BLOG AUDITORIA
Conociendo un poco mas sobre auditoria de sistemas, riesgos y fraude informatico
Conociendo un poco mas sobre auditoria de sistemas, riesgos y fraude informatico
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>AUDITORIA</strong> DE SISTEMAS<br />
RIESGOS Y FRAUDES<br />
INFORMÁTICOS<br />
Conceptos<br />
Clasificación<br />
Identificación<br />
Riesgo en los centro de cómputo<br />
Fraude informático<br />
Métodos del fraude<br />
Controles informáticos<br />
Controles administrativos<br />
Mecanismos de control de datos.<br />
EDGAR GONZÁLEZ ID 438779<br />
CESAR RODRÍGUEZ ID 442444<br />
NIDIA RODRÍGUEZ ID 416974<br />
SANDRA RODRÍGUEZ 442702<br />
CONTADURÍA VIII<br />
CORPORACIÓN UNIVERSITARIA MINUTO DE DIOS
RIESGOS<br />
Los riesgos hacen referencia a una condición de probabilidad de que una amenaza sea materializada, estas<br />
condiciones se dan cuando existe una vulnerabilidad en este caso hablamos de los sistemas informáticos que<br />
no son seguros y como consecuencia se tienen daños o pérdidas.<br />
Estas vulnerabilidades pueden ser causadas por:<br />
El usuario que no tenga autorización de<br />
ingresar al sistema<br />
Programas maliciosos<br />
Un intruso<br />
Un siniestro<br />
‣ Físicas<br />
‣ Naturales<br />
‣ Hardware<br />
‣ Software<br />
‣ Medios de almacenaje<br />
‣ Comunicación<br />
‣ Humanas<br />
Puntos débiles de la información:<br />
TIPOS DE RIESGOS<br />
Antes debemos tener en cuenta que no todas las amenazas no representan el mismo grado de seguridad,<br />
encontramos que algunas son mayores que otras, por ello se debe establecer el grado o nivel en función de la<br />
seguridad.<br />
ALTO: Es considerado alto cuando la amenaza representa un gran choque dentro de la organización.<br />
MEDIO: Cuando el impacto de la amenaza es de forma parcial a las actividades de la Organización.<br />
BAJO: Cuando una amenaza no representa un ataque representativo en la organización.
Riesgos de Integridad: Este tipo de riesgo<br />
comprende los asociados con la autorización y<br />
exactitud de entrada, procesamiento y<br />
reporte de las aplicaciones utilizadas en la<br />
organización.<br />
Riegos de Relación: Hacen referencia al uso<br />
oportuno de la información, están relacionados<br />
directamente a la información de toma de<br />
decisiones.<br />
Riesgo de Acceso: Corresponde al acceso<br />
inapropiado a los sistemas, los datos y a la<br />
información, también se encuentran los riesgos<br />
asociados a la integridad de la información de<br />
sistemas de bases de datos y la<br />
confidencialidad de la información.<br />
Riesgos de utilidad: Acá tenemos tres niveles<br />
de riesgo:<br />
Aquellos que pueden estar enfrentados por el<br />
direccionamiento de sistemas antes de que los<br />
problemas ocurran.<br />
Como identificar el riesgo:<br />
Las organizaciones tienen como principal objetivo<br />
asegurar la confiabilidad y protección de la<br />
información, por eso mismo la empresa debe<br />
prevenir riesgos para que esta información no se<br />
pierda.<br />
Hoy en día se debe generar una matriz en donde se<br />
pueden plantear los diferentes riesgos que se<br />
pueden presentar en los<br />
Mecanismos de recuperación o restauración<br />
que son usadas para minimizar la ruptura de<br />
los sistemas.<br />
Almacenamiento por medio de Backups y<br />
planes de contingencias<br />
Riesgos en la infraestructura: Donde en las<br />
organizaciones no cuentan con una estructura<br />
de información tecnológica efectiva que<br />
soporte adecuadamente las necesidades que se<br />
presenten. Estos riesgos son asociados con los<br />
procesos de la información tecnológica<br />
(planeación organizacional, aplicaciones,<br />
operaciones de red)<br />
Riesgos de seguridad general: Encontramos<br />
Choque eléctrico<br />
Incendio<br />
Radiaciones: ondas de ruido, de láser y<br />
ultrasónicas<br />
Mecánicos en la inestabilidad de las piezas<br />
eléctricas.<br />
Sistemas de información que maneja una empresa,<br />
se debe analizar, realizar planes de contingencia y<br />
determinar un tiempo estipulado para mitigar ese<br />
riesgo, por medio de una planificación y<br />
estándares que ayudaran como solución viable de<br />
ese riesgo que se puede presentar desde la cuestión<br />
más simple como la quema de un toma corriente, a<br />
algo más grave como el olvido de las copias de<br />
seguridad o el daño del servidor sin un back up<br />
que lo suplemente de manera rápida y efectiva.
