III UNIDAD

 AUDITORIA DE CENTRO DE COMPUTOS

 Sistemas de recuperación y respaldo de información.

Sistema de Recuperación y Respaldo

de la Información

El Respaldo Automático de Información en cualquier organización, es la

falta de recuperación de la información, al confiar el núcleo de nuestras
organizaciones, solamente a, la confiabilidad de un equipo personal. Los
negocios de todos los tipos y tamaños confían en la información computarizada
para facilitar su operación.

La pérdida de información provoca un daño de fondo:

1. Pérdida de oportunidades
2. Usuarios decepcionados
3. Pérdida de credibilidad
4. Pérdida de información clasificada
5. Fallas en el Sistema
6. Fraudes en los Datos

La tecnología no está exenta de fallas o errores, y los respaldos

automáticos de información son utilizados como un plan de contingencia en
caso de que una falla o un error se presenten. Asimismo, hay empresas, que
por la naturaleza del sector en el que operan (por ejemplo Banca)
noeconómicos
rmitirse la más mínima interrupción informática. Las interrupciones se
presentan de formas muy variadas: virus informáticos, fallos de electricidad,
errores de hardware y software, caídas de red, hackers, errores humanos,
incendios, inundaciones, etc. Y aunque no se pueda prevenir cada una de
estas interrupciones, la empresa puede prepararse para evitar las
consecuencias que éstas puedan tener sobre su negocio. Del tiempo que tarde
en reaccionar una empresa dependerá la gravedad de sus consecuencias.
Se puede tomar medidas de la siguiente manera:
1. Tener varios medios confiables de respaldo.

2. Minimizar las probabilidades de error.

3. Debe haber un respaldo fuera de línea

4. Seguridad física y lógica en el respaldo

5. Los respaldos de información o llamados también "Backups"

Ubicar esta información para taller del jueves 04-10-18

 SEGURIDAD OPERACIONAL EN EL AREA DE INFORMÁTICA.

 Definiciones, objetivos. Fraude informático.
 Auditoria de seguridad.
 Impacto en la organización.
 Aspectos económicos
Seguridad Operacional En el Area de Informatica
SEGURIDAD OPERACIONAL EN EL ÁREA DE INFORMÁTICA
Generalmente, los sistemas de información incluyen todos los
datos de una compañía y también el material y los recursos de software
que permiten a una compañía almacenar y hacer circular estos datos.
Los sistemas de información son fundamentales para las compañías y
deben ser protegidos.

LA SEGURIDAD TIENE CINCO OBJETIVOS:

-Integridad: garantizar que los datos sean los que se supone que son.
-Confidencialidad: asegurar que sólo los individuos autorizados tengan
acceso a los recursos que se intercambian.
-Disponibilidad: garantizar el correcto funcionamiento de los sistemas de
información.
-Evitar el rechazo: garantizar de que no pueda negar una operación
realizada.
-Autenticación: asegurar que sólo los individuos autorizados tengan
acceso a los recursos.

