miércoles, 30 de noviembre de 2011
miércoles, 23 de noviembre de 2011
Observaciones de Auditoria II- Ejemplos
3:39
[Alexander Sama]
martes, 8 de noviembre de 2011
domingo, 30 de octubre de 2011
Controles & Auditoría (VII)
19:20
[Alexander Sama]
CONTROLES PREVENTIVOS:
· Son más rentables.
· Deben quedar incorporados en los sistemas.
· Evitan costos de corrección o reproces.
CONTROLES DETECTIVOS
· Son más costosos que los preventivos.
· Miden la efectividad de los preventivos.
· Algunos errores no pueden ser evitados en la etapa preventiva.
· Incluyen revisiones y comparaciones (registro de desempeño).
· Conciliaciones, confirmaciones, conteos físicos de inventarios, análisis de variaciones.
· Límites de transacciones, passwords, edición de reportes.
CONTROLES CORRECTIVOS
· Acciones y procedimientos de corrección (la recurrencia).
· Documentación y reportes que informan a la Gerencia, supervisando los asuntos hasta que son corregido o solucionados.
Los controles correctivos permiten el reestablecimiento de la actividad después de ser detectado el evento no deseable y la modificación de las acciones que propiciaron su ocurrencia. Estos controles se establecen cuando los anteriores no operan y permiten mejorar las deficiencias; por lo general, actúan con los controles detectivos, implican reprocesos y son más costosos porque actúan cuando ya se han presentado los hechos que implican pérdidas para la organización. La mayoría son de tipo administrativo y requieren políticas o procedimientos para su ejecución.
REPROCESOS:
El deseo de cambio surge cuando se advierte que existe un espacio lo que se hace y lo que se desea hacer en materia de: Productividad, calidad y satisfacción de los participantes.
· Insatisfacción – Crisis – Problemas-
· Reconocimiento de la necesidad de Cambiar.
Acción tomada sobre un producto no conforme para que cumpla con los requisitos, una corrección puede ser por ejemplo un reproceso.
Diferencias entre reproceso y reparación:
Ambas, reproceso y reparación se dan sobre un producto, es decir algo que ya es el resultado final de un proceso, ambas en el momento de la reparación o reproceso son productos no conformes, la diferencia radica en que el reproceso generalmente se da a un producto no conforme que generalmente no ha llegado al cliente y lo único que se le puede hacer es reprocesarlo, recordemos que el prefijo re significa repetición, es decir ese producto no conforme va a pasar de nuevo por el proceso que paso previamente para que se genere de manera conforme (ejemplo: partes de acero que no cumplen especificaciones se vuelven a fundir para hacerlas a modo que cumplan). Por otro lado la reparación puede o no darse a un producto que llego al cliente, y que puede o no haya sido conforme alguna vez, entre ellos como la norma lo menciona esta el mantenimiento, (por ejemplo un coche sale de la fabrica conforme pero con el tiempo y desgaste comienza a fallar y se manda a darle mantenimiento y a veces reparar, ya sea la transmisión, embrague u otra parte).
Controles & Auditoría (VI)
19:15
[Alexander Sama]
CONTROL.
Es el uso o establecimiento de todos los medios en un negocio para promover, dirigir, restringir, gobernar y verificar varias actividades con el fin de ver que los objetivos son alcanzados. Esos medios incluyen, pero no se limitan, la forma de organizarse, políticas, procedimientos, sistemas, instrucciones, normas, comités, catálogos de cuentas, pronósticos, presupuestos, programas, reportes, registros, métodos, mecanismos y auditoría interna.
Actualmente Control es…
… cualquier acción tomada por la Gerencia para mejorar la probabilidad de que los objetivos establecidos sean alcanzados.
… Sistema de Control es la integración (o el conjunto) de los componentes o actividades que son usados por la organización para alcanzar sus objetivos y metas.
Se diseñan para cumplir varias funciones.
Preventivos: Anticipan eventos no deseados antes de que sucedan
Son más rentables
Deben quedar incorporados en los sistemas
Evitan costos de corrección o reproceso
Son más costosos que los preventivos
Miden la efectividad de los preventivos
Algunos errores no pueden ser evitados en la etapa preventiva
Incluyen revisiones y comparaciones (registro de desempeño)
Conciliaciones, confirmaciones, conteos físicos de inventarios, análisis de variaciones y técnicas automatizadas.
Límites de transacciones, passwords, edición de reportes y auditoría interna.
Acciones y procedimientos de corrección (la recurrencia)
Documentación y reportes que informan a la Gerencia, supervisando los asuntos hasta que son corregidos o solucionados…
Controles & Auditoría (V)
19:11
[Alexander Sama]
CONTROLES DE PREVENCION
Prevención de la filtración a la información
Sin las medidas preventivas adecuadas, las aplicaciones son vulnerables a varios tipos de ataques de seguridad. Un tipo particular a pesar de ser una de las vulnerabilidades mas documentadas, hoy en día es el denominado SQL injection.
Utilizando este método, un hacker puede pasar cadenas de entrada a una aplicación con la esperanza de conseguir acceso no autorizado a la base de datos.
¿Qué es SQL Injection?
Una inyección SQL sucede cuando se inserta o inyecta un código SQL invasor dentro de otro código SQL para alterar su funcionamiento normal y hacer que se ejecute maliciosamente el código invasor en la base de datos.
Consulta: “select * from usuario where user=’$user’ ”;
Correcto Funcionamiento: “select * from usuario whereuser=’marco’ ”;
SQL malicioso: “select * from usuario where user= ’’ or ‘1’ =’1’ ”;
Aunque existen diversas técnicas de proteger servidores y siguen encontrándose hoy en día a parte de las buenas prácticas de programación, es necesario utilizar software/módulos de apoyo que nos ayuden a tener nuestros servidores web más seguros frente a inyecciones SQL.
Por ejemplo tenemos la herramienta GreenSQL, que es un firewall de aplicación, que se interpone a modo de proxy entre el servidor de MySQL y la aplicación web. Es capaz de filtrar las sentencias y proteger las bases de datos de ataques de tipo SQL injection.
Las peticiones llegan a nuestra aplicación web, se envían al puerto por el que escucha GreenSQL, que las analiza y las reenvía al servidor MSQL. GreenSQL puede instalarse en el mismo sistema donde reside la base de datos o en otro diferente.
Controles & Auditoría (IV)
19:08
[Alexander Sama]
Control
Verificar la identidad del personal de sistemas para el acceso al área de sistemas mediante un tarjeta de identificación
Objetivos del control: Permitir el acceso sólo al personal autorizado a las instalaciones
Descripción:
Una persona debe poseer su tarjeta de identificación y su número de identificación personal que deberá ser utilizado en la puerta de ingreso al área. Con una base de datos del personal y el correcto número de identificación se permitirá el acceso a las personas
La base de datos debe contener los datos de las personas autorizadas, estos datos incluirán lo siguiente:
· Nombre, posición, número de identificación
· Tipos de acceso ( permanente, temporal)
· Hora de ingreso y egreso
· Razones de la visita
· Nombre de la compañía