Está en la página 1de 17

CONTENIDO

INTRODUCCION 1.CONCEPTOS GENERALES 2.MARCO DE RIESGOS TI 3.TIPOS DE RIESGOS INFORMATICOS 4.CLASIFICACIN DE RIESGOS TI 5. CMO SUCEDEN LOS FRAUDES CIBERGRAFIA

Pg. 3 4 6 8 11 12 18

INTRODUCCION

Los sistemas de informacin computarizados son vulnerables a una diversidad de amenazas y atentados por parte de: personas tanto internas como externas de la organizacin, desastres naturales, por servicios, suministros y trabajos no confiables e imperfectos, por la incompetencia y las deficiencias cotidianas, por el abuso en el manejo de los sistemas informticos, por el desastre a causa de intromisin, robo, fraude, sabotaje o interrupcin de las actividades de cmputos.

Todos estos aspectos hacen que sea necesario replantear la seguridad con que cuenta las organizaciones, aunque tambin hay algunas entidades que estn haciendo un trabajo prominente en asegurar sus sistemas informticos.

RIESGO TECNOLOGIA INFORMATICA

1. CONCEPTOS GENERALES El riesgo en la tecnologa informtica es la incertidumbre o probabilidad existente por la posible realizacin de un suceso relacionado con la amenaza de dao respecto a los bienes o servicios informticos, como equipos informticos, perifricos, instalaciones, programas de computo, etc.

En esta definicin pueden identificarse varios elementos que deben comprenderse para entender el concepto de riesgo. Estos elementos son: Probabilidad

Se puede establecer de manera cuantitativa o cualitativa teniendo en cuenta en cada caso que posibilidades existen que la amenaza se presente independientemete del hecho que sea o no contrarrestada.

Amenaza

Una vez que a programacin y el funcionamiento de un dispositivo de almacenamiento de la informacin se consideren seguras , todava deben ser tenidos en cuenta la circunstancias "no informticas" que pueden afectar los datos, los cuales son a menudo imprevisibles o inevitables, de modo que la nica posible es la redundancia (en el caso de los datos y la descentralizacin -por ejemplo mediante estructura de redes- en el caso de la comunicaciones).

Es importante en toda organizacin contar con una herramienta, que garantice la correcta evaluacin de los riesgos, a los cuales estn sometidos los procesos y actividades que participan en el rea informtica; y por medio de procedimientos de control se pueda evaluar el desempeo del entorno informtico.

Los sistemas de informacin computarizados son vulnerables a una diversidad de amenazas y atentados por parte de:

Personas tanto internas como externas de la organizacin Desastres naturales Por servicios, suministros y trabajos no confiables e imperfectos Por la incompetencia y las deficiencias cotidianas Por el abuso en el manejo de los sistemas informticos Por el desastre a causa de intromisin, robo, fraude, sabotaje o interrupcin de las actividades de cmputos.

Es fundamental que los directivos de las organizaciones que no se han ocupado lo suficiente en implementar un estricto sistema de seguridad se preocupen en:

Reconocer la necesidad de establecer normas de seguridad para los datos, polticas, normas y directrices Comprender que el papel que desempean en la organizacin, esta relacionado con la seguridad del ciclo de vida del sistema de informacin Establecer una planificacin formalizada para la seguridad informtica Gestionar los medios necesarios para administrar correctamente la funcin de la seguridad informtica(1)

(1)Riesgo Informtico, http://www.cobasec.com.co/web/index.php?option=com_content&view=article&id=38:riesgoinformatico

2. MARCO DE RIESGOS TI (2)

Un riesgo de TI es tambin un riesgo del negocio, riesgos del negocio asociados con el uso, propiedad, operacin, participacin, la influencia y la adopcin de las TI en una organizacin. Se compone de los eventos relacionados con TI que potencialmente podran afectar el negocio. Este hecho puede ocurrir con una frecuencia y magnitud inciertas, y supone dificultades para alcanzar las metas y objetivos estratgicos. Los riesgos de TI pueden clasificarse de diversas maneras

Los riesgos de TI son un componente del universo de riesgos a los que est sometida una organizacin. Otros de los riesgos a los que una organizacin se enfrenta pueden ser riesgos estratgicos, riesgos ambientales, riesgos de mercado, riesgos de crdito, riesgos operativos y riesgos de cumplimiento.

