Imagen
RIESGOS INFORMÁTICOS
PORTAFOLIO AUDITORIA DE SISTEMAS

SISTEMAS DE INFORMACION
HARDWARE Y SOFTWARE
CICLO DE VIDA DE LOS SISTEMAS DE INFORMACIÓN
RIESGOS INFORMÁTICOS
SEGURIDAD INFORMÁTICA
COMERCIO ELECTRÓNICO
4.RIESGOS INFORMATICOS

Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos de control que puedan evaluar el desempeño del entorno informático.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos informáticos, esta información sirve de apoyo para una adecuada gestión de la administración de riesgos.


4.1 ¿QUE SON LOS RIESGOS?

El riesgo es una condición del mundo real, en el cual hay una exposición a la adversidad conformada por una combinación de circunstancias del entorno donde hay posibilidad de pérdidas. Los riesgos informáticos son exposiciones tales como atentados y amenazas a los sistemas de información.

“La probabilidad de que una amenaza se materialice, utilizando la vulnerabilidad existentes de un activo o grupos de activos, generándoles pérdidas o daños”. Fuente: Organización Internacional por la Normalización (ISO).

• ELEMENTOS A TENER EN CUENTA PARA LA CORRECTA DEFINICIÓN DE RIESGOS




• ADMINISTRACION DE RIESGOS



• VALORACIÓN DE RIESGOS

METODO A (Scoring): SISTEMA DE CALIFICACIONES: Prioriza las revisiones con base en una evaluación de los factores de riesgo que consideran variables como: Complejidad técnica, extensión del sistema, el cambio en el proceso y la materialización. Estas variables pueden estar ponderadas.

METODO B: Con base en juicios: Se toma decisión independiente con base en :
• Directivas del máximo nivel ejecutivo
• Perspectivas históricas
• Ambiente del negocio.

• SISTEMA DE CALIFICACIONES

Priorización de las revisiones con base en una evaluación de factores de riesgo que tienen en cuenta variables (ponderadas o no) como: complejidad técnica, la extensión del sistema, el cambio en el proceso y la materialización.

Estas revisiones se programan de acuerdo con el plan de auditoría anual de auditoría de sistemas.


4.2 TIPOS DE RIESGOS

1. RIESGOS DE INTEGRIDAD

• Interface del usuario
• Procesamiento
• Procesamiento de errores
• Interface
• Administración de cambios
• Información

2. RIESGOS DE RELACION

Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones.

3. RIESGOS DE ACCESO

• Procesos de negocio
• Aplicación
• Administración de la información
• Entorno de procesamiento
• Redes
• Nivel físico

4. RIESGOS DE UTILIDAD

• Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran.
• Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas.
• Backups y planes de contingencia controlan desastres en el procesamiento de la información.

5. RIESGOS EN LA INFRAESTRUCTURA

• Planeación organizacional
• Definición de las aplicaciones
• Administración de seguridad
• Operaciones de red y computacionales
• Administración de sistemas de bases de datos
• Información / Negocio

6. RIESGOS DE SEGURIDAD GENERAL

• Riesgos de choque de eléctrico
• Riesgos de incendio
• Riesgos de niveles inadecuados de energía eléctrica.
• Riesgos de radiaciones
• Riesgos mecánicos

7. CONCENTRACION DE PROCESAMIENTO DE APLICACIONES MAS GRANDES Y DE MAYOR COMPLEJIDAD

Una de las causas más importantes del incremento en los riesgos informáticos probablemente sea el aumento en la cantidad de aplicaciones o usos que se le da a las computadoras y la consecuente concentración de información y tecnología de software para el procesamiento de datos.

8. DEPENDENCIA EN EL PERSONAL CLAVE

La dependencia en individuos clave, algunos de los cuales poseen un alto nivel de desempeño técnico, con frecuencia pone a la compañía en manos de relativamente pocas personas, siendo que éstas por lo general son externas a la organización.

