Tesis sobre el tema "Auditor informático"

Esta investigación está orientada a brindar herramientas y conceptos básicos al auditor operativo, que le permitan interactuar con los medios y técnicas de procesamiento electrónico de datos, a los efectos de cumplimentar adecuadamente la función profesional en la auditoria de sistemas computarizados, abarcando el análisis de riesgos y amenzas, como así también los aspectos más relevantes del delito informático.
Fil: Basaes, Johana. Universidad Nacional de Cuyo. Facultad de Ciencias Económicas.
Fil: Godoy, Vanina Andrea. Universidad Nacional de Cuyo. Facultad de Ciencias Económicas.
Fil: Reitano, Javier Alejandro. Universidad Nacional de Cuyo. Facultad de Ciencias Económicas.
Fil: Rojas Gaete, Daniela Beatriz. Universidad Nacional de Cuyo. Facultad de Ciencias Económicas.
Fil: Rossel Ortega, Vanesa María Laura. Universidad Nacional de Cuyo. Facultad de Ciencias Económicas.
Fil: Rossel Ortega, María Leticia. Universidad Nacional de Cuyo. Facultad de Ciencias Económicas.

Doutoramento em Gestão
A auditoria informática,como função de exame e avaliação do sistema de informação e das tecnologias que o suportam, insere-se nos princípios da gestão sistémica e da "auditoria interna", nos domínios da informação, organização, operação e decisão. Considera-se que as tecnologias de informação geram mutações em todos os sistemas, mas têm, apesar das suas implicações globais e estratégicas, acima de si a auditoria que visa examinar e avaliar a integridade e a consistência sistémica, emgeral, e do sistema de informação, em particular. A auditoria informática tende inevitavelmente para um sistema parcial de exame e avaliação global, denominado, "Audimática", com relevo científico nos seguintes âmbitos: nas funções dos actuais departamentos de "auditiria interna", identificando-se com a avaliação global dos sistemas, funções, actividades e negócios, independentemente das tecnologias de informação; nos desempenhos específicos de exame e avaliação do sistema de informação e das tecnologias que o suportam,bem como da função "organização e informática" e das normas e metodologias adoptadas. Enquanto o primeiro âmbito enquadra todos os tipos de auditorias e pode ser aplicado universalmente, o segundo, pela complexidade e grandeza dos custos envolvidos, só faz sentido nas grandes unidades económicas fortemente dependentes das tecnologias que suportam os sistemas de informação.
Computer auditing, primarily a function to examine and evaluate information systems and technologies, is an integral part of systems management and "internal auditing" focussing information, organization, operations and decision issues. As information technologies trigger changes in all systems with consequent global and strategic implications, auditing examines and evaluates the systems integrity and consistency, particulary within the scope of information system. Computer auditing will inevitably evolue into an expert system, called "Audimatics", as global information system audit and will be particulary relevant, as scientific approach, in the following two environments and perspectives: independent of information technology, given strong general emphasis and evidence for current functions and responsabilities of "Internal Auditing Departments" and addressing a wider scope in the evaluation of systems, functions, activities and business; in examinations and evaluation of the information systems and technologies, covering computer environment, data processing functions, organization and peopleware as well as the standards and methodologies adopted. The first perspective which includes all types of auditing is universally applicable. The second, however, due to is complexity and high costs involved is only applicable in large technology-driven or technology dependent organizations.

Mestrado em Contabilidade - Auditoria
Os procedimentos de auditoria estão cada vez mais apoiados pela utilização de ferramentas informáticas, principalmente nos procedimentos de extração e análise de dados. Os softwares CAATT (Computer Assisted Audit Tools and Techniques) são exemplos de ferramentas utilizadas para este efeito, mas muitos outros softwares são utilizados para suportar as auditorias. Considerando esta crescente utilização de ferramentas informáticas de apoio à auditoria, este estudo pretende avaliar o nível de utilização destas ferramentas de apoio à auditoria em Portugal, mais concretamente no âmbito da auditoria interna das empresas portuguesas. Esta dissertação pretende, através de um inquérito, avaliar a utilização das ferramentas informáticas de apoio à auditoria nas empresas portuguesas, nomeadamente: as ferramentas mais usadas; os fatores que influenciam a sua utilização; o nível de conhecimento e frequência de utilização das principais ferramentas pelos auditores internos portugueses; quando utilizam ferramentas específicas de suporte à auditoria, em que tipo de procedimento de auditoria são mais utilizadas; e, quando não utilizam, quais os motivos para a sua não adoção. Esta investigação conclui que os auditores internos utilizam, maioritariamente, ferramentas genéricas em vez de ferramentas específicas nos seus trabalhos de auditoria, indicando que o custo do software é o principal motivo para a não utilização desses softwares específicos. A utilização de ferramentas informáticas específicas de suporte à auditoria é influenciada pela dimensão do departamento de auditoria. Outros fatores que também influenciam a utilização destas técnicas informatizadas é a experiência profissional, em número de anos, em auditoria e a existência de um auditor interno certificado na empresa.
The audit procedures are increasingly supported by the use of computer tools, especially in data extraction and analysis procedures. Computer Assisted Audit Tools and Techniques (CAATT) are examples of tools used for this purpose, but many other softwares are used to support audits. Considering this growing use of IT tools to support auditing, this study intends to evaluate the level of use of these tools to support auditing in Portugal, more specifically on internal auditing in Portuguese companies. This dissertation intends, through an inquiry, to evaluate the use of IT tools to support auditing in Portuguese companies, namely: the most used tools; the factors that influence the use of these tools; the level of knowledge and frequency of use of the main tools by the Portuguese internal auditors; when using specific audit support tools, in which type of audit procedure they are most used; and, when they do not use it, the reasons for their non-adoption. This research concludes that internal auditors mostly use generic rather than specific tools in their audit work, indicating that the cost of software is the main reason for not using it. The use of specific IT tools to support auditing is influenced by the size of the workplace, more specifically by the size of the audit department. Other factors that also influence the use of these computerized techniques are the experience in auditing and the existence of a certified internal auditor in the workplace.

En el ensayo que a continuación presento, hice un estudio concreto de la auditoría informática en seguridad física en el cual muestro las ventajas que se obtienen al efectuarla; lo primordial es que su uso permite reducir riesgos, entre algunos de ellos son: inundación, terremoto, fuego y sabotaje en las áreas de cómputo. A su vez desarrollé este estudio de ventajas de la auditoría informática en seguridad física para dar a conocer el estado actual y futuro posible de seguridad informática, porque pienso que no es justo que continuamente se ponga en tela de juicio el arduo trabajo de los auditores informáticos, debido a que en muchas ocasiones la gente conoce muy poco de las ventajas que conlleva efectuar la auditoría informática en seguridad física dentro de sus áreas de cómputo y también desconocen la magnitud del problema que enfrentarán al no llevar a cabo dicha auditoría; además intenté brindar algunos planes de estrategia y metodología, que si bien no brindan la solución total como muchos prometen, creo que pueden cubrir parte de lo esencial que hoy se presenta al hablar de auditoría informática en seguridad física.

Representa la conclusión de los estudios realizados sobre el campo de la Auditoría de Sistemas. La investigación surge a raíz de la necesidad creciente de las organizaciones por contar con herramientas automatizadas que permitan administrar la información de forma oportuna y confiable. Sin embargo debido a esta necesidad, los sistemas son cada vez más complejos, integrados y relacionados. Esto hace que sea cada vez más necesario en todas las organizaciones garantizar el cumplimiento de normas y procedimientos relacionados con la gestión de las tecnologías de información. El resultado del trabajo es el diseño de un software de apoyo a la auditoría, basado en el marco de referencia Cobit, que permita a sus usuarios obtener el nivel de madurez del área de TI mediante una metodología sencilla: la validación del nivel de madurez mediante: cuestionarios, un esquema de pesos por opción seleccionada, un plan de actividad de auditoría y recomendaciones para mejorar el nivel de madurez en el área de TI. El diseño propuesto representa una herramienta ampliamente flexible que permita acoplar nuevos estándares de evaluación mediante la actualización de la base de conocimiento en cada objetivo de control de Cobit. Además es de fácil mantenimiento, flexible y sencilla. Mediante este trabajo se busca acercar a las organizaciones a los procedimientos de mejora continua, a las recomendaciones internacionales y, de esa forma, mantener un mejor control del software y las actividades relacionadas con este.
Trabajo de suficiencia profesional

Trabajo de suficiencia profesional
Para la presente investigación se ha tomado en cuenta como problema, ¿El diseño de un control interno basado en la auditoría operativa, disminuirá actos de estafas electrónicas, en las empresas que realizan operaciones mediante el comercio electrónico, en la ciudad de Chiclayo?, del que se formuló como objetivo; diseñar un sistema de control interno que contrarreste actos de estafas electrónicas en empresas dedicadas al comercio electrónico en la ciudad de Chiclayo. Así como establecer una propuesta que les posibilite a dichas empresas tener una alternativa de solución. El principal problema por la que estas empresas se ven afectadas y expuestas, es la existencia del riesgo latente y vinculado a hechos de estafas electrónicas. La poca preocupación por parte de estas organizaciones en la determinación de un sistema de control interno que le faculte de herramientas y medios que hagan posibles realizar un seguimiento, y evaluación de sus actividades que realiza, hace que se desarrollen cada vez más actos negativos a la hora de la realización de los pagos por parte de los usuarios, hacia los productos o servicios que se oferten. A su vez trae como consecuencia el incremento de actividades tales como: el uso de tarjetas caducadas o canceladas, alteradas o falsas; hurto informático; apropiación indebida informática; sustracciones de tarjetas; falsedad documental informática.

