Agosto / Septiembre 2007
 
Auditoría de Bases de Datos

 

Actualmente las organizaciones depositan la mayoría de su información crítica en sistemas basados en Bases de Datos, por lo tanto éstas se han convertido en una de las áreas más importantes de la infraestructura de sistemas de las organizaciones. Uno de los aspectos que debemos contemplar sobre nuestras bases de datos es: cómo es resguardada y protegida la información que se encuentra almacenada en ellas.

Tradicionalmente el control de acceso a la información contenida en las bases de datos se ha concentrado en las aplicaciones a través de las cuales los usuarios tienen acceso y trabajan con la información corporativa. Incluso, en muchos casos, las tareas de auditoría de sistemas se basan en validar el correcto funcionamiento de los controles establecidos en dichas aplicaciones. Pero existen otros mecanismos de acceso que deben ser controlados o al menos auditados para garantizar que la información sea manejada de forma adecuada. En este caso nos estamos refiriendo a los accesos de bajo nivel que usuarios con privilegios realizan directamente desde los manejadores de base de datos.

 
 

En tal sentido sería interesante plantearse las siguientes preguntas:

- ¿Podemos validar todos los cambios realizados a la información sensitiva en nuestras bases de datos sin importar a través de cuál mecanismo se realizó el cambio?

- ¿La información sensitiva se está utilizando como está establecido en las normas?

- ¿Estamos administrando proactivamente a los usuarios y sus permisos?

- ¿Conocemos las configuraciones de nuestras bases de datos?

- ¿Podemos revisar las actividades realizadas por los usuarios con privilegios y conocer su impacto sobre la información sensitiva?

- ¿Podemos crear fácilmente reportes que nos permitan probar la integridad de nuestra información sensitiva?

- ¿Actualmente podemos separar uso y administración de las bases de datos, de los procesos de auditorías?

Estadísticas muestran que, en más del 70% de las veces la corrupción de los datos se produce por usuarios internos debido a errores o fraude. Esto se debe a que una vez que la información llega a las bases de datos, luego de pasar por numerosos controles en las aplicaciones, usuarios con privilegios como los DBA, desarrolladores, administradores de sistemas etc. pueden tener acceso directo y sin controles a la información.

El principal reto que se plantea es permitir que los usuarios con privilegios puedan llevar a cabo su importante labor sin que esto signifique la pérdida de control de la información en las bases de datos y sobre todo nuestra capacidad para auditar.

Algunas organizaciones tratan de solventar estos problemas a través del uso de módulos de auditoría que incluyen los manejadores de bases de datos o mediante el desarrollo de aplicaciones propietarias para este fin. El problema de este enfoque es que no se están estableciendo mecanismos independientes y autónomos que permitan garantizar el objetivo buscado y sobre todo logrando procesos de auditoría independientes, ya que son los mismos usuarios con privilegios quienes establecen dichos controles.

Para poder resolver esta difícil situación, el Grupo Eniac ofrece la herramienta especializada Lumigent AuditDB, con lo cual es posible establecer fuertes controles de acceso a la información directamente en los manejadores de base de datos, al tiempo que permite cumplir con las regulaciones, como SOX, que requieren mecanismos para determinar responsabilidad sobre los cambios en información sensitiva.

 

Eniac y MEGA

El Grupo Eniac tiene el agrado de informar que ha establecido una alianza con MEGA Internacional. MEGA es la empresa líder en sistemas de documentación de procesos, con soluciones especializadas para lograr altos niveles de IT Governance, sistemas de administración de riesgo y cumplimiento de regulaciones como Sarbanes - Oxley y Basel II.

La solución de MEGA está compuesta por una suite de herramientas: MEGA GRC Suite y MEGA Modeling Suite.

Las mismas están diseñadas para definir, documentar, simular y modelar requerimientos de los procesos del negocio, la arquitectura de las empresas, la administración de los riesgos operacionales y el cumplimiento de regulaciones.

MEGA GRC Suite Permite controlar las operaciones y el manejo de los riesgos a través de la administración de los riesgos operacionales (los riesgos son identificados y clasificados con marcos estándar como Basel II, o nomenclatura de riesgos específicos de la compañía), la administración del sistema de control interno y el cumplimiento de los requerimientos de la Ley Sarbanes-Oxley.

