evidencia

Pocas plataformas Open Source, NEOSECURE para Android, Paladin para IPHONE (es pago), salvo Autopsy 4.1.1 que analiza o para un sistema Android

UFED-Cellebrite, XRY Forensic (fuerzas de la ley), Oxygen Suite Forensic, Mobiledit Forensic, son algunos de los programas más usados

Etapa de evaluación: se debe evaluar las pruebas digitales a fondo con respecto al ámbito de aplicación del caso para determinar el curso de acción a tomar.

Etapa de Adquisición: Las pruebas originales deberán ser adquiridas de manera de proteger y preservar la integridad de las mismas.

Etapa de Análisis: Investigación de los puntos de pericia solicitados por oficio. Lo mejor que nos puede pasar es que los puntos vengan bien detallados. Saben llegar oficios generalizados

Documentación y reporte: Las acciones anteriores deben ser debidamente documentadas. Se debe concluir con un informe escrito de lo efectuado, en el ámbito judicial cuidando las formas. En el ámbito interno con un Escribano que da fe a las actas generadas; el paso posterior puede ser la presentación de las pruebas en la justicia.

Análisis Forense

Parte del proceso en donde se efectúa el análisis de los puntos solicitados, los más comúnmente pedidos son:

Mails: tanto configurados en clientes como en Webmails (problemática actual)

Búsqueda de palabras claves, Keyword Search

Recuperación de información borrada

Trazas de la información: metadatos de fechas de una acción dada

Metadatos sobre determinados archivos: últimos archivos abiertos, fecha de último encendido de equipos

*Antes de iniciar el análisis, si el perito no actuó en el allanamiento, debería verificar la última fecha de encendido del equipo, O sea la fecha de último encendido debe ser menor o igual a la fecha de allanamiento, nunca posterior. De verificar esto, el perito debe reportar que se ha roto la cadena de custodia*

Informe o Dictamen Forense

Primeras fojas: explicación de lo realizado en cada punto de pericia. Se debe explicar en forma concisa y guardando las formas

Anexos: por cada punto de pericia se tendrá que efectuar un informe detallado, con todos los aspectos técnicos exportados, explicando el origen y reporteando los logs

El perito puede considerar el envío el formato digital de la información, pasadas las 50 fojas útiles (Resolución Nº 3.909/2010 CSJN)

AUDITORÍA DE EECC

INTRODUCCIÓN

El taller de Auditoría de Estados Contables en un contexto computarizado tiene por objetivo identificar entre las técnicas de auditoría de sistemas estudiadas en el curso aquellas que pueden ser aplicadas en una auditoría de estados contables.

En el informe 15 se detalla una serie de controles que se recomiendan realizarse, en un primer momento, sobre el ambiente en general. Y enumera una serie de técnicas y procedimientos para los sistemas en particular.

El auditor debe conocer el ambiente para poder determinar con la mayor exactitud posible, el riesgo que se verá reflejado en la tarea de auditoría.

Tanto las normas nacionales como las internacionales de auditoría determinan que el auditor debe conocer el ente, su estructura y sus componentes. Dentro de estos, incluyen que debe conocer el sistema contable con el cual se procesan las transacciones comerciales, de las cuales derivará luego el estado patrimonial, el de resultados, y otros informes.

CONSIGNA

En la simulación presentada en este taller, van a acompañar la auditoría de un balance contable de una empresa, que registra sus operaciones a través de un sistema informatizado. Luego de trabajar en los primeros puntos, trataremos de generar qué procedimientos o técnicas utilizamos para poder determinar si los saldos presentados por el balance son correctos.

Ambiente general:

En la RT 7 se describe, como uno de los primeros puntos del proceso de auditoría:

“identificación del ente a auditar.” Bajo esta premisa, identifiquen distintos tipos o clases de entes que conozcan y escriban una lista.

Sociedades Anónimas
Sociedad de Hecho
Sociedad de Responsabilidad Limitada
Unipersonal

Continuemos con la identificación de las características de los entes seleccionados.

¿Cómo les parece que pueden estar organizados? Como ejemplo, una sola sede.

Casa Matriz
Sucursales
Filiales
Franquicias

Avancemos con la identificación del ente. Vamos a conocer cómo está armada su estructura informática. Describan cuales son los elementos que debería encontrar en dicha estructura. Armen un listado.

Servidores
Base de datos
Centro de Cómputos
Cableado
Cámaras de Seguridad
Sistema de Gestión.
Ahora llegamos a nuestro objetivo, que son los estados contables. Identifiquen las partes de un balance contable.

Cuentas
Clasificación de Cuentas
Asientos Contables
Mayores
Libro Diario

Tengan en consideración las respuestas de las dos últimas preguntas. ¿Cómo creen que un balance contable puede estar influenciado por la estructura informática del ente?

Discuten y escriben las conclusiones.

Un balance contable está influenciado por la estructura informática por el tiempo y calidad de la información obtenida, estos recursos hacen a la complejidad de la información desde el registro, clasificación y resumen; necesarios para la toma de decisiones de los distintos niveles (operativo/táctico/estratégico) del ente.

Procedimientos – ejemplos

Diseñen los procedimientos de auditoría a utilizar, teniendo en cuenta un entorno de sistemas con tecnología de la información.

Informe del auditor.

Una vez finalizada la tarea del auditor de sistemas, vamos a redactar el Informe.

Escriba qué temas deberían resaltarse en el Informe de una auditoría contable entre el emitido por un auditor de sistemas y un auditor contable.

Tanto la auditoría contable como la auditoría informática requieren que los sistemas informáticos aplicados estén acorde a las necesidades de la organización lo cual permitirá mantener un control adecuado de la información económica-financiera de la empresa. La auditoría contable se encarga de revisar la razonabilidad de la información presentada en los estados financieros mientras que la auditoría informática se encarga de determinar el grado de eficacia del sistema informático aplicado en la entidad.