El presente trabajo abarcar? el proceso de Auditor?as de Sistemas. Hoy en d?a, las auditor?as de sistemas se enfocan en la identificaci?n de riesgos que afectan los ciclos de negocio m?s importantes de las organizaciones. Con el soporte de las t?cnicas ?giles, una auditor?a de sistemas lograr? cumplir su alcance y objetivos, asimismo generar? valor y reducir? tiempos por la inadecuada gesti?n de los recursos. La finalidad del trabajo es demostrar que se puede realizar la planificaci?n de las tareas de auditor?as de una manera eficiente, asimismo, que la optimizaci?n de estas permitan alcanzar los objetivos trazados en materia de recursos y de esta manera se generar? valor al cliente. El trabajo se divide en tres cap?tulos. Metodolog?as ?giles. Una auditor?a de sistemas lograr? cumplir su alcance y objetivos, asimismo generar? valor y reducir? tiempos por la inadecuada gesti?n de los recursos. BPM. Se ha comenzado a adoptar nuevas tendencias de gesti?n de los procesos que tiene como objetivo identificar procesos y actividades con oportunidades de mejora para genera valor para el negocio y el cliente. A trav?s de un adecuado modelamiento BPMN permite modelar los procesos del negocio con una notaci?n est?ndar. CMMi. Conjunto de buenas pr?cticas que tienen como objetivo institucionalizar buenas pr?cticas de desarrollo y gesti?n de proyectos. Durante la realizaci?n del trabajo se abarcar? el proceso de auditor?a de Sistemas, se identificaran actividades que presentan problemas y tareas que no generen valor. De acuerdo a este an?lisis, se dise?ar? y difundir? el proceso mejorado mediante un diagrama BPMN y alineado a las buenas pr?cticas que sugiere CMMi.
Tesis

Establecer cómo el empleo de la tecnología informática (hardware y software) logra optimizar las acciones del Control Interno aplicado al área de créditos de los bancos de Lima Metropolitana. El universo ha comprendido a los bancos de Lima Metropolitana, la unidad de análisis ha sido el Control Interno del área de créditos; la muestra estuvo conformada por 80 personas entre contadores, auditores y funcionarios de tres bancos: Mibanco, Banco Financiero y Banco de Comercio, las principales técnicas que se han utilizado para este estudio son las estadísticas, tanto para la tabulación, procesamiento y el análisis de los resultados. Todos los resultados obtenidos favorecen el modelo, lo que ha permitido rechazar la hipótesis nula y aceptar la hipótesis alternativa
To establish how employing of the informatic technology (hardware and software) will allow the optimization of the internal control in the area of credits of the banks of Metropolitan Lima. The universe has comprised the banks of Metropolitan Lima, the unit of analysis has been the internal control of the area of credits; The sample was shaped by 80 people between accountants, auditors and civil servants employees of three banks: Mibanco, Financiero Bank and Comercial Bank, the principal techniques that I have used themselves for this study, are statistics so much for the tabulation, processing and the results analysis. All the obtained results are in favor to the model, that has allowed reject the null hypothesis and to accept the alternative hypothesis

De la revisión de la literatura sobre estándares internacionales de calidad relacionados a la gestión de tecnología de información (COBIT, ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000 (ITIL), PMBOK, ISO/IEC 27001, IEEE 1058-1998, ISO 9001:2000 e ISO 19011:2002), MoProSoft 1.3, y las normas relacionadas a la auditoría informática en el Estado Peruano, se concluye que no existe una metodología para la auditoría integral de la gestión de la tecnología de información. Los enfoques actuales están basados sobre el proceso general de auditoría sumándoles las inclusiones no integradas de los diversos estándares de calidad internacional, o las normas vigentes para las entidades que son sujetas de evaluación en una auditoría. El objetivo de la tesis fue el desarrollo de una metodología para la auditoría integral de la gestión de la tecnologías de información (MAIGTI), con un enfoque de procesos, basado en estándares de calidad internacionales. MAIGTI enlaza los diversos conceptos de COBIT, ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000 (ITIL), Y PMBOK, sobre la base de una simplificación del proceso general de auditoría descrito en la norma ISO 19011:2002, y sobre la base de una adaptación del esquema de procesos de la ISO 9001:2000 (ISO, 2000). MAIGTI comprende los siguientes elementos: (a) objetivo (la finalidad de la auditoría), (b) alcance (detalle de lo que está incluido y lo que no está incluido como parte de la auditoría), (c) entradas (requerimientos de información), (d) proceso de MAIGTI (evaluaciones a realizar) y (e) salidas (papeles de trabajo e informe de auditoría). Asimismo, cada uno de los procedimientos para la evaluación de los principales objetivos de control dentro de los subprocesos de MAIGTI, comprende la siguiente estructura: (a) objetivo (la finalidad del procedimiento de auditoría), (b) alcance (detalle de lo que está incluido y lo que no está incluido como parte de la auditoría a realizarse a través del procedimiento), (c) entradas (requerimientos de información para ejecutar el procedimiento de auditoría), (d) proceso (detalle de los pasos a seguir en el procedimiento de auditoría), y (e) salidas (hallazgos evidenciados como resultado de la ejecución del proceso). En los procedimientos descritos en el anexo 1, se ha detallado como salidas, algunos hallazgos posibles que se derivan como resultado de la experiencia de las aplicaciones de MAIGTI en auditorías realizadas por el autor de la tesis. MAIGTI ha sido aplicada principalmente a 2 empresas de seguros y de manera parcial 8 entidades más, auditadas por el autor de la tesis, siendo aplicable para entidades usuarias de tecnología de información. Se recomienda ampliar MAIGTI o crear otra metodología, para la auditoría integral de la gestión de tecnología de información en entidades proveedoras de servicios de tecnología de información.
Tesis

Dissertação de Mestrado Integrado em Medicina Veterinária
A evolução tecnológica das últimas décadas proporcionou à indústria agroalimentar a oportunidade para se munir de ferramentas informáticas ágeis e robustas. Têm surgido sistemas computorizados, particularmente os MES (Manufacture Execution System), que permitem gerir a implementação de planos de gestão da segurança e qualidade na indústria alimentar através da introdução de interfaces tácteis no chão-de-fábrica das indústrias, onde se dá o processamento dos alimentos. Este trabalho teve por objectivo ajudar a implementar, em parceria com uma empresa de “software”, um módulo para gestão de auditorias – MGA – que tenta agilizar, através da integração com um sistema MES, a implementação de normativos internacionais, tais como o ISO 22000, “BRC food” ou o “IFS food”, os quais possibilitam, no caso português, a exportação de produtos alimentares para mercados internacionais. Foi definido um plano para o desenvolvimento do projeto, contribuindo este trabalho com a seleção e compilação de listas de parâmetros de avaliação da segurança e qualidade dos alimentos relativos a pré-requisitos, boas práticas e metodologia HACCP, bem como de parâmetros relativos à “BRC food”, um normativo geralmente requisitado pelo mercado alimentar da Commonwealth. Testes preliminares sugerem que o MGA agiliza o planeamento e a execução de auditorias, tirando vantagem da disponibilização imediata de dados previamente compilados. Outras vantagens podem incluir redução do tempo de produção de documentos de auditoria, e recolha sistematizada de dados relevantes para estudo e antecipação de riscos alimentares. A sua integração com sistemas MES pode também acelerar a implementação de normativos necessários à comercialização internacional de produtos alimentares.
ABSTRACT - Project development of a software module for audit management and food safety and quality standards implementation in food industries - Technological development of the last decades provided the opportunity for the Agro- Industries to benefit from agile and robust informatics tools. Computerized systems that are popular nowadays, such as MES’s (Manufacture Execution System), allow to improve the implementation of food safety management plans in food processing facilities by introducing tactile interfaces on the factory floor, where food processing takes place. This work aimed to assist the implementation, in partnership with a software company, of a software module for audit management – MGA – whose goal is also to quicken, through integration with a MES system, the implementation of international norms, such as ISO 22000, BRC food or IFS food, whose certifications may allow the access to most of international food markets. A plan was defined in order to develop the project, to which this work contributed with the selection and compilation of food quality and safety parameters relating to good practice, pre-requisites and HACCP methodology, as well as parameters relating to the BRC food, a norm usually required by the Commonwealth food market. Preliminary tests suggest that the MGA streamlines audit planning and execution, taking advantage of immediate access to previously collected data. Other advantages may be the reduction of time expended on the production of the auditing related documents and systematized input of relevant data to anticipate food related risks. Its integration with a MES system may also accelerate the implementation of international food norms, essential for the international trade of food products.

Orientador: Ana Silvia Sartori Barraviera Seabra Ferreira
Resumo: As deficiências relacionadas às Anotações de Enfermagem mostram a fragilidade da assistência prestada. Os erros cometidos nos registros de Enfermagem na assistência ao paciente causam impactos negativos para as instituições de saúde, tanto no cuidado direto ao paciente, como no setor financeiro. Essas ações levam as glosas hospitalares, que é o não pagamento das prestações de serviços realizados. O objetivo deste trabalho foi desenvolver um software-protótipo para o registro eletrônico das Anotações de Enfermagem. A metodologia utilizada aplicou a realização de uma revisão integrativa de literatura com o objeto de estudo, as Anotações de Enfermagem, e para desenvolvimento do protótipo se utilizou a engenharia de software, contemplando as fases de definição, desenvolvimento e avaliação. A construção do software ocorreu por meio do Microsoft Visual Studio®, que possui um ambiente de desenvolvimento integrado, com programação orientada a objetos, utilizando principalmente a linguagem de programação C# (C SHARP). O software construído foi norteado por deficiências identificadas acerca das inconformidades dos registros. Os resultados apresentados envolveram o desenvolvimento do programa, os layouts das telas do software contemplando as principais necessidades encontradas na literatura sobre déficits das Anotações de Enfermagem. O software-protótipo englobou a necessidade de ser um programa de fácil manipulação, intuitivo e que atendesse aos requisitos do Conselho de Classe, tendo ... (Resumo completo, clicar acesso eletrônico abaixo)
Abstract: The deficiencies related to the Nursing Notes show the fragility of the assistance provided. The errors made in the nursing records in patient care cause negative impacts for health institutions, both in direct patient care and in the financial sector. These actions lead to hospital disallowances, which is the non-payment of services rendered. The objective of this work was to develop a prototype software for the electronic registration of Nursing Notes. The methodology used applied an integrative literature review with the object of study, the Nursing Notes, and for the development of the prototype, software engineering was used, covering the phases of definition, development and evaluation. The software was built using Microsoft Visual Studio®, which has an integrated development environment, with object-oriented programming, using mainly the C # programming language (C SHARP). The software built was guided by deficiencies identified about the nonconformities of the records. The results presented involved the development of the program, the layouts of the software screens contemplating the main needs found in the literature on deficits in Nursing Notes. The prototype software encompassed the need to be a program that is easy to handle, intuitive and that meets the requirements of the Class Council, based on the Guide for recommendations for registering Nursing in the patient's record and other COFEN Nursing documents.
Mestre