QUE ES EL RIESGO EN LOS CENTRO DE CÓMPUTO.<br />
Son todos aquellos factores que puede amenazar y vulnerar el software y/o hardware de los<br />
sistemas de información, donde la prevalece la probabilidad de pérdida de información o de<br />
infraestructura, donde su recuperación significa un alto costo para la compañía, donde se han<br />
omitido controles que reducen el riesgo de fallas o mal funcionamiento de los equipos de cómputo,<br />
los cuales se pueden dividir:<br />
Factores Ambientales<br />
Inundaciones: Invasión<br />
de aguas o<br />
escurrimientos<br />
superficiales<br />
Incendios: Uso inadecuado de la red eléctrica<br />
o fallas eléctricas<br />
Sismos: Movimiento bruscos del terreno que<br />
afectan la infraestructura donde se encuentra<br />
los centros de cómputo.<br />
Humedad: Fallas de calefacción, ventilación<br />
o aire acondicionado dispuestos para el<br />
cuidado de los centros de cómputo.<br />
Factores Humanos<br />
de cómputo.<br />
Robos: sustracción<br />
de partes o datos<br />
valiosos para la<br />
compañía del centro<br />
Actos vandálicos: Daños ocasionado al<br />
sistema de cómputo con único propósito de<br />
perjudicar a la compañía sin obtener algún<br />
beneficio<br />
Fraude: vulneración del sistema de<br />
información para sustraer dinero o<br />
información con el propósito engañar u<br />
obtener algún beneficio económico.<br />
Sabotaje: Daño o destrucción intencionado a<br />
los centros de cómputo, instalaciones o<br />
procesos y procedimientos sistematizados,<br />
afectando su normal funcionamiento, que<br />
puede ser ejecutado por personal internos<br />
como externo a la compañía.<br />
Terrorismo: Ataques de organizaciones con<br />
acciones bélicas que pueden destruir, dañar o<br />
alterar instalaciones y/o equipos destinados<br />
para el sistema de información, donde<br />
recuperación significa un alto costo.<br />
Riesgos que se representan a la seguridad<br />
en un ambiente de cómputo.<br />
Estos se pueden clasificar en dos.<br />
Instalación de alto riesgo: causan grandes<br />
inconvenientes pero se produce una mínima<br />
perdida material.<br />
Datos o programas de información<br />
confidencial de interés nacional.<br />
Perdida financiera potencial que puede<br />
ocasionar desastre en la organización
Instalación de bajo riesgo: Son aquellas con<br />
aplicaciones cuyo procesamiento retardado<br />
tiene poco impacto material.<br />
QUE ES FRAUDE INFORMÁTICO O CIBERNÉTICO<br />
Es el cometido a través de una computadora o del internet. De modo que es ejecutado<br />
mediante el uso de herramientas tecnológicas adecuadas y sofisticadas para acceder a<br />
los sistemas de información de carácter confidencial, o involucra la intercepción de<br />
una transmisión electrónica, robo de la contraseña, cuentas financieras u otra información privada<br />
sobre una identidad o un individuo, con el propósito de distorsionar datos para inducir a otra<br />
persona a que haga o deje de hacer algo que ocasiona una pérdida.<br />
Objetivos<br />
<br />
<br />
Alterar sin autorización los datos<br />
ingresados en la computadora.<br />
Método para afectar la información y<br />
malversar fondos.<br />
Borrar información almacenada.<br />
Manipulación de software para<br />
obtener información de entidades o<br />
usuarios sistema de información.<br />
De tal modo que es catalogado como una acción antijurídica ejecutada por un ser humano que es<br />
tipificada como un delito y es sancionado por la ley.<br />
CARACTERÍSTICAS DEL FRAUDE INFORMÁTICO<br />
<br />
<br />
<br />
Acto deliberado de manipulación de<br />
registros o falsa representación de la<br />
realidad, con el con el fin de engañar<br />
y con intención de lucro<br />
El acto se realiza en contra de una<br />
persona física o jurídica.<br />
beneficios.<br />
El afectado sufre una pérdida<br />
económica que afecta su patrimonio.<br />
El ordenador está conectado para<br />
servir de fuente para obtener<br />
Medios para efectuar un fraude o delito informáticos<br />
<br />
<br />
<br />
<br />
Ordenadores, miniordenadores, microordenadores<br />
Equipos de tratamiento de texto, redes de telecomunicaciones<br />
Software, ficheros de datos y bases de datos<br />
Acción u omisión efectuada para causar un perjuicio o daño a una entidad o persona sin que<br />
necesariamente se beneficie el autor o se produzca un beneficio ilícito aunque no perjudique de<br />
forma directa o indirecta a la víctima, tipificado por La Ley.