9. DESAPARICION DE LOS CONTROLES TRADICIONALES

Las aplicaciones contienen verificadores automáticos que aseguran la integridad de la información que se procesa. Este gran cambio en el criterio sobre el control de los empleados y las brechas respecto a la comunicación, crean situaciones de seguridad totalmente diferentes.

10. HUELGAS, TERRORISMO E INESTABILIDAD SOCIAL

El nivel actual de riesgo en computación se debe revisar también dentro del contexto de inestabilidad social en muchas partes del mundo. Ha habido ataques físicos a diversas instalaciones, sin embargo algunas veces se trata de la incursión de personal interno y no de agitador.

11. MAYOR CONCIENCIA DE LOS PROVEEDORES

Hasta hace pocos años este tema no constituía motivo de gran preocupación para los proveedores, pero la conciencia acerca de la exposición a los riesgos los ha obligado a destinar presupuestos considerables para la investigación acerca de la seguridad.

4.3 COMO SUCEDEN LOS FRAUDES INFORMATICOS.

FRAUDE INFORMÁTICO.

Acción culpable realizada por un ser humano que causa un perjuicio a personas sin que necesariamente se beneficie el autor o que por el contrario produzca un beneficio ilícito a su autor aunque no perjudique en forma directa o indirecta a la víctima.

TIPOS DE DELITOS O FRAUDES INFORMATICOS

1. Sabotaje Informático

En lo referente a Sabotaje Informático podemos encontrar dos clasificaciones las cuales son las siguientes:

• Conductas dirigidas a causar daños físicos

Esto es cuando la persona que comete el delito causa daños físicos al hardware del equipo objeto del delito. Aquí el daño físico se puede ocasionar de muchas formas por la persona que tiene la intención de causar daño.

Uso de instrumentos para golpear, romper o quebrar un equipo de cómputo, ya sea el daño completo o parcial.

Uso de líquidos como café, agua o cualquier líquido que se vierta sobre el equipo y dañe las piezas y componentes electrónicos.

Provocar apagones o cortos en la energía eléctrica con intención de causar daños en el equipo.

Utilizar bombas explosivas o agentes químicos que dañen el equipo de cómputo.

Arrancar, o quitar componentes importantes de algún dispositivo del equipo, como CD-ROM, CD-RW, Disco de 3 ½, Discos Duros, Impresoras, Bocinas, Monitores, MODEM, Tarjetas de audio y video, etc.
Y cualquier otra forma que dañe la integridad del equipo de cómputo.

• Conductas dirigidas a causar daños lógicos

Esto comprende los daños causados a la información y todos los medios lógicos de los cuales se vale un Sistema de Cómputo para funcionar adecuadamente.

Por ejemplo, dañar la información contenida en unidades de almacenamiento permanente, ya sea alterando, cambiando o eliminando archivos; mover configuraciones del equipo de manera que dañe la integridad del mismo; atentar contra la integridad de los datos pertenecientes al dueño del equipo de cómputo y todas formas de ocasionar daños en la parte lógica de un sistema de cómputo.

Medios Utilizados para Realizar Daños Lógicos

VIRUS: Es una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya.

GUSANOS: Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita.

BOMBA LOGICA O CRONOLOGICA: Exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial de daño.

2. Fraude a través de Computadoras

Cuando la computadora es el medio para realizar y maquinar fraudes por una persona, se considera un delito.

a. Manipulación de los datos de entrada

Este tipo de fraude informático conocido también como sustracción de datos, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos.

b. Manipulación de Programas

Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos especializados en programación informática es el denominado Caballo de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal.

c. Manipulación de los datos de salida

Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente esos fraudes se hacían a base de tarjetas bancarias robadas, sin embargo, en la actualidad se usan ampliamente equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito.