Para la presente investigación se ha tomado en cuenta como problema, ¿El diseño de un control interno basado en la auditoría operativa, disminuirá actos de estafas electrónicas, en las empresas que realizan operaciones mediante el comercio electrónico, en la ciudad de Chiclayo?, del que se formuló como objetivo; diseñar un sistema de control interno que contrarreste actos de estafas electrónicas en empresas dedicadas al comercio electrónico en la ciudad de Chiclayo. Así como establecer una propuesta que les posibilite a dichas empresas tener una alternativa de solución. El principal problema por la que estas empresas se ven afectadas y expuestas, es la existencia del riesgo latente y vinculado a hechos de estafas electrónicas. La poca preocupación por parte de estas organizaciones en la determinación de un sistema de control interno que le faculte de herramientas y medios que hagan posibles realizar un seguimiento, y evaluación de sus actividades que realiza, hace que se desarrollen cada vez más actos negativos a la hora de la realización de los pagos por parte de los usuarios, hacia los productos o servicios que se oferten. A su vez trae como consecuencia el incremento de actividades tales como: el uso de tarjetas caducadas o canceladas, alteradas o falsas; hurto informático; apropiación indebida informática; sustracciones de tarjetas; falsedad documental informática.

La presente tesis propone desarrollar un sistema auditor de información que brinde visibilidad a solicitud del usuario del estado actual de los equipos de seguridad. Esto abarca poder validar la configuración del directorio activo, así como sus equipos registrados, usuarios y/o grupos; de igual forma con el firewall de seguridad en el cual se hará una revisión de la configuración del equipo y de las políticas de seguridad habilitadas. Mantener un adecuado control de las múltiples configuraciones que se realizan a diario sobres los equipos de seguridad puede llegar a ser una tarea muy complicada, teniendo en cuenta que muchas veces diferentes administradores son los que realizan cambios sobre las plataformas desde su activación inicial. Es por ello que cada cierto tiempo las empresas solicitan auditorías externas las cuales reportan el estado actual de la configuración de los equipos de seguridad y el nivel de cumplimiento de las políticas vigentes. Con el avance de la tecnología se han automatizado muchas tareas y el uso de una computadora es imprescindible dentro de una empresa, ello conlleva a considerar obligatoriamente la seguridad aplicada a la información que viaja a través de las redes internas como factor clave. Hoy en día es común que constantemente surjan nuevas vulnerabilidades en los sistemas y/o equipos de red, por ello contar con una herramienta que ofrezca visibilidad de lo que realmente se encuentra configurado en los equipos de seguridad se vuelve una necesidad. Esta tesis se centra en dar a conocer las posibles brechas de seguridad dentro de la infraestructura de red de una empresa, las cuales pueden generar un alto costo en caso de ser vulneradas por un atacante externo o interno. Ello resalta la importancia de un correcto planeamiento y control al momento de realizar configuraciones en los equipos de seguridad. Un ejemplo de brecha de seguridad en las diferentes empresas ocurre cuando un administrador configura una política de prueba brindando acceso al puerto TCP/80 y se olvida de eliminar dicha política, ello puede conllevar a que algún ataque de tipo Ransomware infecte una máquina y este a su vez se propague a toda la red interna, generando un bloqueo masivo y ocasionando un corte parcial o total de las operaciones. El sistema auditor se conecta al directorio activo y al firewall, vía LDAP y API respectivamente, por medio de una sola interfaz de usuario y mediante diferentes consultas es capaz de extraer información relevante (“actionable insights”), la cual se utiliza para tomar acción rápida ante cualquier evento de seguridad.

La escuela de Ingeniería de Sistemas y Computación de la Universidad Peruana de Ciencias Aplicadas (UPC) ha desarrollado talleres en los cuales los alumnos de los últimos ciclos podrán tener una experiencia real del desarrollo de un proyecto desde la fase de iniciación hasta la fase de cierre. Estos talleres se brindan a través de empresas virtuales de línea y de apoyo. Una de ellas es la empresa virtual de apoyo QA. Esta empresa se dedica a ofrecer servicios relacionados con el control de la calidad a los diferentes proyectos desarrollados por los alumnos. Esta es la razón por la cual se necesita de un proyecto que planifique y ejecute la gestión de la empresa debido a la importancia del servicio que ofrece a los diversos proyectos. El presente proyecto logrará la gestión de la empresa en sus distintos ámbitos, los cuales son los siguientes: la gestión de los recursos humanos, de proyectos, de conocimiento y de alta gerencia. El principal problema encontrado fue que diversos procesos de la empresa no estaban definidos formalmente y se realizaban de manera manual esto se detallará en el capítulo 2. Para atender las necesidades de la empresa, se definirá y ejecutará un plan de gestión estratégico de la empresa durante los ciclos 2012-1 y 2012-2. El plan de gestión estratégico se definirá en el ciclo 2012-1 y tendrá una actualización en la primera semana del ciclo 2012-2. Por ello, el plan de gestión estratégico se ejecutará en el ciclo 2012-1 una vez definido el plan de gestión estratégico y a lo largo del ciclo 2012-2. Este plan de gestión estratégico al ser ejecutado permitirá brindarle solución a los problemas hallados anteriormente. Para lograr esto, primero se utilizará la metodología PMBOK para la gestión del proyecto de gestión de la empresa virtual de apoyo QA. Además, durante la realización del plan de gestión estratégico, se planteó la gestión de 4 aspectos de la empresa. • Gestión de recursos humanos • Gestión de proyectos • Gestión del conocimiento • Gestión de alta gerencia Con el presente proyecto entonces, se podrá gestionar efectivamente a los recursos humanos. Esta gestión involucrará: definición de un calendario de actividades que involucren a los recursos humanos, promoción del talento de los recursos humanos, asignación de recursos humanos, desarrollo y formalización de la evaluación a los recursos humanos e indicadores de carga laboral y disponibilidad de recursos humanos. También, se definirá y ejecutará un plan para la gestión de los proyectos. Esta gestión involucra lo siguiente: realización y formalización de un contrato para la atención de los proyectos, realización de la cartera de proyectos, asignación efectiva a los proyectos, certificación de los proyectos, atención efectiva de las necesidades de los proyectos e indicadores relacionados con los proyectos. Además, se realizará la gestión del conocimiento. Esto consiste en la definición y ejecución de un repositorio para almacenar todo el conocimiento generado durante la gestión. Definir un repositorio documentario de fácil acceso para los alumnos. Se debe agregar que se realizará la gestión de alta gerencia. Esto consiste en la formalización, definición e implementación de los procesos a seguir para establecer un cambio en la empresa. Al finalizar el proyecto se concluyó que se pudo satisfacer las necesidades de nuestros clientes en un 100%, además se logró definir un repositorio para la gestión del conocimiento y finalmente se logró implementar los procesos de auditoria y automatización de pruebas.

Existem inúmeras técnicas de síntese de áudio utilizadas atualmente em instrumentos musicais profissionais, dentre as quais as mais fundamentais são a síntese aditiva e a síntese subtrativa. A síntese subtrativa se tornou popular e foi muito explorada entre as décadas de 60 e 70 com a criação de módulos analógicos de hardware que podiam ser interconectados, criando o conceito de sintetizador analógico modular. Apesar do uso deste tipo de sintetizador ter diminuído durante as décadas subsequentes, nos últimos anos sua utilização voltou a crescer e diversos modelos deste tipo de instrumento são vendidos atualmente, porém em geral a preços elevados. Sintetizadores digitais também disponibilizam a técnica de síntese subtrativa utilizando componentes eletrônicos customizados e desenvolvidos pelos fabricantes de sintetizadores com o intuito de utilizar avançadas técnicas de processamento de sinais, o que ainda mantém seus preços elevados. Neste trabalho investigamos a hipótese de que é possível desenvolver um instrumento musical funcional e de qualidade com recursos limitados de processamento, e exploramos essa hipótese implementando síntese subtrativa em uma plataforma acessível e de baixo custo. O desenvolvimento é baseado em linguagem orientada a objetos para criação de módulos de software replicando as características dos módulos encontrados em sintetizadores analógicos modulares. Com esta abordagem, obtemos um software modular que pode ser facilmente modificado baseado nas preferências do programador. A implementação foi testada na plataforma Arduino Due, que é uma plataforma de baixo custo e contém um processador 32-bits ARM 84 MHz. Foi possível adicionar osciladores com algoritmo anti-aliasing, filtros, geradores de envelope, módulo de efeito, uma interface MIDI e um teclado externo, obtendo assim um sintetizador subtrativo completo. Além disto, incluímos no desenvolvimento a implementação de um órgão baseado em síntese aditiva, com polifonia completa e inspirado na arquitetura de órgãos clássicos, mostrando a possibilidade de possuir dois importantes e poderosos métodos de síntese em uma plataforma acessível e de baixo custo. Com esta implementação aberta e pública, buscamos contribuir com o movimento maker e faça-você-mesmo, incentivando novos desenvolvimentos nesta área, em especial na computação e engenharia, aumentando o uso e acesso a instrumentos musicais eletrônicos e a criatividade musical.
Subtractive and additive synthesis are two powerful sound synthesis techniques that caused a revolution when the first electronic and electro mechanic music instruments started to appear some decades ago. Subtractive synthesis became very popular during the 60s and 70s after the creation of analog hardware modules that could be interconnected, creating the concept of the modular synthesizers. After the initial impact, for some years these instruments faced a slow-down in its usage, a tendency that was reverted on the past decade. Nevertheless, the prices of these instruments are often high. Digital synthesizers also offer the subtractive synthesis technique, by using customized electronic components designed and developed by the synthesizers vendors in order to use the most up-to-date technologies and signal processing techniques, which also leads to high prices. In this project, we investigate the hypothesis that it is possible to design and develop a good quality music instrument with low budget electronic components and limited processing capabilities, by implementing this on a low budget and easy to use platform. The development is based on object oriented design, creating software modules that replicates the functionalities of analog synthesizer hardware modules. With this approach, we have a modular software that can be easily changed based on programmers’ preferences. The implementation was tested on the Arduino Due board, which is a cheap, easy to use and widely available platform and powered by a 32-bits ARM 84Mhz processor. We were able to add oscillators with anti-aliasing algorithms, filters, envelope generators, delay effects, a MIDI interface and a keybed, making a complete synthesizer. In addition to this, we included an additive synthesis organ design with full polyphony based on classic organs design, demonstrating the possibility of having two powerful synthesis methods on a cheap and widely available platform. With this design, suitable for low cost platforms, we intend to contribute to the maker movement and encourage new implementations in this area, especially in the computing and engineering fields, increasing the usage and access to (electronic) musical instruments and musical creativity.