MEGA Modeling Suite Permite entender y optimizar a la organización como estructura, sus activos, sus sistemas de tecnología de información a través de la arquitectura de la organización, del análisis de los procesos del negocio, de los niveles de IT Governance and Arquitecture, el diseño de las bases de datos y los sistemas de IT.

Con sus herramientas, MEGA realiza un enfoque sobre los procesos críticos del negocio, los riesgos, los controles y permite realizar pruebas para el cumplimiento de los objetivos a corto plazo. El repositorio de MEGA cubre todos los aspectos de la organización buscando hacer de la política de riesgos y el cumplimiento regulatorio una parte integral del gobierno de la organización, incrementando su competitividad.

Si desea mayor información sobre esta poderosa herramienta, escríbanos a la dirección electrónica: info@eniac-corp.com

 

AutoAudit 3.0

Fue liberada la versión de AutoAudit 3.0, esta nueva versión trae mejoras en aspectos de la funcionalidad de AutoAudit, entre las que resaltan:

  • En la sección de Análisis de Riesgo, en los procesos de negocio, se han incorporado templates de riesgos estándares de la industria. Esto ayuda a las organizaciones que no tienen definidos procesos de análisis de riesgo por procesos a comenzar en esta área
  • Mejoras en la capacidades de manejo de archivos anexos
  • Nuevas capacidad de personalización
  • Se ampliaron los campos para describir un issue al agregar Causa y Efecto
  • Mejoras en el manejo de los planes de acción

Si desea una lista completa de las mejoras incluidas en la nueva versión de AutoAudit, contáctenos a través del correo electrónico support.caatt@eniac-corp.com

Es importante recordarle que todos aquellos usuarios que tienen los Servicios de Soporte, Mantenimiento y Actualización (SMA) activo tienen derecho a recibir sin costo adicional esta nueva versión.

 

Tecnitips

¿Por qué no funciona mi número de serie al instalar ACL o al registrarme en el Centro de soporte? ¿Cómo puedo asegurarme de que el número de serie que estoy utilizando es el correcto?

El Número de serie de ACL Edición de Desktop/Red está conformado por un número de cinco dígitos (cuatro en todas las versiones) y una “W” al final. Por otra parte, el Código de instalación es un número de siete dígitos, conformado por los primeros cinco dígitos del Número de serie y por dos dígitos más que reemplazan la “W”. Por ejemplo, el número ‘99999W’ es un número de serie y el código de instalación correspondiente se verá como ‘9999901’. Tal como lo indica la palabra, el Código de instalación se utiliza para instalar la aplicación. El Número de serie de ACL (el que tiene la letra ‘W’ al final) se utiliza para el registro en el Centro de soporte.

Si usted conoce el Número de serie de ACL Edición de Desktop/Red pero no conoce el Código de instalación correspondiente, puede ponerse en contacto con nuestro centro de Soporte T écnico en support@acl.com.

¿Cuál es la diferencia entre Relaciones y una Unión? ¿Por qué es conveniente utilizar un comando en lugar del otro?

Puede utilizar el comando Relaciones para acceder en forma simultánea a los datos de dos o más tablas. Puede analizar los datos combinados como si fueran parte de una sola tabla. También puede agregar campos de tablas relacionadas a una vista o usar el comando Extraer para crear una nueva tabla de campos relacionados.

Utilice el comando Unir para combinar los campos de dos tablas en una tercera tabla. La selección del tipo de unión adecuado determina qué registros se incluyen en la tabla de salida. Por lo general, el comando Unir se usa para comparar los registros de una tabla de transacción con los de una tabla maestra. Por ejemplo, puede comparar los saldos de cuentas de clientes con los límites de crédito de clientes para determinar si los clientes han superado sus límites.

Al unir dos tablas, puede seleccionar más de un campo clave en cada tabla. Por ejemplo, para capturar registros para un proveedor con puntos de venta en más de una ubicación, seleccione los campos Proveedor y Ubicación como campos clave. Al relacionar las tablas, puede seleccionar sólo un campo clave por relación, pero puede relacionar muchas tablas. Por ejemplo, para capturar registros para un proveedor con puntos de venta en más de una ubicación, seleccione los campos Proveedor y Ubicación como campos clave en la tabla principal. Luego seleccione Proveedor como el campo clave en una tabla hijo y Ubicación como el campo clave en otra tabla hijo.