En muchas organizaciones, los riesgos relacionados con TI se consideran un componente de riesgo operativo, por ejemplo, el sector financiero en el marco de Basilea II.

(2)Marco de Riesgo de TI, Risk (Basado en COBIT)

Sin embargo, incluso el riesgo estratgico de TI puede tener un componente financiero, especialmente en aquellas organizaciones en las que es el elemento clave de nuevas iniciativas empresariales.

Lo mismo se aplica para el riesgo de crdito, donde una poltica pobre en cuanto a seguridad de la informacin se refiere, puede conducir a menores calificaciones de crdito. Por esta razn, es mejor no describir los riesgos de TI con una dependencia jerrquica en una de las categoras de riesgo.

Los riesgos relacionados de TI existen, independientemente de si son descubiertos o reconocidos por una organizacin. En este contexto es importante identificar y gestionar potencialmente los asuntos importantes de riesgo de TI, a diferencia del resto de riesgos, ya que ste puede no ser rentable.

Principios de los riesgos de TI

1. 2. 3. 4. 5.

Alinear la gestin de riesgos con ERM. Equilibrio costo-beneficio. Promover la participacin y la comunicacin. Establecer responsabilidades. Funcionar como parte de las actividades diarias.

3.

TIPOS DE RIESGOS INFORMATICOS(3)

Riesgo de integridad:

Este tipo abarca todos los riesgos asociados con la autorizacin, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organizacin. Estos riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y estn presentes en mltiples lugares, y en mltiples momentos en todas las partes de las aplicaciones; no obstante estos riesgos se manifiestan en los siguientes componentes de un sistema:

Interfase del usuario: Los riesgos en esta rea generalmente se relacionan con las restricciones, sobre las individualidades de una organizacin y su autorizacin de ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una razonable segregacin de obligaciones. Otros riesgos en esta rea se relacionan a controles que aseguren la validez y completitud de la informacin introducida dentro de un sistema. Procesamiento: Los riesgos en esta rea generalmente se relacionan con el adecuado balance de los controles defectivos y preventivos que aseguran que el procesamiento de la informacin ha sido completado. Esta rea de riesgos tambin abarca los riesgos asociados con la exactitud e integridad de los reportes usados para resumir resultados y tomar decisiones de negocio.

Procesamiento de errores: Los riesgos en esta rea generalmente se relacionan con los mtodos que aseguren que cualquier entrada/proceso de informacin de errores (Excepciones) sean capturados adecuadamente, corregidos y reprocesados con exactitud completamente.

(3) Riesgo Informtico, http://auditoriadesistemas.galeon.com/productos2223863.html

Administracin de cambios: Estos riesgos estn asociados con la administracin inadecuadas de procesos de cambios de organizaciones que incluyen: Compromisos y entrenamiento de los usuarios a los cambios de los procesos, y la forma de comunicarlos e implementarlos.

Informacin: Estos riesgos estn asociados con la administracin inadecuada de controles, incluyendo la integridad de la seguridad de la informacin procesada y la administracin efectiva de los sistemas de bases de datos y de estructuras de datos.

Riesgos de relacin:

Los riesgos de relacin se refieren al uso oportuno de la informacin creada por una aplicacin. Estos riesgos se relacionan directamente a la informacin de toma de decisiones (Informacin y datos correctos de una persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones correctas).

Riesgos de acceso:

Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e informacin. Estos riesgos abarcan: Los riesgos de segregacin inapropiada de trabajo, los riesgos asociados con la integridad de la informacin de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la informacin. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la informacin:

Administracin de la informacin: El mecanismo provee a los usuarios acceso a la informacin especfica del entorno. Entorno de procesamiento: Estos riesgos en esta rea estn manejados por el acceso inapropiado al entorno de programas e informacin.

Redes: En esta rea se refiere al acceso inapropiado al entorno de red y su procesamiento. Nivel fsico: Proteccin fsica de dispositivos y un apropiado acceso a ellos.

