El día 16 de Junio del 2009, se otorgo el Certificado de aprobación acompañado de un reconocimiento como profesional en Auditoria de Sistemas de Información (ASIC).

Descripción del Pipper por su autor Alberto Moro (aka Mandingo)

La idea de crear este programa surge como necesidad a la hora de automatizar peticiones en aplicativos Web. El programa en sí resulta lo suficientemente genérico como para llevar a cabo multitud de acciones que hasta ahora se realizaban mediante la creación de diversos “scripts” o bien, el uso de múltiples herramientas.

Este programa no pretende ser la solución a todos los problemas de auditoría Web, pretende ser más bien una ayuda adicional a los auditores de este tipo de aplicativos, ya que se presupone un conocimiento previo de las tareas que se realizan comúnmente; Pipper únicamente muestra información numérico-visual (códigos de error, número de líneas y palabras devueltas, textos coloreados, etc.), tal y como se verá más adelante. Esta información deberá de ser interpretada posteriormente por el auditor, el cual tendrá que ser capaz de diagnosticar “qué está ocurriendo”.

Un buen uso de este programa reducirá notablemente los tiempos de prueba/error dedicados a “bruteforcear” variables/cookies/credenciales, búsqueda de ficheros (páginas, cgi’s, etc…), localizar fallos de “Cross-Site Scripting”, “SQL Injections”, etc.

La herramienta que es bastante útil cuenta con una interface de fácil comprensión, haciendo uso de colores como se muestra a continuación:

En la pagina personal de Mandingo se encuentra disponible unos muy buenos ejemplos de uso, ademas de explicar mas a fondo la aplicación.

Descargar pipper v1.23
Descargar Manual Pipper
Manual Online y Descarga

Muchas veces escuchamos cuando ocurre alguna “situación” en una determinada empresa, que la misma se debe a la falta de controles y empezamos a hacer nuestras propias conjeturas respecto al hecho.

Efectivamente los controles internos en una empresa, han sido provistos para garantizar en forma razonable que los objetivos trazados sean alcanzados y que los eventos de riesgo sean evitados, detectados o corregidos.

Es en ese sentido que básicamente los controles los clasificamos en: Preventivos, detectivos y correctivos.

Los controles preventivos denominados también controles de entrada, son aquellos que anuncian la causa del riesgo, pero no la evitan, por ejemplo: Un letrero de NO FUMAR, es un control preventivo, porque asume un posible riesgo de incendio, contaminación, etc., pero no impedirá que puedan fumar.

Los controles detectivos o controles de proceso, son aquellos que detectan la causa del riesgo, alertan sobre la misma y tampoco la evitan. Como ejemplo, siguiendo el anterior, tenemos los detectores de humo, que podrían detectar en el momento que alguien quiera o este fumando, pero ya encendió el cigarrillo y no se pudo evitar. Otros ejemplos serian las: alarmas, cámaras, etc., en seguridad física de accesos, doble verificación de cálculos, puntos de control en producción, reportes periódicos, actividades de auditoría interna, mensajes de error, que pueden detectar el riesgo cuando esté ocurriendo.

Finalmente tenemos los controles correctivos o de salida, que podríamos considerar la última línea de defensa frente a los posibles riesgos, teniendo la finalidad de eliminar o minimizar. Ejemplo de estos tenemos los Planes de Contingencia, los backups, controles de acceso lógico (claves), antivirus, etc. Si volvemos al ejemplo de los 2 puntos anteriores, tendríamos que suponer que en el Plan de Contingencia, se ha considerado como un riesgo, un posible incendio, por tanto se tiene establecidos cuales serian las acciones a tomar, como ser el uso de los extintores, evacuación o llamar a los bomberos, etc.

Con esta clasificación podríamos deducir el tipo de control que ha sido establecido en una determinada empresa y para un determinado objetivo.

Si aplicamos en los sistemas de información, por ejemplo de una entidad financiera que presta sus servicios mediante los ATMs (cajeros automáticos) que día a día vemos el incremento de los riesgos de fraude, podríamos indicar que la publicidad que hacen, los bipticos, las recomendaciones de cómo usar la tarjeta y su respectiva clave son controles preventivos. El mejoramiento de los accesos físicos a los puntos ATMs, las cámaras de video, etc. Son los controles detectivos y los controles de acceso lógico al cajero automatico se constituyen en los controles correctivos.

Corresponde a partir de esto a los Auditores de SI, evaluar la fortaleza de los CONTROLES INTERNOS, considerando a los mismos, como: controles fuertes, controles débiles, controles compensatorios y controles solapados, puntos que los ampliaremos en el siguiente capítulo.

Escrito por el Lic. Hugo Rosales Uriona, CPA, ASIC, FCA, CISO.