CERT/CC (Computer Emergence Response Team /Coordination Center): Ha publicado las estadísticas de las vulnerabilidades reportadas desde su fundación en 1995.
Enlace: http://www.cert.org/stats/cert_stats.html
Artículo sobre el lanzamiento del: National Cyber Alert System (US).
Enlace: http://usgovinfo.about.com/cs/technology/a/cybersecurity.htm
sábado, 22 de marzo de 2008
CRIPTOGRAFÍA
USO EN APLICACIONES WEB
Cifrado simétrico - Clave secreta.
Cifrado asimétrico - Clave pública.
Certificados Digitales.
Métodos de Autenticación.
Suelen ser algo que se conoce (Contraseña - contraseña por token), algo que se tiene (tarjeta inteligente) y/o algo que se es (biometría).
En las conexiones de acceso telefónico, que utilizan el protocolo PPP, incluyen métodos de autenticacion como PAP, CHAP y EAP.
Algunos protocolos requieren la comprobación de autenticación antes de proporcionar derechos de acceso y autorización: TACACS+ y RADIUS.
Comunicaciones Seguras.
Protocolos de seguridad en la capa de transporte: SSL (muy usado en transacciones Web) y SSH (acceso a servidores remotos a través de Telnet y FTP seguro).
IPSec: Es capaz de proteger cualquier tipo de aplicación en la capa de red, proporcionando control de acceso, autenticación y confidencialidad.
Acceso remoto: VPDN, L2F (Cisco), PPTP (Microsoft) y L2TP (varios).
Cifrado simétrico - Clave secreta.
Cifrado asimétrico - Clave pública.
Certificados Digitales.
Métodos de Autenticación.
Suelen ser algo que se conoce (Contraseña - contraseña por token), algo que se tiene (tarjeta inteligente) y/o algo que se es (biometría).
En las conexiones de acceso telefónico, que utilizan el protocolo PPP, incluyen métodos de autenticacion como PAP, CHAP y EAP.
Algunos protocolos requieren la comprobación de autenticación antes de proporcionar derechos de acceso y autorización: TACACS+ y RADIUS.
Comunicaciones Seguras.
Protocolos de seguridad en la capa de transporte: SSL (muy usado en transacciones Web) y SSH (acceso a servidores remotos a través de Telnet y FTP seguro).
IPSec: Es capaz de proteger cualquier tipo de aplicación en la capa de red, proporcionando control de acceso, autenticación y confidencialidad.
Acceso remoto: VPDN, L2F (Cisco), PPTP (Microsoft) y L2TP (varios).
SANS/FBI: Lista de las 20 vulnerabilidades más importantes.
Enlace de la referencia para el 2007: http://www.sans.org/top20/
Nombre del enlace: SANS Top-20 2007 Security Risks (2007 Annual Update).
sábado, 2 de febrero de 2008
ANOTACIONES RELEVANTES – Diplomatura en control interno y auditoría. Teoría General de la Auditoría.
Concepto de Auditoría
Evaluación crítica e independiente de los hechos, factores, transacciones o eventos de una empresa, con la cual se obtiene conocimiento de la realidad y se permita la formación de una opinión objetiva para generar recomendaciones orientadas al mejoramiento continuo y la obtención de una mejor calidad.
Dependiendo de los hechos y factores analizados, así como el tipo de negocio, se genera una especialización de la auditoría realizada; por ejemplo, financiera, administrativa, de gestión, informática, operacional. Aunque en muchas ocasiones y de acuerdo al objetivo buscado es fundamental realizar procesos de auditoría integrales.
La Auditoría Interna busca mantener un sistema de control de amplia aceptación por la administración. Su trabajo se concentra entonces en evaluar manifestaciones calificadas de alto riesgo y la generación de informes donde se plantean una recomendaciones de mejoramiento .
Elementos de la Auditoría
- Investigación. Conocimiento de los hechos y las causas.
- Criterio. Capacidad de dar una calificación a un hecho.
- Independencia.
- Fronteras.
- Informe. Incluya la opinión del auditor y las recomendaciones.
Evaluación de auditoría
- Definir el objetivo de la evaluación.
- Hacer el examen de la información en el sentido inverso al proceso cumplido por la información.