Riesgo de utilidad:

Estos riesgos se enfocan en tres diferentes niveles de riesgo: Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran. Tcnicas de recuperacin/restauracin usadas para minimizar la ruptura de los sistemas.

Backups y planes de contingencia controlan desastres en el procesamiento de la informacin.

Riesgos de infraestructura:

Estos riesgos se refieren a que en las organizaciones no existe una estructura informacin tecnolgica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos riesgos estn asociados con los procesos de la informacin tecnolgica que definen, desarrollan, mantienen y operan un entorno de procesamiento de informacin y las aplicaciones asociadas (servicio al cliente, pago de cuentas, etc.

Riesgos de seguridad general:

Los estndar IEC 950 proporcionan los requisitos de diseo para lograr una seguridad general y que disminuyen el riesgo: Riesgos de choque de elctrico: Niveles altos de voltaje. Riesgos de incendio: Inflamabilidad de materiales. Riesgos de niveles inadecuados de energa elctrica. Riesgos de radiaciones: Ondas de ruido, de lser y ultrasnicas. Riesgos mecnicos: Inestabilidad de las piezas elctricas.

4. CLASIFICACIN DE RIESGOS TI (4)

Los riesgos pueden clasificarse de varias formas: El valor de los riesgos de TI permitidos Asociado con las oportunidades no aprovechadas para mejorar la eficiencia o efectividad de los procesos de negocio, o la capacidad de soportar nuevas iniciativas, a travs del uso de la tecnologa. Programas de TI y riesgos en las entregas de proyectos Asociada a la contribucin de IT sobre nuevas soluciones de negocio, generalmente en forma de proyectos y programas. Operaciones de TI y riesgos en las entregas de servicios Asociadas con todos los aspectos relacionados con los servicios y sistemas de TI, los cuales puede producir prdidas o reduccin del valor a la organizacin.

(4) Ibib pag 6

10

5. CMO SUCEDEN LOS FRAUDES

Los TI riesgos se enfocan al inapropiado acceso a sistemas, datos e informacin. Estos riesgos abarcan: Los riesgos de segregacin inapropiada de trabajo, los riesgos asociados con la integridad de la informacin de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la informacin. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la informacin:

Administracin de la informacin: El mecanismo provee a los usuarios acceso a la informacin especfica del entorno. Entorno de procesamiento: Estos riesgos en esta rea estn manejados por el acceso inapropiado al entorno de programas e informacin. Redes: En esta rea se refiere al acceso inapropiado al entorno de red y su procesamiento. Nivel fsico: Proteccin fsica de dispositivos y un apropiado acceso a ellos.

Los fraudes pueden ser perpetuados a travs de los siguientes mtodos:

- Ingeniera Social. Consiste en plantear situaciones para conmover o sobornar a quienes pueden proporcionar la informacin deseada o facilitar la ocurrencia de ilcitos. - Puertas Levadizas (Fuga o Escape de Datos). El personal de PED puede construir puertas levadizas (rutinas) en los programas de computador para permitir que los datos entren y salgan sin ser detectados.

11

Caractersticas:

a) Implica la incrustacin de instrucciones no autorizada en los programas del computador. b) Los cdigos especiales pueden ser diferentes de los cdigos de los registros de entrada. En este caso, puede haber complicidad entre los grabadores de los datos y el programador. c) En los informes de control de calidad no se dejan evidencias de la utilizacin de cdigos especiales. d) Los criminales no necesariamente deben estar presentes en el escenario del crimen.

-Recoleccin de Basura. Se usa la basura de las aplicaciones de computador, dejada dentro de la instalacin o en su periferia despus de la ejecucin de un trabajo.

La basura o deshechos del computador contiene cosas como listados de programas, listados con informacin o reportes y documentacin de los sistemas.

Los cdigos correctos para accesar los archivos o las terminales, pueden ser obtenidos por los criminales usando los datos residuales que se dejan en la basura.

- Ir a Cuestas para tener Acceso no Autorizado: es un paseo que se da el perpetrador con la gente influyente y que es aprovechado para realizar sus hazaas de prestidigitador (tramposo) conducente a abrir las lneas de comunicacin, abrir las puertas del centro de cmputo, lograr acceso a las terminales y otras proezas para violar la seguridad de los sistemas computarizados.