El comando Relaciones produce resultados similares al comando Unir con la opción todos los primarios seleccionada.

 
Un vistazo a Take Command, la revista de ACL Services
 

El número de mayo de Take Command! ya está disponible y cuenta con los hechos más destacados de Connections 2007, la Conferencia de usuarios globales de ACL que se llevó a cabo en el mes de abril. Actualmente, nos encontramos en el proceso de planificación del evento del próximo año y nos gustaría recibir sus comentarios para asegurarnos de satisfacer sus necesidades. Le pedimos que se tome un momento para completar una breve encuesta en línea.

De Connections 2007
"Deseamos ofrecerle las herramientas para llevar a su organización al siguiente nivel y respaldar su obligación de dirigir los mejores departamentos de finanzas y auditoría del mundo".
- Harald Will, Presidente y Director general, ACL Services Ltd.

DESTACADOS:

-Portada: ¡La primera Conferencia de usuarios globales de ACL fue un verdadero éxito!
-Artículos: Los ganadores del 10mo premio anual Impact Award
Háganos llegar sus comentarios para la conferencia de usuarios del año próximo
Verificación de datos en ACL antes del análisis
-Noticias destacadas de clientes: Entérese de qué manera la Aerolínea Emirates utiliza ACL y no se pierda las presentaciones de los clientes en Connections 2007
Descubra de qué manera Summerford Accountancy utiliza ACL para detectar fraudes en un seminario en la red según demanda
- Actualizaciones de productos: Pronto se lanzará Direct Link™ 6 para SAP ERP™
- Oportunidades de capacitación: Revise los próximos cursos en su zona
- Sugerencias técnicas y Preguntas frecuentes: Aprenda a crear scripts interactivos para validar los datos ingresados
Descubra mejores maneras para acceder a los datos y ordenarlos
- Noticias y eventos: Se formaron nuevas asociaciones estratégicas en Europa
Visítenos en los próximos eventos

Take Command es una publicación de ACL Services que se distribuye como parte de los servicios del mantenimiento de las licencias de ACL. Si desea obtener más información sobre los temas de Take Command, por favor contacte a grupoeniac@eniac.com

TAKE COMMAND! EL BOLETÍN OFICIAL DE LA COMUNIDAD USUARIOS ACL
 
 
 

Eventos / Seminarios:


        Puerto Rico

 
  • The Eniac Corporation estuvo presente en la Convención de Contadores Públicos Autorizados de Puerto Rico, del 30 de agosto al 2 de septiembre de 2007. Hotel El Conquistador Fajardo, Puerto Rico.
  • The Eniac Corporation estuvo presente en el 4th Simposio Anual sobre Detección, Prevención e Investigación de Fraude, en el Instituto de Auditores Internos, 15 de agosto de 2007 en el Hotel Embassy Suites, Isla Verde, Puerto Rico.
  
 

 

        México
 
  • FLAI - Congreso Latinoamericano de Auditoría Interna - 30 de septiembre al 2 de octubre de 2007.
  • IMAI - XXII Encuentro Nacional de Auditores Internos - 8 y 9 de Octubre de 2007.
 
 
 
 

Actividad Gremial / Exposiciones

        IIA

 
  • Celebración del día del Auditor por el Instituto de Auditores Internos, 21 de septiembre de 2007.
  
 

 

        CPA

 
  • Conferencia Firmas Locales, 6 de octubre de 2007.
 
 

 

        ISACA

 
  • Charla Mensual Seetting Up and Identity and Access Management Iniciative, 24 de septiembre de 2007
 
 

 

   
 

Cursos de Adiestramientos Grupo Eniac

XopanTech - México
Training
Horas
Septiembre
Octubre
Noviembre
Principios Básicos de ACL: Conceptos y Prácticas
24
19 al 21
17 al 19
21 al 23
ACL:
Uso de Funciones, Muestreo y Reportes
16
 10 y 11
8 y 9
ACL:
Creación y Uso de Scripts
16
 
29 y 30
 
AutoAudit :
Automatización de la Función de Auditoría
16
13 y 14
25 y 26
5 y 6
   

Eniac Corp - Puerto Rico
Training
Hrs
Septiembre
Octubre
Noviembre

ACL 101: Conceptos y Técnicas para el Uso Efectivo de ACL

24
27 al 29
8 al 10
AutoAudit for Windows:
Automatización de la Función de Auditoría
16
 4 y 5
29 y 30  