- Definir un conjunto de técnicas complementarias, que siendo aplicadas a la naturaleza del hecho-medio auditado aporten al objetivo de trabajo de la auditoría y proporcionen en conjunto miradas o evidencias de diferente valor probatorio.
- Estructurar un análisis del significado que tienen los diferentes temas que potencialmente pueden ser auditados. Hacer el análisis cuali/cuantitativo de los diferentes elementos a auditar estableciendo prioridades.
- Realizar un flujograma que refleje la forma como se cumple un proceso en la empresa.
- Elaborar una matriz de control, para evaluar el sistema de control vigente de una función. Se confrontan los riesgos inherentes y los elementos que conforman la función. Y en las intersecciones se establecen los controles.
- Establecer el procedimiento de auditoría. Constituido por los pasos que debe emplear el auditor para utilizar una técnica de auditoría.
Características del trabajo de la Auditoría
- Necesidad de la empresa.
- Complejidad de las funciones, implicando diferentes niveles de investigación.
- Grupo interdisciplinario, según la naturaleza de cada objetivo.
- Definición de un programa de trabajo a realizar correspondiente a aspectos críticos de control.
Elementos fundamentales:
- El trabajo debe ser planeado, partiendo de unos objetivos, se defina el alcance y se planeen los procedimientos de auditoría.
- El alcance se define a partir de la evaluación del control interno
- La auditoría debe ser supervisada buscando el cumplimiento de los objetivos y la consecución de evidencias apropiadas.
- El trabajo realizado debe consignarse de tal forma que se obtenga evidencia (se entiende como el material de respaldo que ayuda a sustentar el porque de la pinión dada) competente y suficiente. Mostrar el alcance dado a las pruebas, las conclusiones de cada prueba y el cumplimiento de las normas de auditoría.
Pruebas de auditoría
- De cumplimiento. Determinar la forma como funciona una actividad. Se concluye sobre la calidad de los controles existentes para reducir riesgos.
- Sustantivas. Examen sobre los rubros que conforman los estados financieros. Demostrando 4 proposiciones básicas: existencia, valuación, clasificación y causación.
o Existencia. Demostrar que el hecho que da origen a la cifra tenga existencia, razón de ser.
o Valuación. Determinar el valor correcto de los hechos. Considera los principios contables, disposiciones fiscales y reglamentación. Se tiene en cuenta el costo histórico, método de valorización, método de depreciación, ajustes por inflación, amortizaciones y su relación con la vida útil del hecho.
o Clasificación. Demostrar que los rubros se presentan dentro del grupo de cuentas que denoten una situación económico-financiera consistente.
o Causación. Demostrar que las transacciones se contabilicen en el periodo contable en el cual se presentaron.
Programa de auditoría
Es un conjunto de procedimientos que deben ser aplicados para lograr los objetivos propuestos al iniciar la inestigación.
Es importante planear el trabajo para: identificar el objetivo de la investigación, determinar el alcance o profundidad de la investigación, planear el tiempo y los recursos necesarios, utilizarlo como mecanismo para realizar el seguimiento a la parte ejecutada de la investigación, definir la responsabilidad de cada persona y servir como elemento de organización.
Un programa de auditoría está compuesto por:
- Nombre del componente auditado.
- Objetivos generales de la investigación.
- Objetivos específicos. Resultados parciales que se pretenden alcanzar.
- Alcance. Determinando la profundidad de la investigación.
- Metodología. Definiendo las técnicas que se requieren para alcanzar el objetivo.
- Procedimientos de auditoría. Actividades.
Evaluación crítica e independiente de los hechos, factores, transacciones o eventos de una empresa, con la cual se obtiene conocimiento de la realidad y se permita la formación de una opinión objetiva para generar recomendaciones orientadas al mejoramiento continuo y la obtención de una mejor calidad.
Dependiendo de los hechos y factores analizados, así como el tipo de negocio, se genera una especialización de la auditoría realizada; por ejemplo, financiera, administrativa, de gestión, informática, operacional. Aunque en muchas ocasiones y de acuerdo al objetivo buscado es fundamental realizar procesos de auditoría integrales.
La Auditoría Interna busca mantener un sistema de control de amplia aceptación por la administración. Su trabajo se concentra entonces en evaluar manifestaciones calificadas de alto riesgo y la generación de informes donde se plantean una recomendaciones de mejoramiento .
Elementos de la Auditoría
- Investigación. Conocimiento de los hechos y las causas.