CAUSAS PARA EL FRAUDE INFORMÁTICO<br />
Ignorancia de riesgos de la<br />
revolución informática o indiferencia<br />
ante los mismos.<br />
Incumplimiento de los controles o<br />
son inexistentes.<br />
Facilidad para borrar las huellas<br />
fraude o delito.<br />
Facilidades de accesos y de<br />
manipulación.<br />
Uso de sistemas informáticos por las<br />
organizaciones criminales.<br />
Uso de sistemas de información<br />
como instrumentos de presión<br />
<br />
<br />
<br />
<br />
<br />
Oportunidad de obtener beneficios<br />
económicos en transferencia<br />
electrónica de fondos (TEF)<br />
Incremento detallado de abusos o<br />
técnicas empleadas en el sistema<br />
informático.<br />
Enseñanza de la informática sin<br />
valores éticos a respetar.<br />
Falta de separación de las funciones<br />
del personal.<br />
Informatización de los sistemas de<br />
pago.<br />
FUENTES DEL FRAUDE INFORMÁTICO<br />
Personal de la empresa: directivos, mandos, intermedios, y otros empleados en administración,<br />
ventas, fábrica, y almacenes.<br />
Personas ajenas a la empresa: Delincuentes comunes, oportunistas, competidores, organizaciones<br />
criminales.<br />
ELEMENTOS DEL FRAUDE INFORMÁTICO<br />
Estos de componen de cuatro elementos:<br />
El acceso directo o indirecto a los<br />
archivos<br />
Las posibilidades de ocultación<br />
<br />
<br />
Tener los conocimientos suficientes<br />
para cometer el fraude y ocultarlo<br />
Tener el tiempo disponible para<br />
preparar el fraude<br />
Motivación para el fraude son:<br />
La necesidad de disponer de más recursos económicos<br />
La necesidad psicológica racionalizada (desafío del sistema, venganza,<br />
vanidad<br />
La naturaleza del crimen o del fraude involucra un conocimiento tecnológico que va intrínseco con esta<br />
generación electrónica, donde las habilidades del agente superan el conocimiento informático que nuestras<br />
autoridades no tienen, además las ganancias obtenidas a través de estas acciones son mucho más atractivas<br />
que cualquier otro trabajo, que ha tenido una connotación a nivel internacional, que se constituye una<br />
problemática a nivel mundial
Métodos de fraudes informáticos<br />
A la fecha es importante establecer que hay<br />
diferentes delitos que se presentan con el avance<br />
de la tecnología, ya que, al aportar diferentes<br />
disposiciones para manejar dinero, recursos,<br />
información importante y confidencial, es evidente<br />
que las personas indeseables se aprovechan de esta<br />
situación para cometer delitos; los siguientes<br />
grupos corresponden a los delitos que se presentan<br />
a nivel informático en la actualidad:<br />
Delitos contra la confidencialidad, la<br />
integridad, y la disponibilidad de los datos<br />
Muchos de los fraudes pueden ser cuando se<br />
ingresa la información, cuando sale y en la<br />
transición de los mismos, algunos son difíciles de<br />
identificar ya que es pueden ser de los más<br />
comunes, como la sustracción de datos, cuando el<br />
trabajo en cómputo se vuelve muy mecánico,<br />
puede servir de fuete para diferentes fraudes, ya<br />
que se sustrae y no es posible identificar como se<br />
obtuvo porque ya hay procesos preestablecidos<br />
que no permiten identificar la falla.<br />
Control informático<br />
Sirve como herramienta para mantener un control<br />
total sobre las actividades programadas de los<br />
sistemas informáticos de cada organización,<br />
basados en las normas legales, en la decisión de la<br />
gerencia y del mismo departamento de sistemas.<br />
y sistemas informáticos (acceso,<br />
interceptación, Interferencia ilícitos)<br />
Delitos informáticos (fraudes y<br />
falsificaciones)<br />
Delitos con el contenido (pornografía<br />
infantil, difusión y promoción de contenido<br />
ilícito)<br />
Delitos con infracciones de la propiedad<br />
intelectual y derechos afines (plagio,<br />
piratería informática, insultos, amenazas,<br />
etc.)<br />