Eniac - Venezuela
Training
Hrs
Septiembre
Octubre
Noviembre
Conceptos y Técnicas para el Uso Efectivo de ACL
(ACL Básico)
24
10 al 12
3 al 5
12 al 14
ACL:
Uso de Funciones, Muestreo y Reportes
(ACL Intermedio)
16
27 y 28
22 y 23
29 y 30
ACL:
Creación y Uso de Scripts
(ACL Avanzado)
16
  
1 y 2
AutoAudit for Windows:
Automatización de la Función de Auditoría
16
3 y 4
8 y 9
5 y 6
Focus:
Fundamentos y Herramientas para el proceso de Administración y Riesgos y Certificación de Controles
16
17 y 18
 

 

 

Links de Interés

 
- Association for Financial Professionals Chapter Puerto Rico   - Information Systems Audit and Control Association (ISACA)
- Colegio de Contadores Públicos Autorizados de Puerto Rico   - Information Systems Audit and Control Association Chapter México
- The Institute of Internal Auditors Chapter México   - Information Systems Audit and Control Association Chapter Puerto Rico
- The Institute of Internal Auditors Chapter Puerto Rico   - U.S. Securities and Exchange Commisions
- The Institute of Internal Auditors Chapter Venezuela      
  

 

 
En nuestras ediciones anteriores:
 
 

 

Mar - Abr 2007 Ver
- De las Muestras al Universo
- La Planificación Anual y El Análisis de Riesgo
- TECNITIPS: Los "Print Image Report"
- Un Vistazo a Take Command

Ene - Feb 2007 Ver
- Seguridad, Confidencialidad y Resguardo de la Información
- Herramienta de Análisis de Datos y la Verificación de Controles
- Flexibilizan los requerimientos de la sección 404 para las pequeñas y nuevas compañías
- TECNITIPS: Convirtiendo pruebas puntuales en pruebas continuas
- Un Vistazo a Take Command

Nov - Dic 2006 Ver
- Realineación de las Auditorías a través de la Auditoría Continua
- Ya está disponible AutoAudit for Windows 2.0, más fácil de usar
- ISACA-PR celebra su Simposio Anual por quinta vez consecutiva
- TECNITIPS: Proteja sus trabajos con los "backup"

 

Para consultar las ediciones anteriores visite nuestra página web:

www.grupoeniac.com/Boletines/Update/Ediciones_Ant_CAATT.htm

  
 
 
 

Herramientas CAATT, Detección de Fraude y Calidad de Datos distribuidas y soportadas por el Grupo Eniac

 

 
 
 
ACL: es la herramienta líder para el análisis de datos y monitoreo continuo, ofreciendo soluciones de escritorios o esquemas cliente servidor.
  
   

TrilliumSoftware: herramientas especializadas para la calidad y perfilado de datos.
         
 
 
PRIMS: herramienta para la detección de fraudes en medios de pago electrónicos.
  
 
AutoAudit: es la herramienta líder en el mercado para la automatización del proceso de auditoría, incluyendo capacidad para realizar análisis de riesgo verticales y por procesos.
  
 
 
OCCAM: herramienta especializada para la detección de esquemas de Lavado de Dinero y cumplimiento de la Patriot Act.
  
 

El Grupo Eniac se especializa en la distribución de herramientas y sistemas de Tecnologías de Información; nuestra oferta de servicios va desde soluciones de aplicación general como Microsoft, hasta herramientas especializadas de control de proyectos o CAATT entre otros. El Grupo Eniac además de proveer las licencias de software, ofrece servicios de capacitación, servicios técnicos de implementación y soporte continuo.

Entre nuestros principales socios tecnológicos se encuentran: ACL Services, Help Systems, Lawson Software, Microsoft, Paisley Consulting, Pertmaster, Primavera Systems, Sterling Commerce, Trillium Software y Vision Solution.

Eniac, C.A.
Caracas, Venezuela
http://www.eniac.com/

The Eniac Corporation
San Juan, Puerto Rico
http://www.eniac-corp.com/

XopanTech, S.A. de C.V.
México D.F., México
http://www.xopan.com/

 
Si desea recibir mayor información sobre los temas de este boletín, por favor contacte a grupoeniac@eniac.com