La presente investigación se centra en la aplicación de nuevas metodologías internacionales como lo son BPM y Agile, así como de las Buenas Prácticas de CMMI en empresas de consultoría de sistemas, desarrollo de software y de servicios administrativos generales. Hemos sustentado el estudio de las metodologías y prácticas señaladas en 3 capítulos. El Primer Capítulo realiza un análisis de los procesos de Solicitud de Cita y Atención Médica Hospitalaria para la empresa Clínica San Juan de Dios. El objetivo es el elaborar un nuevo modelo de gestión de los procesos que cumpla con los requerimientos actuales de la institución, utilizando para tal, la Metodología de Modelamiento de procesos BMP y la herramienta Bizagi Process Modeler, como la aplicación de software para el diseño. Es importante tener en cuenta que la realidad de cada centro de atención hospitalaria del Grupo San Juan de Dios en el país es diferente, por lo cual, solo será base de nuestro estudio la clínica en Lima.
Tesis

El presente trabajo está relacionado al control gubernamental que realizan los Órganos de Control en las entidades públicas, mediante el Sistema Nacional de Control, a cargo de un órgano rector que proporciona las políticas y lineamientos. El ámbito del control se desarrolla a nivel nacional por los más de 871 Órganos de Control Institucional y un número indeterminado de Sociedades de Auditoría, quienes deben informar al órgano rector de sus actividades y los resultados obtenidos, a fin de que se puedan orientar con mayor precisión las estrategias de control a considerarse cada año. El objetivo del presente trabajo es desarrollar un sistema automatizado que permita al órgano rector gestionar el control gubernamental que efectúan los diferentes órganos de control desde su planificación hasta la implementación de las medidas correctivas propuestas; aliviando los inconvenientes de disponibilidad de información, mejora en el control de los cambios, redundancia de los datos; así como, la incorporación de los nuevos aspectos contemplados en las actuales normas de control gubernamental, que permiten orientar el control sobre la base de la experiencia ganada.
Tesis

A segurança e fiabilidade dos Sistemas de Informação (SI) e Novas Tecnologias (TI) são preocupações que existem praticamente desde o seu aparecimento. Atualmente com o crescimento exponencial dos SI/TI a que se tem assistido nas últimas décadas estes aspetos assumem ainda maior relevância. Neste sentido o papel desempenhado pelo Auditor de SI/TI é fundamental, sendo esta uma profissão em crescimento e bastante aliciante, mas também muito exigente. Importa assim definir o perfil do Auditor de SI/TI que é procurado pelas várias empresas. Sendo os SI/TI, e toda a sua envolvente, algo que está em constante mutação o estudo basear-se-á, numa primeira fase, em revisão de literatura, em especial de artigos, dissertações maioritariamente internacionais e publicações de entidades oficiais com relevância na matéria abordada. Esta opção permite, até pela própria velocidade de mudança dos SI/TI, que o presente estudo esteja o mais atual possível à data da sua apresentação, e numa segunda fase pela análise de anúncios de emprego publicados on-line em Portugal, comparando os resultados obtidos com a revisão de literatura, permitindo assim saber o estado da arte em Portugal. A definição do perfil do Auditor de SI, e aquilo que o mercado procura, poderá ser uma importante ferramenta para vários interessados, nomeadamente estudantes que pensem seguir carreira nesta área, profissionais que já exerçam a função mas que pretendam adquirir novas competências, instituições de ensino que pretendam reformular ou adaptar os currículos dos cursos que lecionam e ainda às empresas de auditoria externa, às empresas com departamentos de auditoria interna e às empresas de recrutamento para melhor definirem os perfis a contratar.
The safety and reliability of Information Systems (IS) and New Technologies (IT) are concerns that exist almost since its appearance. Currently, with the exponential growth of IS/IT that has been shown in recent decades, these aspects assume even greater importance. In this sense the role played by the IS/IT Auditor is critical, since this is a profession currently in growth and quite attractive, but also very demanding. Therefore, it is important to define the IS/IT Auditor's profile wanted by companies. Being the IS/IT, and all its surroundings, something that is constantly changing, the study will be based, in a first phase, on a bibliographical revision, especially of articles, mostly international dissertations and publications of official entities with relevance in the matter addressed. This option allows the present study to be as current as possible at the date of its presentation, and in a second phase by the analysis of job advertisements published on-line in Portugal, comparing the results obtained with the literature review, thus allowing to know the state of the art in Portugal. The definition of IS/IT Auditor's profile, and what the market looks for, can be an important tool for various interested parties, namely students who think of following a career in this area, professionals who are already playing that role but wish to acquire new skills, educational institutions wishing to reshape or adapt the curricula of their courses and also to external audit companies, to companies with internal audit departments and to recruitment companies so that when they are hiring workers, they can better define the profiles of the workers.

Sumario: 1- La evolución de las tecnologías y los sistemas de información y su impacto dentro de la organización 2- Evolución del control interno y la auditoría en función de los riesgos existentes 3- La auditoría de sistemas de información y el profesional informático Caso práctico Conclusión

INTRODUCCIÓN - METODOLOGÍA - RESULTADO Y DISCUSIÓN - 1. ESTUDIO EXPLORATORIO SOBRE LA DETECCIÓN Y ANÁLISIS DEL SISTEMA - INFORMÁTICO PARA EL CONTROL INTERNO - El sistema informático en el sistema contable El auditor ante sistemas contables computarizados - Tipos de controles programados - Tarea del auditor adaptadas - 2. ESTUDIO EXPLORATORIO DE LA EVALUACIÓN DEL RIESGO DEL CONTROL INTERNO Y DE AUDITORÍA - Control Interno - Componentes del Control Interno - Consideraciones del Control Interno en la Auditoría - Consideraciones de Riesgos Internos y Externos en la Auditoría - Consideraciones de Otros Riesgos en la Auditoría - Análisis de Riesgos para Auditoría - Consideración del Efecto de Auditoría Interna sobre el Auditor - 3. ESTUDIO EXPLORATORIO SOBRE LOS PROCEDIMIENTOS DE AUDITORÍA EXTERNA DE ACUERDO A CONTROLES INTERNOS - Enfoque de auditoría - Consideraciones normativas sobre la tarea del auditor - Consideraciones para el auditor sobre las pruebas de los controles Pruebas de los controles - Desarrollo de técnicas - Aspectos a destacar sobre los controles del auditor - CONCLUSIONES - BIBLIOGRAFÍA
El objetivo del presente trabajo es analizar los procedimientos de auditoría externa necesarios ante controles internos basados en sistemas informáticas. Para ello, en primer lugar, se considera cómo las nuevas tecnologías modifican el entorno en el que se desarrolla la auditoría y la manera en que el auditor valida la información bajo estas condiciones. Se deben destacar las pruebas de control de que dispone, así como el efecto principal que provoca sobre el desarrollo de su labor profesional: su evaluación debe estar enfocada en depositar confianza sobre los controles internos. En segundo lugar, se realiza un desarrollo de los puntos principales informe COSO y de la importancia que brinda a la tarea del auditor para el adecuado relevamiento del sistema de control interno. Asimismo se avanza sobre otros factores que incrementan los riesgos y tienen impacto sobre las actividades e información contable de las empresas. Finalmente se completa con la tarea tradicional del auditor, tratando el enfoque según el riesgo detectado y las consideraciones reguladas en las normas profesionales. Los aspectos a tener en cuenta respecto de las pruebas de controles en conjunto con las técnicas tradicionales disponibles son desarrollados como parte de los procedimientos de auditoría externa necesarios. Esto último y la revisión de los controles internos, principalmente en entornos informatizados, forman las opciones de que dispone el auditor para su revisión y formación de opinión ante una nueva realidad en la que las tecnologías de información avanzan y son cada vez más frecuentes en las empresas.
Fil: Cielo, Daniel Alejandro. Universidad Nacional de Córdoba. Facultad de Ciencias Económicas; Argentina.