- Criterio. Capacidad de dar una calificación a un hecho.
- Independencia.
- Fronteras.
- Informe. Incluya la opinión del auditor y las recomendaciones.
Evaluación de auditoría
- Definir el objetivo de la evaluación.
- Hacer el examen de la información en el sentido inverso al proceso cumplido por la información.
- Definir un conjunto de técnicas complementarias, que siendo aplicadas a la naturaleza del hecho-medio auditado aporten al objetivo de trabajo de la auditoría y proporcionen en conjunto miradas o evidencias de diferente valor probatorio.
- Estructurar un análisis del significado que tienen los diferentes temas que potencialmente pueden ser auditados. Hacer el análisis cuali/cuantitativo de los diferentes elementos a auditar estableciendo prioridades.
- Realizar un flujograma que refleje la forma como se cumple un proceso en la empresa.
- Elaborar una matriz de control, para evaluar el sistema de control vigente de una función. Se confrontan los riesgos inherentes y los elementos que conforman la función. Y en las intersecciones se establecen los controles.
- Establecer el procedimiento de auditoría. Constituido por los pasos que debe emplear el auditor para utilizar una técnica de auditoría.
Características del trabajo de la Auditoría
- Necesidad de la empresa.
- Complejidad de las funciones, implicando diferentes niveles de investigación.
- Grupo interdisciplinario, según la naturaleza de cada objetivo.
- Definición de un programa de trabajo a realizar correspondiente a aspectos críticos de control.
Elementos fundamentales:
- El trabajo debe ser planeado, partiendo de unos objetivos, se defina el alcance y se planeen los procedimientos de auditoría.
- El alcance se define a partir de la evaluación del control interno
- La auditoría debe ser supervisada buscando el cumplimiento de los objetivos y la consecución de evidencias apropiadas.
- El trabajo realizado debe consignarse de tal forma que se obtenga evidencia (se entiende como el material de respaldo que ayuda a sustentar el porque de la pinión dada) competente y suficiente. Mostrar el alcance dado a las pruebas, las conclusiones de cada prueba y el cumplimiento de las normas de auditoría.
Pruebas de auditoría
- De cumplimiento. Determinar la forma como funciona una actividad. Se concluye sobre la calidad de los controles existentes para reducir riesgos.
- Sustantivas. Examen sobre los rubros que conforman los estados financieros. Demostrando 4 proposiciones básicas: existencia, valuación, clasificación y causación.
o Existencia. Demostrar que el hecho que da origen a la cifra tenga existencia, razón de ser.
o Valuación. Determinar el valor correcto de los hechos. Considera los principios contables, disposiciones fiscales y reglamentación. Se tiene en cuenta el costo histórico, método de valorización, método de depreciación, ajustes por inflación, amortizaciones y su relación con la vida útil del hecho.
o Clasificación. Demostrar que los rubros se presentan dentro del grupo de cuentas que denoten una situación económico-financiera consistente.
o Causación. Demostrar que las transacciones se contabilicen en el periodo contable en el cual se presentaron.
Programa de auditoría
Es un conjunto de procedimientos que deben ser aplicados para lograr los objetivos propuestos al iniciar la inestigación.
Es importante planear el trabajo para: identificar el objetivo de la investigación, determinar el alcance o profundidad de la investigación, planear el tiempo y los recursos necesarios, utilizarlo como mecanismo para realizar el seguimiento a la parte ejecutada de la investigación, definir la responsabilidad de cada persona y servir como elemento de organización.
Un programa de auditoría está compuesto por:
- Nombre del componente auditado.
- Objetivos generales de la investigación.
- Objetivos específicos. Resultados parciales que se pretenden alcanzar.
- Alcance. Determinando la profundidad de la investigación.
- Metodología. Definiendo las técnicas que se requieren para alcanzar el objetivo.
- Procedimientos de auditoría. Actividades.
ANOTACIONES RELEVANTES – Control Interno. Estructura conceptual integrada.
Control Interno:
Es un proceso que busca proporcionar seguridad razonable, manteniendo a la Compañía en dirección de sus objetivos y rentabilidad, para que ésta alcance su misión – metas y se minimice las sorpresas ocasionadas por el cambio.