Por medio de los avances tecnológicos los fraudes<br />
de uso comercial se al vuelto más comunes, como<br />
emitir facturas de venta falsas, los virus<br />
informáticos que se descargan o se instalan en los<br />
computadores también sirven de fuente para<br />
sabotear, y robar información importante,<br />
principalmente creados por hackers o piratas<br />
informáticos que tienen como objetivo, robar y<br />
extraer documentos e información en muchos<br />
casos confidencial y monetaria.<br />
Este control permite establecer si se cumple con<br />
los requisitos, si se cuenta con un buen equipo de<br />
cómputo y si las actividades operativas que<br />
requieren un sistema informático son realizadas a<br />
cabalidad y que, a su vez, esta proporcione<br />
información confiable y fidedigna, además de ello
sirve de ayuda para cuando se realiza una auditoria<br />
a este departamento.<br />
Tipos de controles Informáticos<br />
Para poder llevar un buen control informático se<br />
debe tener en cuenta que se puede dar de manera<br />
interna, de los cuales contratamos el control<br />
preventivo, detectivo, y correctivo, los cuales<br />
cuentan con un objetivo claro que permitirán la<br />
confiabilidad, alcance y seguridad de la<br />
información:<br />
Control preventivo: permiten prevenir<br />
cualquier falla que se puede presentar con<br />
el sistema informático en software y<br />
hardware.<br />
Control detectivo: se da cuando el control<br />
preventivo no es efectivo, ayudara a<br />
encontrar las causas y mitigar las fallas.<br />
Control Correctivo: cuando los controles<br />
anteriores no son suficientes y se presenta<br />
la falla, se debe corregir<br />
el error especifico y asegurar la no repetición de<br />
este hecho.<br />
Se pueden dar controles manuales y automáticos<br />
los cuales permiten la inclusión de la información<br />
por medio de un usuario, un equipo de cómputo, y<br />
aplicaciones informáticas incorporadas en el<br />
software.<br />
También encontramos los controles generales y de<br />
aplicación, que ayudar a verificar el uso de<br />
software y hardware, la implementación de<br />
programas, redes y operaciones con el<br />
computador; los controles de aplicación de<br />
sistemas informáticos que sirven para controlar la<br />
entrada, manejo y salida de la información.<br />
¿QUE SON LOS CONTROLES<br />
ADMINISTRATIVOS?<br />
Los controles administrativos<br />
es todo el conjunto de<br />
medidas o procedimientos que<br />
permiten garantizar que todas las actividades se<br />
lleven a cabo de esta manera cumpliendo con los<br />
objetivos relacionados con la seguridad en los<br />
sistemas de información.<br />
Estos controles administrativos tienen como<br />
finalidad:<br />
a. Proteger los activos de la organización<br />
b. Obtener una información veraz, confiable y<br />
oportuna<br />
c. Fomentar la eficiencia y la eficacia de la<br />
operación<br />
Como ejemplo de controles administrativos<br />
encontramos<br />
La división de funciones o perfiles
Procedimientos de acceso y seguridad<br />
Mecanismos sobre el desarrollo y<br />
modificación de sistemas<br />
Con respecto al procesamiento de datos las<br />
empresas en su área de<br />
informática debe implantar<br />
controles administrativos que<br />
se agrupan de la siguiente manera:<br />
1. Controles de preinstalación: Consiste a los<br />
procesos previos a la adquisición e<br />
instalación de un equipo de computación.<br />
Como objetivos encontramos:<br />
Garantizar que el hardware y software<br />
proporcionen los mayores beneficios<br />
Seleccionar los equipos y sistemas de<br />
computación más adecuados<br />
2. Controles de organización y planificación:<br />
Hace referencia al diseño de la funciones,<br />
línea de autoridad y<br />
responsabilidades de<br />
las diferentes<br />
unidades del área<br />
como:<br />
Diseñar un sistema<br />
Elaborar los programas<br />
Operar el sistema<br />
Control de calidad<br />