Instituto Superior de Economia e Gestão.
As Unidades Económicas para sobreviverem e fazerem face aos desafios da economia global dependem cada vez mais de sistemas de informação fiáveis e flexíveis, baseados, planeados, arquitectados e explorados em tecnologias de informação, instaladas e exploradas como produtos resultantes de Projectos Informáticos. O sucesso dos Projectos Informáticos é visto como uma estratégia determinante para o posicionamento das empresas nos mercados, na perspectiva de oferecer produtos informáticos de qualidade, em tempo útil e com os custos considerados adequados por quem os oferece e por quem os consome. O insucesso dos Projectos Informáticos está, na maioria dos casos, associado à forma como são geridos. Para este insucesso contribui em grande escala a não percepção dos responsáveis para as actividades que deverão ser objecto de maior cuidado e a não relevância dada aos aspectos da qualidade no desenvolvimento dos processos e da gestão do projecto. Um melhor conhecimento sobre o 'Corpo de Conhecimentos na Gestão de Projectos Informáticos' e uma maior consciencialização sobre as Normas de Qualidade a aplicar nessas áreas, vão permitir uma melhor eficácia e eficiência na Gestão de Projectos Informáticos e contribuir para o sucesso do produto final; quando associado a instrumentos importantes como o Plano do Projecto, o Plano da Qualidade e o Plano de Gestão da Configuração, entre outros.
In order to be able to face and survive the challenge of a global economy, the economic entities must rely on the support provided by the Information Systems. These systems are the outcome of Information Systems Projects which are planned and developed based on Information Technology techniques. The success of these projects is a key factor in the general strategy of the economic entities, since it is very important to count on information systems products, on time, on budget and with the adequate levei of quality. In most of the cases, the failure of Information Systems Projects, lies in the way that these projects are handled. Underestimation of the importance of key activities and the lack of quality assurance practices, are among the most common failures factors on these kind ofprojects. A better knowledge of the 'Information Systems Project Management Body of Knowledge' and more attention to the Quality Assurance Standards in combination with the traditional tools such as The Project Plan, The Quality Plan and The Configuration Management Plan, will ailow a more efficient and much more effective project management, which in tum will assure a more reliable final product: an Information System properly aligned with the economic entity business objectives.
N/A

Dissertação de mestrado integrado em Engenharia Biomédica (área de especialização em Informática Médica)
Ao longo dos anos, tem aumentando o número de Tecnologias da Informação e Comunicação(TIC) em todas as organizações e também nas organizações de saúde, como é o caso do Registo de Saúde Eletrónico (RSE). Este sistema integra dados provenientes de diferentes fontes, reunindo registos clínicos dos utentes, informação que suporta a decisão clínica, repositórios de dados, aplicações de gestão hospitalar. Permite ainda o acesso a aplicações para a realização de processos operacionais, como é o caso da prescrição eletrónica de exames e de medicamentos. As organizações de saúde, têm como principal objetivo, uma boa prestação de cuidados de saúde aos utentes, garantindo a prestação de serviços de qualidade. Para isto, a tomada de decisão tem que ser rápida e e caz. Assim, o conceito de Business Intelligence (BI) vem contribuir para a melhoria da prestação de cuidados de saúde na medida em que se baseia na organização e análise de dados, de forma a disponibilizar informação útil para formar conhecimento, o que consequentemente, facilita a tomada de decisão. O objetivo deste projeto é estudar e analisar, através de ferramentas de BI, o tempo de prescrição de Meios Complementares de Diagnóstico e Terapêutica (MCDT). Tal estudo é feito através da criação de uma plataforma de auditoria, com a ferramenta de BI Pentaho Community que, de forma simples e atrativa mostra informação relativa ao tempo que os pro ssionais de saúde levam a preencher os formulários de prescrição. Esta auditoria é necessária, para obter informação útil, formar conhecimento sobre a prescrição e sobre os médicos e enfermeiros, do Centro Hospitalar do Porto (CHP) e implementar mudanças. Este sistema permite avaliar os tempos de prescrição, tanto por médico bem como por especialidade, com o intuito de, posteriormente, melhorar todo o processo de Prescrição Eletrónica Médica (PEM). Veri cou-se que é a especialidade de radiologia que executa mais pedidos e são as tarefas de gastrenterologia que, em média demoram mais tempo a serem executadas.
Over the years, the number of information technologies used in all organizations, including healthcare systems, in which Electronic Health Record( EHR) are a good example, have increased. This type of system integrates data from di erent sources, i.e., the clinical records of patients, clinical decision support applications, data repositories and other hospital management systems as the same time that allows access to applications for performing operational processes, such as the electronic prescription of medical exams and drugs. Good provision of healthcare to patients ensuring the quality of services is healthcare organizations main goal. For this, decisions have to be made quickly and e ectively. Thus, the concept of BI contributes to improve the delivery of healthcare and that it's based on the analysis of data in order to provide useful information to form knowledge, which consequently facilitates decision making. The objective of this project is to study and analyze through the BI tools, the time that physicians take to prescribe complementary diagnostic and therapeutic procedures. Such study is done by creating a BI auditing platform using the Pentaho Community, which shows a simple and attractive way of information on the time that health professionals take to ll out the forms of prescription. This audit is useful to gain information about the prescription system and as well it's relation with the physicians and nurses of the Centro Hospitalar do Porto (CHP) and ultimately, implement changes. This system allows evaluating the time prescription, by physician and by specialty, in order to improve the whole process of Electronic Medical Prescription (EMP). Thanks to the this study, it has been found that is the specialty of radiology that performs more requests of complementary diagnostic and therapeutic procedures and the tasks of gastroenterology, on average, that take longer to perform.

Dissertação de mestrado integrado em Engenharia Eletrónica Industrial e Computadores
Cada vez mais há uma crescente preocupação por parte dos consumidores em eliminar, reduzir ou conter custos, associada ao aumento da eficiência energética e à proteção do meio ambiente. Sendo visivelmente necessária uma abordagem mais personalizada e verificando a existência de oportunidades de atuação no mercado elétrico, a empresa Leuk Solutions Unip. Lda., disposta a colmatar estes problemas, decidiu dar início a um projeto de realização de auditorias energéticas. Estas são um conjunto de estudos das condições de utilização de energia numa determinada instalação. A força motivacional deste projeto surge da importância que a eficiência energética e as formas de energia alternativa tem para um desenvolvimento sustentável, ou seja, atender às necessidades do presente sem comprometer a possibilidade de as gerações futuras fazerem o mesmo. Atualmente, o setor industrial, de forma global, é onde se verifica o maior consumo de energia elétrica, sendo maioritariamente produzida a partir de combustíveis fósseis, prejudiciais ao meio ambiente. As poupanças neste setor surgem como uma das alternativas mais atrativas e viáveis para ir de encontro à otimização do consumo de energia e à redução das emissões de gases de efeito de estufa. A presente dissertação, executada sob a alçada da Leuk Solutions Unip. Lda., teve como finalidade a elaboração de uma auditoria energética a uma empresa inserida na indústria têxtil, a Araújo e Irmão, Lda. Efetuaram-se visitas à Araújo e Irmãos, Lda, para uma análise das instalações e dos equipamentos existentes, sendo também pedida documentação relativa aos consumos da empresa e à utilização de fontes de energia renovável. Foram realizadas medições com um equipamento de análise de problemas de qualidade de energia elétrica. O conjunto de informações recolhido foi posteriormente analisado e estudado, resultando num conjunto de sugestões e medidas para futura implementação na empresa. É também importante referir que o principal objetivo destas sugestões visa melhorar o desempenho energético e económico da Araújo e Irmãos, Lda, sem afetar o processo produtivo. Foram também analisadas algumas soluções já implementadas pela empresa antes da elaboração desta dissertação, como por exemplo o sistema solar fotovoltaico e o banco de condensadores. Em ambas as soluções foi possível detetar problemas de qualidade de energia. Sugeriram-se alterações/otimizações relativamente à instalação elétrica, à energia reativa, à utilização de alguns equipamentos e à iluminação.
Consumers are increasingly concerned about eliminating, reducing or containing costs, opting to an increased energy efficiency and environmental protection. A personalized approach is clearly needed and the existence of oportunities in the electric market is evident. Looking further these problems Leuk Solutions Unip. Lda. company decided to start a project aimed at conducting energy audits. These are a set of studies of the conditions of use of energy in each installation. The present work, executed under the authority of Leuk Solutions Unip. Lda., had as purpose the elaboration of an energy audit to a textile industry company, Araújo e Irmãos, Lda. The motivational strength for this project emerges from the importance that energy efficiency and alternative forms of energy have for a sustainable development, i.e. knowing the needs of the present without compromising the ability of future generations to do the same. Globally, industry is where the highest consumption of electric energy is, mostly produced from fossil fuels, which is harmful to the environment. Savings in this sector have emerged as one of the most attractive and viable alternatives meeting an optimization of energy consumption and the reduction of greenhouse gas emissions. Visits were made to Araújo and Irmãos, Lda, for analysis of the existing facilities and equipment. Documentation was also requested regarding the company's consumption and its alternative energy sources. Measurements were carried out with a power quality analyzer. The set of collected information was studied and analyzed, resulting in a group of measures to improve the energy and economic performance of Araújo e Irmãos, Lda, without affecting the productive process of it. Some already implemented solutions by the company before this project, such as the solar photovoltaic system and the capacitor bank, were analyzed. Power quality problems were founded. Changes and optimizations were suggested regarding the electrical installation, the reactive energy, the use of some equipment’s and the lighting.