3. Estafas electrónicas

El hacer compras en línea mediante el uso de Internet o alguna red de servicio, y no cumplir con lo establecido en el acuerdo de compra en entregar el producto de forma completa o parcial se considera fraude, lo que es muy común al hacer compras por Internet donde se requiere pagar a la cuenta de alguna persona antes de recibir el pedido.
Las personas que se dedican a este tipo de estafas, consiguen clientes, gente que se interese en comprarles el producto que venden y cuando esas personas se deciden por hacer la compra y pagan a la cuenta que se les dio, ya no se entrega nada pues lograron engañar a todas esas personas.
También aquellos lugares o sitios donde se hacen citas, ofrecen cosas que luego no son verdad, son estafas electrónicas. Lo que hace que no se pueda tener la suficiente confianza para hacer las compras en línea.
Por lo que lo mejor sería limitarse a hacer las compras solo en aquellos lugares que están garantizados y son conocidos. Hay que evitar aquellos que son sospechosos o que no son conocidos y no dan confianza, porque ahí se podría generar una estafa.

4. Pesca u olfateo de contraseñas

Hacer uso de programas o métodos que puedan descifrar claves o que puedan averiguar o buscarlas. Ya sean claves personales de una cuenta de correo electrónico, contraseña para entrar al sistema, claves de acceso a algún sitio, claves de productos, etc.
Para poder evitar un poco esto, se recomienda que las claves no sean muy obvias, teniendo como respuesta el nombre de una persona familiar, o el de la mascota de esa persona, fecha de nacimiento, o frases que use comúnmente. También es importante cambiar periódicamente las contraseñas para que así no sea siempre una posibilidad de descifrar la contraseña.

5. Juegos de Azar

Los juegos de azar son aquellos juegos de casino o que hacen uso del factor "suerte"
Para obtener ganancias a través de la red, donde se hacen apuestas o inversiones de dinero.
Esto está prohibido en ciertos lugares, países o regiones, así que solo aplica para ellos. Pues dependiendo de la Ley que tengan en esos lugares, puede o no ser un delito. Y si se sorprende a una persona obteniendo ganancias producto de los juegos de azar, se hallará como cometiendo un delito.
Esto puede ser debido a que se prestan mucho a estafas o ganancias no justificadas y por lo cual no están permitidas en esos lugares.

6. Lavado de dinero

Poner a funcionar el dinero producto del narcotráfico, o producto de estafas, robos, fraudes o cualquier actividad ilegal. Pues este dinero lo invierten en alguna actividad que aparenta no tener nada de malo, y lo que se obtiene es producto de la inversión de dinero mal obtenido, por lo que no está permitido el Lavado de Dinero.
Puede haber casinos electrónicos en los cuales se esté lavando el dinero, o sorteos, o comercio como medio para el lavado de dinero.

7. Copia ilegal de software

Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones modernas. Al respecto, consideramos, que la reproducción no autorizada de programas informáticos no es un delito informático debido a que el bien jurídico a tutelar es la propiedad intelectual

8. Espionaje Informático

El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema.

9. Infracción del copyright en bases de datos

Es la infracción de los derechos reservados del autor, ya que todo producto de marca tiene sus derechos y el infringir y violar la información de las bases de datos, ya sea ver, copiar, borrar, alterar es también un delito.

10. Uso ilegítimo de Sistemas Informáticos ajenos

El usar un Sistema Informático de manera prohibida o incorrecta fuera del propósito para el que fueron creados, o para obtener ganancias a su autor o solo por cometer actos ilegítimos en contra de alguien o algún Sistema.

11. Accesos no autorizados

El acceder a información, sitios o secciones que no están autorizadas a usuarios comunes sino solo a aquellos que tienen autorización. Acceso indebido. El que sin la debida autorización o excediendo la que hubiere obtenido, acceda, intercepte, interfiera o use un sistema que utilice tecnologías de información, será penado con prisión de uno a cinco años de cárcel.

12. Interceptación de E-mail

Al enviar mensajes y correo electrónico a través de la Red, e interceptar esos mensajes y desviarlos o eliminarlos, es un delito. También esto podría entrar con los delitos de espionaje y podrían acumularse por lo que la sentencia sería mayor. Aún más podría aumentarse cuando hay una demanda por parte del afectado si logra comprobarse.