Los objetivos del control interno en una organización dependen en gran medida del tipo de negocio de esta, sin embargo, en general se busca alcanzar la efectividad y eficiencia en las operaciones, la confiabilidad en la información financiera y el cumplimiento de las leyes y regulaciones aplicables.
Debido a que una de las razones de ser del control interno es la persistencia de las organizaciones, es fundamental elaborar una estructura conceptual común; A su vez los controles implementados deben estar en función del negocio y estar inmersos en las actividades de operación de la empresa.
Auditoría:
Busca la evaluación de la efectividad del control interno.
Controles:
Es importante entonces centrarse en las operaciones existentes y en su contribución al control interno efectivo.
La administración necesita especificar los niveles de competencia para los trabajos particulares y convertirlos en requisitos de conocimiento y habilidades.
Dependiendo de la informalidad de la compañía, es posible establecer una estructura de control interno efectivo, bajo una administración informal dónde las operaciones se controlan mediante contacto directo, o bajo una administración con mecanismos más formales dónde se confía en políticas escritas, indicadores de desempeño e informes de excepción.
Estructura del control:
La estructura organizacional de una entidad proporciona le estructura conceptual mediante la cual se planean, ejecutan, controlan y monitorean sus actividades para la consecución de los objetivos globales. Estando estas actividades relacionadas con el concepto denominado “Cadena de valor” . Adquiriendo una vital importancia la definición de áreas claves de autoridad y responsabilidad, el establecimiento de las líneas apropiadas de información, el detalle de los protocolos de autorización, la declaración de las políticas sobre prácticas apropiadas para el tipo negocio, el conocimiento y la experiencia.
La concepción del concepto de control, va de la mano con la cultura corporativa.
Otro aspecto relevante que influye en la valoración del riesgo, en la descentralización del control y en la comunicación y entendimiento de los objetivos del negocio y en el planteamiento de procedimientos efectivos de monitoreo de resultados, es la delegación de la autoridad (empowerment), entendiendo este como ceder el control centra de ciertas decisiones de negocio a las líneas bajas, a los individuos que están cerrando diariamente las transacciones de negocios.
Componentes del sistema de control interno:
Factores que influencias “malas” prácticas.
Existen ciertos factores que pueden influenciar las probabilidades de prácticas de información financiera fraudulentas y cuestionables, por ejemplo:
:
- Controles no existentes o inefectivos, por ejemplo mala segregación de funciones en áreas sensibles.
- Alta descentralización, ignorancia de acciones tomadas a niveles bajos de la organización, reduciendo la posibilidad de conseguir resultados.
- Función de auditoría interna débil, sin la capacidad de detectar e informar conductas impropias.
- Consejo de directores inefectivo.
- Sanciones insignificantes o no publicadas a conductas impropias.
- Desconocimiento. Porque muchas veces se considera que se está actuando a favor del mejor interés de la organización.
- Alto nivel de rotación.
Aspectos relevantes – controles relevantes:
- Las políticas de entrenamiento que comunican funciones y responsabilidades prospectivas.
- Cursos de entrenamiento, seminarios, estudio de casos simulados y ejercicios prácticos.
Es un proceso que busca proporcionar seguridad razonable, manteniendo a la Compañía en dirección de sus objetivos y rentabilidad, para que ésta alcance su misión – metas y se minimice las sorpresas ocasionadas por el cambio.
Los objetivos del control interno en una organización dependen en gran medida del tipo de negocio de esta, sin embargo, en general se busca alcanzar la efectividad y eficiencia en las operaciones, la confiabilidad en la información financiera y el cumplimiento de las leyes y regulaciones aplicables.
Debido a que una de las razones de ser del control interno es la persistencia de las organizaciones, es fundamental elaborar una estructura conceptual común; A su vez los controles implementados deben estar en función del negocio y estar inmersos en las actividades de operación de la empresa.
Auditoría:
Busca la evaluación de la efectividad del control interno.
Controles:
Es importante entonces centrarse en las operaciones existentes y en su contribución al control interno efectivo.
La administración necesita especificar los niveles de competencia para los trabajos particulares y convertirlos en requisitos de conocimiento y habilidades.
Dependiendo de la informalidad de la compañía, es posible establecer una estructura de control interno efectivo, bajo una administración informal dónde las operaciones se controlan mediante contacto directo, o bajo una administración con mecanismos más formales dónde se confía en políticas escritas, indicadores de desempeño e informes de excepción.