Trabalho de projecto de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2018
A Internet criou oportunidades para as organizações expandirem o seu negócio e partilharem informação, num número crescente de aplicações web para aceder a dados criar conteúdos. Tanto as aplicações como as infraestruturas de rede, sendo implementadas por seres falíveis (humanos), contêm vulnerabilidades que podem comprometer o sistema. Para se reduzir o risco de segurança durante o tempo de vida do sistema, é necessária a existência de um processo que permita a identificação, a análise, a monitorização e a mitigação devulnerabilidades continuamente, denominado de auditoria contínua de segurança da informação. Na análise de vulnerabilidades, recorre-se a ferramentas automáticas, denominadas de scanners, que identificam vulnerabilidades conhecidas oferecendo as respetivas informações técnicas e sugestões de mitigação. Estes scanners devolvem resultados consoante o que foi detetado, e ao serem monitorizados e geridos pela organização, dão origem a incidentes de segurança. Num processo de auditoria contínua, as organizações executam scans ao longo do ciclo de vida do sistema, agendados em curtos intervalos de tempo, em que por cada execução existe um potencial aumento de número de incidentes de segurança apenas referentes a análise de vulnerabilidades. Tipicamente os incidentes são analisados manualmente, a fim de se tomarem as medidas de resolução das vulnerabilidades encontradas, nomeadamente validar a sua prioridade e criticidade de mitigação. Essa avaliação não só é morosa como tem custos associados, pelos recursos que estão dedicados a esta tarefa. As vulnerabilidades ao serem descritas apenas com informações técnicas, não permitem que seja percetível a prioridade e importância do seu impacto no negócio. Este trabalho serve para apresentar uma solução que permite minimizar o esforço manual e agilizar a caracterização dos resultados dos scanners em 25%. Através de critérios de negócio e ambiente inerentes ao sistema em análise, é possível calcular um valor de severidade mais realista e gerar alertas que permitam prioritizar a mitigação das vulnerabilidades encontradas.
The Internet has created opportunities for organizations to expand their businesses and share information, supported by a growing number of web applications to access data and create content. Both applications and network infrastructures, being implemented by fallible beings (humans), may have vulnerabilities that can compromise the whole system. In order to reduce the security risk throughout system lifecycle, there is a need for a process that allows the continuous identification, the analysis, the monitoring and vulnerabilities mitigation. Such a process is named continuous auditing of information security. Vulnerability Assessments uses automatic tools, called scanners, that identify known vulnerabilities by providing their related technical information and mitigation suggestions. These scanners show the results based on what has been detected, and after being monitored and managed by the organization, originate new security incidents. In a continuous auditing process, organizations run scans over system life, scheduled in short time periods, and for each execution there is a potential increase in the number of security incidents related to the vulnerability assessment only. Typically, the incidents are analyzed manually, in order to take measures regarding the findings, namely to validate their priority and criticality of mitigation. This evaluation is not just time-consuming but also costly due to the resources that are allocated to it. Vulnerabilities, since being described with just technical information, don’t allow the perception of their priority and the importance of their impact on the business. This thesis presents a solution that will contribute to minimize the manual effort and to speed up the characterization of the results of the scanners by 25%. Through business and environmental criteria inherent to the system under analysis, it is possible to calculate a more realistic risk score and to generate alerts that allow prioritizing the mitigation of the vulnerabilities.

Os auditores, com o objetivo de aumentarem a eficácia e a eficiência dos procedimentos de auditoria e, consequentemente, o seu desempenho, tiveram necessidade de adotar determinadas ferramentas tecnológicas de suporte à auditoria. Assim, conseguem acompanhar o volume, a variedade e a complexidade dos dados a auditar, e a respetiva velocidade com que são produzidos, resultado da desmaterialização dos processos e da transformação digital com que as empresas atuais se deparam. O principal objetivo desta dissertação é evidenciar as alterações dos procedimentos de auditoria provocadas pela introdução das ferramentas tecnológicas de suporte à Auditoria, nomeadamente na eficácia e na eficiência dos procedimentos. Além disso, o trabalho pretende, também compreender as tarefas em que estas ferramentas são utilizadas, identificando as vantagens da sua adoção e explorando o seu atual uso pelos auditores. Com o intuito de responder a estes objetivos foi realizado um inquérito por questionário aos Revisores Oficiais de Contas (ROC) de Portugal. As principais conclusões demonstram que existe uma grande variedade de ferramentas tecnológicas utilizadas pelos ROC em Portugal, sendo a mais utilizada o Microsoft Excel. Esta ferramenta facilita o trabalho de análise e a preparação dos procedimentos de auditoria. Conclui-se também que os ROC estão genericamente satisfeitos quanto ao contributo da utilização destas ferramentas na eficácia e na eficiência dos procedimentos de auditoria, sendo que isso é mais sentido nos procedimentos “Identificação e Avaliação do Risco””, “Papéis de trabalho em auditoria” e “Análise de Dados”. Os ROC consideram também que as ferramentas que usam estão preparadas para acompanhar as novas tendências e desafios impostos à Auditoria.
Auditors, in order to increase the effectiveness and efficiency of audit procedures and, consequently, their performance, had to adopt certain technological tools to support auditing. They are able to monitor the volume, variety and complexity of the data to be audited, and the speed with which they are produced, as a result of the dematerialization of the processes and the digital transformation that today's companies face. The main objective of this dissertation is to highlight the changes in the auditing procedures caused by the introduction of the technological tools to support the Audit, namely in the effectiveness and efficiency of the procedures. In addition, the work aims to also understand the tasks in which these tools are used, identifying the advantages of its adoption and exploring its current use by auditors. In order to respond to these objectives, a questionnaire survey was conducted to the Official Chartered Accountants (ROC) of Portugal. The main conclusions show that there is a great variety of technological tools used by ROCs in Portugal, the most used being Microsoft Excel. This tool facilitates the analysis work and preparation of audit procedures. It is also concluded that ROCs are generally satisfied with the contribution of the use of these tools to the effectiveness and efficiency of audit procedures, and this is more meaningful in the procedures "Risk Identification and Assessment", "Audit Work Papers" And "Data Analysis". They also consider that the tools they use are prepared to keep pace with the new trends and challenges imposed on the Audit.
Mestrado em Contabilidade

Com o crescimento a nível dos sistemas de informação e do número de empresas que cada vez mais utiliza os mesmos, vai existir uma necessidade de se realizar auditorias à segurança dos sistemas. Normalmente numa auditoria, o auditor que realiza os testes vai usar vários métodos e ferramentas para realizar os testes, e cada uma dessas ferramentas geram um relatório diferente em relação à outra, e no final disto tudo vai ser necessário realizar um relatório para se entregar à organização com os resultados de todos os testes, mas atualmente ainda não existe nenhum template para estes relatórios. Como tal existe a necessidade da criação de uma plataforma para as empresas que realizam as auditorias na qual seja possível agregar os resultados destas auditorias, fazendo com que esta informação seja guardada para mais tarde, se for feita uma nova auditoria ao mesmo sistema, seja possível verificar se as ameaças e as vulnerabilidades foram mitigadas para assim a organização responsável fazer uma melhor gestão da segurança do sistema. Para tal foi efetuada esta investigação que resultou numa plataforma que tem como propósito tentar ajudar os auditores nesta tarefa, bem como possibilitar aos mesmos que possam utilizar ficheiros que são criados a partir de programas que fazem a pesquisa automaticamente por vulnerabilidades, para registarem as suas vulnerabilidades para além de ser só manualmente. Esta plataforma oferece também a possibilidade de classificar as vulnerabilidades utilizando um sistema de classificação bastante conhecido por parte dos auditores de segurança para assim permitir que as mesmas estejam com o maior detalhe possível.
With the growth in regard of information systems and the number of companies that increasingly uses them, there will be a need to perform security audits to the systems. Normally in an audit, the auditor that performs the tests will use several methods and tools to perform the tests, and each of these tools generate a different report in relation to the other, and at the end of it all the different reports will be necessary to make a final report to deliver to the company with the results of all tests, but currently there isn’t still a template for these reports. As such there is a need to create a platform for companies that are responsible for performing audits, with the objective of aggregating the results of these audits, so that this information is saved for later use, for when it’s made a new audit of the same system, it is possible check the threats and vulnerabilities that were mitigated so as the responsible organization can do a better management of their system security. Thanks to this a need for a platform of this type had to be researched, and this investigation is a result of this. The platform aims to help the people responsible for the audits by providing the means to insert vulnerabilities manually or by using a file from a vulnerability scanner. This platform also offers to it’s users a vulnerability scoring system that is very well know by most auditors, and thanks to it, the vulnerabilities that are registered have more details that can help everyone understand them.