12

Esta tcnica vara desde trampas muy simples hasta tretas electrnicas complejas.

Es un paseo que se da el perpetrador con la gente influyente y que es aprovechado para realizar sus hazaas de prestidigitador (tramposo) conducente a abrir las lneas de comunicacin, abrir las puertas del centro de cmputo, lograr acceso a las terminales y otras proezas para violar la seguridad de los sistemas computarizados.

Esta tcnica vara desde trampas muy simples hasta tretas electrnicas complejas.

- La Tcnica del Caballo de Troya. Consiste en insertar una rutina fraudulenta que se activa cuando cierta condicin o una fecha ocurre. Estas rutinas pueden ser introducidas preferiblemente adicionando un cambio no autorizado en el momento de implantar un cambio autorizado.

- Tcnica del Taladro: Consiste en la utilizacin de una computadora casera para llamar con diferentes cdigos hasta que uno de resultado.

Puede ser utilizada para descubrir las contraseas de acceso a terminales. En USA, Pepsi Cola Co. se vio seriamente abochornada cuando cuatro chicos de 14 aos descubrieron los cdigos de seguridad de una de sus computadoras en Canad y ordenaron para s cajas gratis de bebidas gaseosas.

- Agujeros del Sistema Operativo o Trampas-Puerta. Trampas-Puerta son deficiencias en los sistemas operacionales. Como en Alicia en el Pas de las Maravillas, existen muchos agujeros que permiten caer en el pas de las maravillas.

13

El uso de unas cuantas instrucciones de control son suficientes para cometer fraudes, sin necesidad de que el perpetrador sea un experto en programacin. Basta con que el System Programmer sea suficiente experto y puede aprovechar esos agujeros para introducir instrucciones adicionales malintencionadas.

- Superzapping: Utilizacin de programas de acceso universal de algunos computadores (una especie de llave maestra) para pasar por sobre todos los controles normales y permitir el acceso a todos los archivos de datos.

Esta tcnica es especialmente peligrosa porque, en manos diestras, no deja rastros o indicios. Puede ser utilizada para manipular directamente los archivos maestros.

- Manipulacin de Transacciones.

Es el mtodo ms frecuentemente utilizado, consiste en cambiar la informacin antes o durante la entrada al computador.

Puede ser perpetrado por cualquier por cualquier persona que tenga acceso al proceso de crear, registrar, transportar, codificar, examinar o convertir la informacin que entra al computador. Se comete agregando transacciones no autorizadas, alterando transacciones, no procesando transacciones o combinando varios mtodos.

Manipulacin: maniobra o manejo destinado a engaar.

Intercepcin de Lneas de Comunicacin de Datos.

Se intervienen los circuitos de comunicacin entre:


14

a. Terminales y concentradores. b. Terminales y computadores c. Computadores y computadores

La intercepcin de comunicaciones por telfono, microondas o satlite, es tcnicamente posible.

El uso de hardware de criptografa es un mtodo efectivo para evitar este tipo de penetracin.

Tcnicas Utilizadas Para Perpetrar Los Fraudes

Fraude relacionado con la entrada de datos Segregacin de funciones en las reas de usuarios y entre usuarios y personal. Conciliaciones independientes Autorizacin de cambios en los datos existentes Controles al acceso a los archivos de datos Lista y revisin peridica de los datos existentes Fraude relacionado con los programas Autorizacin y prueba de los cambios en los programas Acceso restringido a las libreras del sistema que contienen programas de vida Uso de programas especiales de utilidad para comparar las versiones cambiadas de los programas, para asegurarse de que solo se han hecho las modificaciones autorizadas. Reducir la dependencia del personal de los sistemas clave.
15

Fraude relacionado con la salida de datos Segregacin de funciones en las reas de los usuarios Conciliaciones independientes Buenos controles de custodia sobre la papelera importante Buenos controles de acceso

16

CIBERGRAFIA

Marco de Riesgo de TI, Risk (Basado en COBIT)

Riesgo Informtico, http://www.cobasec.com.co/web/index.php?option=com_content&view=article&id=38:riesgoinformatico

Riesgo Informtico, http://auditoriadesistemas.galeon.com/productos2223863.html

17