Estructura del control:
La estructura organizacional de una entidad proporciona le estructura conceptual mediante la cual se planean, ejecutan, controlan y monitorean sus actividades para la consecución de los objetivos globales. Estando estas actividades relacionadas con el concepto denominado “Cadena de valor” . Adquiriendo una vital importancia la definición de áreas claves de autoridad y responsabilidad, el establecimiento de las líneas apropiadas de información, el detalle de los protocolos de autorización, la declaración de las políticas sobre prácticas apropiadas para el tipo negocio, el conocimiento y la experiencia.
La concepción del concepto de control, va de la mano con la cultura corporativa.
Otro aspecto relevante que influye en la valoración del riesgo, en la descentralización del control y en la comunicación y entendimiento de los objetivos del negocio y en el planteamiento de procedimientos efectivos de monitoreo de resultados, es la delegación de la autoridad (empowerment), entendiendo este como ceder el control centra de ciertas decisiones de negocio a las líneas bajas, a los individuos que están cerrando diariamente las transacciones de negocios.
Componentes del sistema de control interno:
Factores que influencias “malas” prácticas.
Existen ciertos factores que pueden influenciar las probabilidades de prácticas de información financiera fraudulentas y cuestionables, por ejemplo:
:
- Controles no existentes o inefectivos, por ejemplo mala segregación de funciones en áreas sensibles.
- Alta descentralización, ignorancia de acciones tomadas a niveles bajos de la organización, reduciendo la posibilidad de conseguir resultados.
- Función de auditoría interna débil, sin la capacidad de detectar e informar conductas impropias.
- Consejo de directores inefectivo.
- Sanciones insignificantes o no publicadas a conductas impropias.
- Desconocimiento. Porque muchas veces se considera que se está actuando a favor del mejor interés de la organización.
- Alto nivel de rotación.
Aspectos relevantes – controles relevantes:
- Las políticas de entrenamiento que comunican funciones y responsabilidades prospectivas.
- Cursos de entrenamiento, seminarios, estudio de casos simulados y ejercicios prácticos.
martes, 4 de diciembre de 2007
AUTO-EVALUACION DE CONTROL (AEC)
Fuente: KPMG
Título: ASPECTOS CLAVE EN LA AUTO-EVALUACION DE CONTROL. Diseño e implementación de normas técnicas MECI y NTCGP.
Calif : Básica - General
ASPECTOS RELEVANTES
AEC: Es una metodología utilizada para revisar objetivos clave de las organizaciones, así como también los riesgos involucrados en el logro de los objetivos, y los controles internos diseñados para administrar dichos riesgos (IIA).
Objetivo de AEC: Razonabilidad en el cumplimiento de los objetivos de la entidad.
Relación MECI - COSO
Razón de ser AEC: Definición de las acciones de mejora.
- Confrontar riesgos id en cumplimiento de objetivos vs controles establecidos.
- Priorizar según la probabilidad de ocurrencia e impacto en los objetivos.
- Aportar acciones de mejora y consolidar propuestas (precisión forma, recursos, fechas.
- Divulgación (informes, acciones y compromisos.
Pendientes: Ver guía de administración de riesgos emitida por el Departamento Administrativo de la Función Pública.
Título: ASPECTOS CLAVE EN LA AUTO-EVALUACION DE CONTROL. Diseño e implementación de normas técnicas MECI y NTCGP.
Calif : Básica - General
ASPECTOS RELEVANTES
AEC: Es una metodología utilizada para revisar objetivos clave de las organizaciones, así como también los riesgos involucrados en el logro de los objetivos, y los controles internos diseñados para administrar dichos riesgos (IIA).
Objetivo de AEC: Razonabilidad en el cumplimiento de los objetivos de la entidad.
Relación MECI - COSO
Razón de ser AEC: Definición de las acciones de mejora.
- Confrontar riesgos id en cumplimiento de objetivos vs controles establecidos.
- Priorizar según la probabilidad de ocurrencia e impacto en los objetivos.
- Aportar acciones de mejora y consolidar propuestas (precisión forma, recursos, fechas.
- Divulgación (informes, acciones y compromisos.
Pendientes: Ver guía de administración de riesgos emitida por el Departamento Administrativo de la Función Pública.
Suscribirse a:
Entradas (Atom)