I. INTRODUCCIÓN -- II. METODOLOGÍA -- III. RESULTADOS Y DISCUSION -- A.- Estudio Exploratorio Bibliográfico sobre Auditoria Interna en el contexto de la empresa Electroingeniería S.A. -- 1. Definición de Auditoria Interna -- 2. Definición de Control Interno -- 3. Análisis de Inventarios en el marco del control interno -- B.- Estudio Exploratorio Bibliográfico sobre Auditoria de los Sistemas de Información -- Computarizados en el contexto de la empresa Electroingeniería S.A. -- 1. Auditoría Informática versus Auditoría de Sistemas -- 2. Auditoría Informática -- i) Objetivos de una Auditoría Informática ii) Justificación de una Auditoría Informática -- 3. Auditoria de Sistemas de Información y sistema de control interno -- i) El control Interno en los Sistemas de Información Contable -- ii) Importancia del control interno -- iii) Impacto de la tecnología en el Control Interno -- C.- Estudio Exploratorio Bibliográfico sobre Auditoria de los Estados Contables en el contexto de la empresa Electroingeniería S.A. -- 1. Concepto de Auditoria Externa -- 2. Objetivos de la Auditoria Externa -- 3. Resolución Técnica N° 37 -- i) Normas para su desarrollo (Resolución Técnica N°37) -- 4. Procedimiento de Auditoria Externa para Inventarios -- i) Aseveraciones (Afirmaciones) / Errores potenciales -- ii) Descripción de los componentes -- iii) Riesgos de auditoría, controles y pruebas sustantivas -- iv) Procedimientos de toma de inventario -- v) Valuación de inventario -- vi) Previsión por obsolescencia y lenta rotación -- D.- Estudio Exploratorio de Experiencia Práctica sobre el rubro Bienes de Cambio de la empresa Electroingeniería S.A. -- 1. Estructura Organizativa -- 2. Objetivos de la empresa -- 3. Sistema de Información Contable Computarizado -- 4. Sistema de Control Interno -- 5. Exposición y valuación contable de los Bienes de Cambio -- IV. CONCLUSIONES -- V. BIBLIOGRAFÍA
El presente trabajo final pretende mostrar cómo un adecuado ambiente de control interno, informatización de los procesos y cumplimiento de los principios de contabilidad generalmente aceptados permiten lograr una razonable valuación y exposición de los bienes de cambio de la empresa Electroingenería S.A. Del análisis de los resultados surge que la firma cuenta con un adecuado ambiente de control interno en el entorno informático dado que cuenta con procedimientos internos que rigen el procesamiento y almacenamiento electrónico de datos, la solicitud de insumos, políticas de seguridad informática y acceso restringido al software de gestión como carpetas de almacenamiento de información, licencias originales, profesionales idóneos en el tema que brindan capacitación y soporte a las áreas que lo demanden. SAP como software de gestión contable y financiero para el rubro bienes de cambio se encuentra parametrizado y restringido de modo tal que permite la adecuada segregación de funciones dispuesta para el proceso. De este modo los usuarios no vinculantes del proceso no tienen acceso a la manipulación de datos del mismo, existe una cadena de autorización en función a los niveles de jerarquía que posee la firma, existe correspondencia entre los precios y cantidades solicitadas, ingresadas, utilizadas y pagadas, la valuación de los materiales es de acuerdo a la normativa internacional, entre otros puntos. Respecto al ambiente de control interno existente en el proceso de compras e inventario el mismos es también adecuado dado que el circuito logístico se encuentra claramente establecido en los procedimientos internos como así también por los usos y costumbres que posee la firma, las distintas etapas cuentan con la documentación de respaldo y lineamientos claramente establecidos para la manipulación de los materiales, existe una clara segregación de funciones en torno a las actividades del procesos y acceso al software de gestión y por parte del área de Auditora Interna se realizan inventario sorpresivos, solicitud de justificaciones de diferencias y cortes de documentación a los fines de controlar la adecuada manipulación y registro de las operaciones. Respecto al cumplimiento de los principios de contabilidad generalmente aceptados se verifica que los bienes de cambio se encuentran valuados según la normativa internacional, los inventarios han sido medidos a su costo de adquisición, utilizando el método de costo promedio ponderado las obras en curso han sido medidas a los costos incurridos hasta el cierre de cada ejercicio, las no corrientes han sido medidas a la suma de los costos incurridos adicionándole los costos financieros derivados de la utilización del capital ajeno durante su proceso de ejecución, los departamentos a la venta han sido medidos a su costo de construcción, el valor contable de los inventarios así determinado no supera su valor recuperable al cierre de cada ejercicio. El informe del auditor manifiesta la aplicación de procedimientos de auditoria y su opinión es favorable respecto al rubro. De este modo, se concluye que Electroingeniería S.A. gracias a este adecuado ambiente de control interno, informatización de los procesos y cumplimiento de los principios de contabilidad generalmente aceptados permiten lograr una razonable valuación y exposición de los bienes de cambio para los estados financieros al 31 de diciembre de 2015.
Fil: Ortiz, Jesica Anabela. Universidad Nacional de Córdoba. Facultad de Ciencias Económicas; Argentina.

Trabajo final de posgrado (Especialización en Contabilidad Superior y Auditoría) -- Universidad Nacional de Córdoba. Facultad de Ciencias Económicas; Argentina, 2017.
El objetivo de este trabajo final fue desarrollar el Gerenciamiento y Auditoria del Circuito Logístico en una Empresa de Transporte de Cargas en Córdoba. Del análisis de los resultados surge que las políticas y normas de control interno, son importantes para tener una visión panorámica de la empresa. Además, son indicadores de la calidad del servicio. Parte de dicha calidad, también la comprende el sistema informático, por esto es importante tenerlo actualizado y que sea de fácil manejo, y con acceso a diferentes plataformas. Pero, los indicadores más relevantes para el cliente, son el tiempo de entrega y el estado de la carga. Por el lado de los costos, se pudo concluir que cumplen un papel determinante en el rubro por su alta volatilidad y elevada preponderancia. Por esto, es importante contar con procedimientos de auditoria confiables. Esto está en consonancia con la diagramación del circuito logístico, la cual debe ser flexible y tener previstos puntos de control (automáticos y manuales). Cabe recordar, que la mercadería transportada es propiedad de un tercero y cualquier inconveniente lo afecta directamente a él también. Por este último punto, es necesario establecer en forma escrita las políticas de seguridad de la información y efectuar una concientización de las amenazas en los empleados intervinientes.
Fil: Tisera, Emmanuel. Universidad Nacional de Córdoba. Facultad de Ciencias Económicas; Argentina.

Dissertação de Mestrado em Contabilidade e Auditoria apresentada à Universidade Aberta
Com a evolução que se tem verificado na área das TI, é actualmente inconcebível qualquer organização não recorrer a meios informáticos para o processamento de dados. Paralelamente a este panorama de evolução, verificam-se ainda duas tendências que importa salientar, o crescente recurso a outsourcing de TI pelas organizações e as novas exigências no que respeita ao SCI e ao seu relato. Neste ultimo caso, uma das principais exigências no que respeita ao SCI consiste na obrigação de relato sobre a eficácia do SCI presente na organização e a sua subsequente certificação pelos revisores/auditores independentes. Neste contexto, é hoje evidente que os revisores/auditores, têm de enfrentar novas dificuldades no exercício da sua profissão, sendo a certificação do relatório da eficácia do SCI uma delas. Para essa certificação, o revisor/auditor terá então de avaliar o risco de auditoria, tendo em conta as condicionantes acima identificadas, relacionadas com o outsourcing. Neste trabalho, pretende-se fundamentalmente evidenciar a existência de um acréscimo do risco de auditoria por força do recurso ao outsourcing de TI. Para a realização deste trabalho foi efectuado um inquérito aos ROC, inscritos na OROC. Dos ROC consultados, obteve-se um total de 21 respostas. Apesar do diminuto número de respostas obtidas, o questionário foi tratado sob o ponto de vista descritivo e ainda sob a forma de testes de hipóteses. Como resultado desse tratamento, verificamos que os factores PEST influenciam as características de informação segura e que a não validação dessas características influenciam tanto o risco de controlo como o risco de auditoria. Dessa forma, estes factores têm uma influência no julgamento que o auditor faz dos riscos de controlo e inerente. Face a estas conclusões, podemos afirmar que os factores PEST e, consequentemente, o outsourcing influenciam moderadamente o risco de auditoria. O trabalho conclui-se, com a evidência que o recurso a outsourcing de TI influenciará de forma importante o julgamento do risco de auditoria pelo auditor para efeitos de emissão de opinião sobre o relato do SCI inserido nas demonstrações financeiras.
Face to the evolution in the IT area, actually any organization can’t work without IT for the data processing. In parallel to this view of evolution, there happen still two tendencies in what it imports to point out, the growing resource to IT outsourcing for the organizations and the new demand about internal control and his report. In this last case, one of the principal point respect to the management assessment of the effectiveness of internal control and the independent auditor attest to this report. In this context, it is today obvious that the auditors will face new difficulties in their work, being the certification of the report of the effectiveness of internal control one of them. To form an opinion the auditor has to value the audit risk. In this study, we intend to show up fundamentally the increase of the audit risk that result of the outsourcing IT. For the realization of this study an inquiry was effectuated to the ROC registered in the OROC. We obtain a total of 21 answers of the consulted ROC. In spite of the tiny number of obtained answers, we study the questionnaire with descriptive statistic and hypotheses tests. As result of this work, we check that the factors PEST influence the fundamental characteristics of safe information and that it not validation of these characteristics is influenced by both the risk of control and the risk of auditing. In this form, these factors have an influence in the judgment that the auditor does from the control risk and inherent risk. Face to these conclusions, we can affirm that the factors PEST and the outsourcing influence moderately the audit risk. The study ends, with the evidence that the resource to IT outsourcing will influence in the important form the auditor judgment of the audit risk in the assessment on the report of the Internal Control over financial reporting.

Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2020
Na atualidade, a integração de funcionalidade e segurança em aplicações é um desafio. Existe a noção de que a segurança é um processo pesado, requer conhecimento e consome o tempo dos programadores, contrastando desta forma com a visão relativa à funcionalidade. Independentemente destes desafios, é importante que as organizações tratem da segurança nos seus processos ágeis, pois os ativos críticos da organização devem ser protegidos contra potenciais ataques. Uma forma de evitar que os ataques tenham sucesso passa por integrar ferramentas que possam ajudar a identificar vulnerabilidades de segurança durante a fase de desenvolvimento das aplicações e sugerir métodos para a sua correção. Segundo o Instituto Gartner, mais de 75% dos problemas com segurança na Internet são devidos a vulnerabilidades exploráveis a partir das Aplicações Web (Web Apps). A maior parte das Web Apps são naturalmente vulneráveis devido às tecnologias adotadas na sua concepção, à forma como são desenhadas e desenvolvidas, e ao uso de vários objetos e recursos, além da integração de outros sistemas. Frequentemente observa-se que são priorizados os aspetos funcionais que atendem a área de negócios, enquanto os requisitos de segurança ficam em segundo plano. Os ataques a Web Apps podem causar problemas de variados níveis de impacto, como por exemplo: interrupção ou queda de desempenho do serviço; acesso não autorizado a dados confidenciais e estratégicos; roubo de informação e clientes; fraudes e modificação de dados no fluxo das operações; perdas financeiras diretas e indiretas; prejuízos à imagem da marca da empresa; perda da lealdade dos clientes e gastos extraordinários com incidentes de segurança. Os riscos de ataques mais comuns são genericamente conhecidos e podem ser previstos com antecedência, pois são listados pela Open Web Application Security Project (OWASP), e dentre eles, três dos principais são: SQL Injection (SQLi); Cross-Site Scripting (XSS); Broken Authentication e Session Management. Os ataques mais graves são aqueles que, quando realizados sobre vulnerabilidades da Web App, não serão detetados de imediato e resultam no acesso a dados sigilosos do negócio, da infraestrutura, ou de clientes, e que podem ser posteriormente organizados para realizar um ataque de impacto mais relevante, ou uma fraude. Neste contexto, um novo paradigma surge no que se refere `a auditoria em ambientes web. O conceito de Auditoria Contínua (AC) emerge como uma nova solução de auditoria que responde a novas necessidades, sendo um tema recente que tem sido objeto de pesquisas e aposta de organizações. O modelo tradicional de auditoria, baseado em análises pontuais e descontínuas, torna-se cada vez mais inadequado à dinâmica atual da informação e aos sistemas que a gerem. Atualizações constantes de aplicações e as alterações nas configurações do sistema podem introduzir vulnerabilidades e deixar uma organização suscetível a ataques. Portanto, para manter os dados seguros, os sistemas e dispositivos devem ser verificados continuamente para identificar e relatar vulnerabilidades à medida que são descobertas. Este conceito traduz-se numa enorme mudança na filosofia tradicional da auditoria para um paradigma de AC que torna possível uma intervenção e ação corretiva mais cedo. Desta forma, é necessário que as organizações adotem uma metodologia que permita aos auditores independentes, fornecer garantias por meio de relatórios sobre a ocorrência de eventos ao longo da vida do sistema. Esses eventos, quando monitorizados em tempo real, permitem desvios a serem detetados e relatados para aumentar a velocidade e a eficácia da resposta pelos elementos responsáveis pela tomada de decisão. As organizações estão sujeitas a vários tipos de auditorias que têm diferentes finalidades, como a qualidade, o ambiente, a operação ou a gestão. Estes processos seguem um período de tempo para validar e analisar o que já foi feito e o estado atual da organização. Na segurança da informação, a AC visa garantir a monitorização em tempo real do sistema e o risco dos ativos da empresa. Para além disso, permite avaliar o nível de segurança atual do sistema, monitorizar o sistema em tempo real, aumentando a eficiência da descoberta e mitigação de vulnerabilidades. Os testes de intrusão, são geralmente um complemento para a AC. Num processo contínuo em que não existe esse comportamento invasivo, as análises de vulnerabilidades são realizadas com o auxílio de ferramentas automáticas ao longo do tempo para observar e monitorizar o estado do sistema e as ações corretivas as serem tomadas. O objetivo desta tese é propor uma abordagem e desenvolver uma ferramenta que permitirá detetar ataques do tipo Injection Attacks (IA) ou Cross-Site Request Forgery (CSRF) em Web Apps, no caso de estas estarem a recorrer ao mecanismo Cross-Origin Resource Sharing (CORS). Para efetuar a deteção de IA, a ferramenta terá a capacidade de analisar os links externos que são passados no atributo href a que uma Web App se liga, com o intuito de verificar se estes estão comprometidos. Para a deteção de CORS a ferramenta analisará todos os links internos passados no atributo src para verificar se estes invocam métodos XMLHttpRequest utilizados para chamadas de CORS. Estes dois tipos de ataques est˜ao sempre associados, contribuindo para um IA bem-sucedido. O IA é uma classe de ataques que depende da injeção de dados numa Web App, causando a execução ou interpretação de dados mal-intencionados de maneira inesperada. Exemplos de ataques desta classe incluem SQLi, HTML Injection, XSS, Header Injection, Log Injection e Full Path Disclosure. Estes são os ataques mais comuns e bem-sucedidos na Internet devido aos seus numerosos tipos, grande superfície de ataque e complexidade necessária para os proteger. O CORS é um mecanismo do browser que permite o acesso controlado a recursos localizados fora de um determinado domínio. Ele estende e adiciona flexibilidade à Same Origin Policy (SOP). No entanto, este mecanismo também oferece potencial para ataques baseados em vários domínios, se a política de CORS de um site estiver mal configurada ou implementada. O CORS não pretende ser uma proteção contra ataques de Cross-Request como o CSRF.Tendo em conta o anteriormente descrito relativamente a IA e CORS, a ferramenta desenvolvida permite a deteção de vulnerabilidades em Web Apps em AC. O foco fundamental está nos links externos e internos da Web App. Corre num servidor web, disponibilizando este serviço aos utilizadores na internet, permitindo analisar ligações externas e internas de uma determinada Web App. Para as ligações externas irá detetar evidências de IA, atribuindo uma classificação de benigno ou maligno às ligações externas identificadas. Para os links internos, verifica se existem chamadas de Cross-Origin mais especificamente CORS. Desta forma um utilizador poderá submeter o URL da sua Web App que irá ser analisado pela ferramenta Vulnerabilities Detector at Runtime and Continuous Auditing (VuDRuCA) que recorre a um mecanismo de AC. A ferramenta VuDRuCA emprega técnicas de crawling para navegar nas páginas da Web App e obter a informação pretendida. Utiliza ainda a API do Virus Total para analisar URLs, identificando conteúdo malicioso detestável por antivírus e scanners de Web Apps. Como backend a ferramenta utiliza uma base de dados relacional que armazena todos os dados recolhidos para que estes possam ser analisados, contribuindo para a apresentação de indicadores. Na fase de avaliação a ferramenta foi testada utilizando uma amostragem de 100 URLs de Web App que recorrem à tecnologia AJAX. Para estes foram contabilizados o número de sites externos e internos da Web App. Após uma primeira análise foram escolhidos 30 Web Apps para categorização, medição dos tempos de execução para deteção de links externos e internos e várias outras métricas relativas aos tempos de execução. Finalmente para testar o motor de AC foram selecionados 10 URL de Web Apps que na sua maioria recorrem a CORS. Nestas 10 Web Apps foi identificada a tecnologia de Content Manamgment System (CMS) utilizada. O módulo de AC, efetuou ainda uma análise durante um período de 5 dias, com intervalos de 24h, para validar se existia a introdução de novos links externos ou se algum destes estava comprometido. Relativamente aos links internos foi validado se existiam novos links internos e se estes recorriam a CORS.
Nowadays integrating applications agility and security is an extremely challenging process. There is the notion that security is a heavy process, requiring knowledge and consuming time of the development teams. On the other hand, the acquisition of Web Applications (Web Apps) is often achieved through contracted services because companies do not have the necessary software developers. Taking this fact into account, the risk of obtaining a product implemented by poorly qualified developers is a reality. The main objective of this thesis is to propose a solution and develop a tool that will detect some forms of Injection Attacks (IA) or Cross-Site Request Forgery (CSRF) attacks inWeb Apps. The latter is due to the fact thatWeb Apps sometimes employ Cross-Origin Resource Sharing (CORS). Some statistics demonstrate that these attacks are some of the most common security risks in Web Apps. IA is a class of attacks that relies on inputting data into a Web App to make it execute or interpret malicious information unexpectedly. Examples of attacks in this class include SQL Injection (SQLi), Header Injection, Log Injection, and Full Path Disclosure. CORS is used by browsers to allow controlled access to resources located outside a given domain. It extends and adds flexibility to the Same Origin Policy (SOP). However, this mechanism also offers the potential for Cross-Domain based attacks if a site’s CORS policy is misconfigured. CORS is not intended to be a protection against Cross-Request attacks like the CSRF. The developed tool, called VuDRuCA, allows the detection of vulnerabilities associated with IA and CORS in Web Apps. It runs on a web server, providing this service to users on the internet, allowing them to analyse external and internal links of a particular Web App. For the external links, it will detect evidence of IA, assigning a benign or a malign classification to the identified external links. For internal links, there is a check for Cross-Origin calls, specifically CORS. VuDRuCA uses crawling techniques to navigate through the pages of the Web App and obtain the desired information. It also uses the Virus Total API, which is a free online service that parses URLs, enabling the discovery of malicious content detectable by antivirus and website scanners. As a backend, it uses a relational database to store the collected data so that it can be retrieved and analysed, reporting the presence of security indicators.

The abundance and ubiquity of user-generated content has opened horizons when it comes to the organization and analysis of vast and heterogeneous data, especially with the increase of quality of the recording devices witnessed nowadays. Most of the activity experienced in social networks today contains audio excerpts, either by belonging to a certain video file or an actual audio clip, therefore the analysis of the audio features present in such content is of extreme importance in order to better understand it. Such understanding would lead to a better handling of ubiquity data and would ultimately provide a better experience to the end-user. The work discussed in this thesis revolves around using audio features to organize and retrieve meaningful insights from user-generated content crawled from social media websites, more particularly data related to concert clips. From its redundancy and abundance (i.e., for the existence of several recordings of a given event), recordings from musical shows represent a very good use case to derive useful and practical conclusions around the scope of this thesis. Mechanisms that provide a better understanding of such content are presented and already partly implemented, such as audio clustering based on the existence of overlapping audio segments between different audio clips, audio segmentation that synchronizes and relates the different cluster’s clips in time, and techniques to infer audio quality of such clips. All the proposed methods use information retrieved from an audio fingerprinting algorithm, used for the synchronization of the different audio files, with methods for filtering possible false positives of the algorithm being also presented. For the evaluation and validation of the proposed methods, we used one dataset made of several audio recordings regarding different concert clips manually crawled from YouTube.

El sistema de medición de la función de transferencia relacionada con la cabeza (HRTF) se caracteriza por cómo el oído recibe un sonido desde un punto en el espacio. De esta manera se generan bases de datos que permiten que las convoluciones con sonido se reproduzcan en un formato 3D. Estos Audios 3D son percibidos por las personas de forma diferente, debido a su única forma y tamaño de la cabeza, torso y orejas. Por lo tanto, se propone personalizar la experiencia de audio a través del estudio y la calibración de varios grupos de datos de HRTF. Esto permitirá adaptar tales audios a las preferencias auditivas de cada persona, con una experiencia audiovisual en entornos simulados. Para lograr este propósito se ha utilizado el Método de Diseño de Hipermedia Orientado a Objetos (OOHDM) con la implementación de una aplicación móvil en Unity 3D Game Engine con Audio 3D, que se ha obtenido de un entorno matemático denominado MATLAB. Con el fin de validar los resultados obtenidos, se ha creado un mapa de ruta de prueba y proceso de revisión. Para cada evaluación, se diseñó una prueba de clasificación computarizada (CTT) que consideró los indicadores de percepción auditiva (azimut y elevación) extraídos del conjunto de datos HTRF. Los resultados demuestran que los estudiantes de sexto y noveno nivel de la Universidad de las Fuerzas Armadas ESPE perciben mejor el Audio 3D con HRTF Personalizado.