3. Controles de sistema en desarrollo y<br />
producción: En este punto se debe acreditar<br />
que los sistemas que ha adquirido o<br />
implementado la empresa son la mejor<br />
opción, bajo la relación de costo –<br />
beneficio. Adicional se justica que dichos<br />
sistemas se han desarrollado bajo un<br />
proceso planificado y son debidamente<br />
documentados.<br />
4. Controles de procesamiento: Consisten al<br />
ciclo que sigue la información desde la<br />
entrada hasta la salida, esto acarrea al<br />
establecimiento de una serie de seguridades<br />
que sirven para:<br />
Asegurar que todos los datos sean<br />
procesados<br />
Garantizar la precisión de los datos que son<br />
procesados<br />
Asegurar que se grabe un archivo para uso<br />
de la gerencia y con fines de auditoria<br />
Confirmar que los resultados sean<br />
entregados a los usuarios de forma<br />
oportuna<br />
5. Controles de operación: Estos controles<br />
tienen como fin:<br />
Prevenir o detectar errores accidentales<br />
Evitar o localizar el manejo de datos<br />
fraudulentos<br />
Garantizar la integridad de los recursos<br />
informáticos
Asegurar la utilización adecuados de los equipos<br />
¿CUALES SON LOS MECANISMOS DE CONTROL DE DATOS?<br />
Inicialmente se deben separar responsabilidades esto se presenta más en empresas grandes.<br />
A continuación, podemos ver una separación de responsabilidades en los sistemas de información<br />
Con respectos a los mecanismos de control de datos encontramos que se deben establecer unos<br />
procedimientos en donde el personal del control de la información de entrada y salida verifica de forma<br />
independiente la calidad de la entrada y la racionabilidad de la salida de la información. También<br />
restricciones para los usuarios donde queden delimitadas las acciones que pueden realizar y las<br />
operaciones que no pueden ser modificados
REFERENCIAS<br />
<br />
Auditoria de sistemas control. (Archivo PDF). Monografías. (pp. 9-16). Recuperado de<br />
http://aulas.uniminuto.edu/mdl_201740/pluginfile.php/1468035/mod_resource/content/1/AUDI<br />
TORIA%20DE%20SISTEMAS%20%20%20CONTROL.pdf<br />
Pérez. C. Definición de controles administrativos. Recuperado de<br />
http://es.slideshare.net/cperezcabrales/definicin-de-controles-administrativos<br />
<br />
<br />
Arens. A, Elder. R & Beasley. M.(2007). El impacto de la tecnología de la información en el<br />
proceso de auditoría. (pp. 350-351). Auditoria un enfoque integral. Pearson Educación<br />
Chaparro. N, Perez. D, Tenjo. N. (12 de abril de 2010). Riesgos informáticos. (Blog).<br />
Recuperado de http://audifinysis.blogspot.com.co/<br />
Darb2010. (9 de Abril de 2010). Riesgos informáticos. Recuperado de<br />
https://es.scribd.com/doc/29676926/RIESGOS-INFORMATICOS<br />
Tipos de delitos informáticos, forodeseguridad.com, recuperado de,<br />
http://www.forodeseguridad.com/artic/discipl/disc_4016.htm<br />
Fraude cibernético e informático, law.cornell.edu, recuperado de,<br />
https://www.law.cornell.edu/wex/es/fraude_cibern%C3%A9tico_e_inform%C3%A1tico<br />
Tipos de delitos informáticos, delitosinformaticos.info, recuperado de,<br />
http://delitosinformaticos.info/delitos_informaticos/tipos_delitos.html<br />
Control informático, slidechare.net, recuperado de, http://es.slideshare.net/Vita1985/controlinformatico<br />
Controles informáticos, prezi.com, recuperado de, https://prezi.com/qzuex5apfeb5/controlesinformaticos/<br />
Balseca, R, L. (2012). El fraude informático. Recuperado de http://es.slideshare.net/Josmercy/el-fraudeinformatico<br />
<br />
<br />
MANUAL DE DELITOS INFORMÁTICOS, Biblioteca Facultad de Contabilidad y Auditoría.<br />
Recuperado dé, http://www.e-libro.net/E-libro-viejo/gratis/delitoinf.pdf#search=%22delito<br />
%20informatico%22<br />
Calderon, L, M. (2013). Riesgos a la seguridad de un centro de cómputo. Recuperado de<br />
http://es.slideshare.net/marilycaldernlizana/riesgos-a-la-seguridad-de-un-centro-de-computo