13. Falsificación Informática

Como objeto. Cuando se alteran datos de los documentos almacenados en forma computarizada.

Como instrumento. Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos.

4.4 TECNICAS UTILIZADAS PARA PERPETRAR LOS FRAUDES.

1. LA TÉCNICA DEL CABALLO DE TROYA.

Consiste en insertar instrucciones, con objetivos de fraude, en los programas aplicativos, de manera que, además de las funciones propias del programa, también ejecute funciones no autorizadas.

Las instrucciones fraudulentas se esconden dentro de las demás, obteniendo acceso libre a los archivos de datos, normalmente usados por el programa.
Esta técnica es muy común debido a la facilidad que se presenta para ocultar las instrucciones fraudulentas dentro de cientos de instrucciones que generalmente componen los programas aplicativos.

2. TÉCNICA DEL TALADRO.

Consiste en utilizar una computadora para llamar o buscar la manera de entrar al sistema con diferentes códigos hasta cuando uno de ellos resulte aceptado y permita el acceso a los archivos deseados.

Mediante e del sistema de ensayo permanente se descubren las contraseñas del sistema para entrar a los archivos y extraer información, en forma fraudulenta.

3. AGUJEROS DEL SISTEMA OPERATIVO O TRAMPAS-PUERTA.

Son deficiencias del sistema operacional, desde las etapas de diseño original.

Los expertos programadores del sistema pueden aprovechar las debilidades del sistema operacional para insertar instrucciones no autorizadas, en dicho sistema, con el objeto de configurar fraudes informáticos. Las salidas del sistema operacional permiten el control a programas escritos, por el usuario, lo cual facilita la operacionalizacion de fraudes.

4. RECOLECCION DE BASURA

La recolección de basura es una técnica para obtener información abandonada o alrededor del sistema de computación, después de la ejecución de un JOB. Consiste en buscar copias de listados producidos por el computador y papel carbón para de allí extraer información, en términos de programas, datos, passwords y reportes especiales básicamente.

5. JUEGO DE LA PIZZA.

Es un método relativamente fácil para lograr el acceso no autorizado a los centros de PED, así estén adecuadamente controlados.
Consiste en que un individuo se hace pasar por la persona que entrega la pizza y en esa forma se garantiza la entrada a las instalaciones de PED durante y después de las horas de trabajo.

7. BOMBAS DE RELOJERÍA O BOMBAS LÓGICAS.

Las bombas lógicas son una técnica de fraude, en ambientes computarizados, que consiste en diseñar e instalar instrucciones fraudulentas en el software autorizado, para ser activadas cuando se cumpla una condición o estado específico.

Esta técnica de fraude, es difícil de descubrir, porque mientras no sea satisfecha la condición o estado especifico, el programa funciona normalmente procesando los datos autorizados sin arrojar sospecha de ninguna clase.

8. SUPERZAPPING.

Deriva su nombre de superzap, un programa utilitario de IBM de un alto riesgo por sus capacidades.
Permite adicionar, modificar y eliminar registros de datos, datos de registros o agregar caracteres dentro de un archivo maestro, sin dejar rastro y sin modificar ni corregir los programas normalmente usados para mantener el archivo.

Este programa permite consultar los daros para efectos de conocimiento o para alterarlos omitiendo todos los controles y seguridades en actividad establecidos.

8. MANIPULACIÓN DE TRANSACCIONES.

La manipulación de transacciones ha sido el método más utilizado para la comisión de fraudes, en ambientes computarizados.
El mecanismo para concretar el fraude sistémico o informático, consiste en cambiar los datos antes o durante la entrada al computador. Puede ser ejecutado por cualquier persona que tenga acceso a crear, registrar, transportar, codificar, examinar, comprobar o convertir los datos que entran al computador.
Por ejemplo alterar los documentos fuente y modificar el contenido en alto relieve de las tarjetas de crédito entre otros.