La seguridad operacional radica en las diferentes políticas y

procedimientos realizados por la administración de la instalación
computacional. Un aspecto crítico es la selección y organización del
personal:
1.- ¿se puede confiar en la gente?.
2.- El tratamiento que generalmente se da al problema es la división de
responsabilidades:
· Se otorgan distintos conjuntos de responsabilidades.
· No es necesario que se conozca la totalidad del sistema para
cumplir con esas responsabilidades.
Aplicar controles operativos en un ambiente de Procesamiento
de Datos, la máxima autoridad del Área de Informática de una empresa
o institución debe implantar los siguientes controles que se agruparan
de la siguiente forma:
1.- Controles de Preinstalación.
2.- Controles de Organización y Planificación.
3.- Controles de Sistemas en Desarrollo y Producción.
4.- Controles de Procesamiento.
5.- Controles de Operación.
6.- Controles de uso de Microcomputadores.
1.-Controles de Preinstalación
Hacen referencia a procesos y actividades previas a la adquisición e
instalación de un equipo de computación y obviamente a la
automatización de los sistemas existentes.
Objetivos:
 Garantizar que el hardware y software se logren siempre y cuando
tengan la seguridad de que los sistemas computarizados suministraran
mayores beneficios que cualquier otra alternativa.
Garantizar la opción adecuada de equipos y sistemas de
computación
2.- Controles de organización y Planificación
Se refiere a la ilustración clara de funciones, línea de autoridad y
responsabilidad de las diferentes unidades del área PAD, en labores
tales como:
· Diseñar un sistema
· Elaborar los programas
· Operar el sistema
· Control de calidad
Se debe evitar que una misma persona tenga el control de toda
una operación. CONTROLES OPERATIVOS
3.- Controles de Sistema en Desarrollo y Producción
Se debe demonstrar que los sistemas han sido la mejor opción para
la empresa, bajo una relación costo-beneficio que faciliten oportuna y
efectiva información, que los sistemas se han desarrollados bajo
procesos planificados y se encuentren debidamente documentados.
4.- Controles de Procesamiento.
Lo fundamental para la seguridad interna es controlar el acceso a
los datos almacenados y procesador.
Los derechos de acceso definen qué acceso tienen varios sujetos o
varios objetos.
Los sujetos acceden a los objetos.
Los objetos son entidades que contienen información.
Los objetos pueden ser:
· Concretos:
Ej.: discos, cintas, procesadores, almacenamiento.
· Abstractos:
Ej.: estructuras de datos, de procesos.
Los objetos están protegidos contra los sujetos.
5.-Controles de Operación
Comprenden el ambiente de la operación del equipo central de
computación y dispositivos de almacenamiento, la administración de la
cintateca y la operación de terminales y equipos de comunicación por
parte de los usuarios de sistemas on line. En los cuales esta Prevenir o
detectar errores accidentales que puedan ocurrir en elSede de
Cómputo, así como detectar el manejo de datos con fines
fraudulentos,certificar la integridad de los recursos informáticos.
6.-Controles en el uso del Microcomputador:
Es eltrabajo más dificultoso pues son equipos más vulnerables, de fácil
acceso, de fácil explotación pero los controles que se implanten
ayudaran a garantizar la integridad y confidencialidad de la información.
ELEMENTOS DE LA SEGURIDAD OPERACIONAL
· Alcance de las políticas, incluyendo facilidades, sistemas y
personal sobre la cual aplica.
· Objetivos de la política y descripción clara de los elementos
involucrados en su definición.
· Responsabilidades por cada uno de los servicios y recursos
informáticos aplicado a todos los niveles de la organización.
· Identificar peligros.
· Asegurar que se aplican las medidas correctivas necesarias.
· Prever una supervisión permanente y una evaluación periódica.
· Tener como meta mejorar continuamente el nivel global de
seguridad operacional.
RIESGOS EN LA SEGURIDAD OPERACIONAL
· Análisis de riesgos: Analizamos los riesgos para determinar los
factores relacionados con la severidad de los riesgos y su probabilidad.
· Evaluación de riesgos: Se evalúa el riesgo general a los efectos
de su aceptabilidad.
· Control de riesgos: Cuando sea necesario se formulan los
controles para eliminar los peligros o para reducir sus efectos en la
organización
IMPACTO EN LA ORGANIZACIÓN DE LA SEGURIDAD
OPERACIONAL
· Conflictos en las rutinas y procesos de la organización con
posibles consecuencias a su capacidad operativa.
· Pérdida de la credibilidad y reputación de la organización por
parte del consejo directivo de la organización, público en general,
medios de información, entre otros.
· Costo político y social derivado de la divulgación de incidentes en
la seguridad informática.
· Violación por parte de la organización a la normatividad acerca
de confidencialidad y privacidad de datos de las personas.
· Multas, sanciones o fincado de responsabilidades por violaciones
a normatividad de confidencialidad.
· Pérdida de la privacidad en registros y documentos de personas.
IMPACTO EN EL ASPECTO ECONÓMICO DE LA SEGURIDAD
OPERACIONAL
La economía de la seguridad informática estudia los aspectos
económicos de la privacidad y la seguridad en cómputo e información.
La economía de seguridad informática busca comprender las decisiones
y comportamientos individuales u organizacionales con respecto a la
seguridad y la privacidad como decisiones de mercado.
 En resumen, la seguridad operacional en el área de informática
pretende identificar las amenazas y reducir los riesgos al detectar las
vulnerabilidades incapacitando o minimizando así el impacto o efecto
nocivo sobre la organización.

El fraude informático consiste en la estafa o engaño que es realizado

por medios cibernéticos a través de la utilización de un computador y/o
vía Internet.

El fraude cibernético es cada vez más recurrente en el diario vivir de

quienes tienen que realizar sus transacciones por Internet o utilizan de
forma regular un ordenador, por ello se ha intentado establecer distintas
medidas de seguridad para evitar la comisión de estos novedosos, pero
muy perjudiciales ilícitos.
¿Qué se entiende por fraude?
Se entiende por fraude o estafa, al engaño que está destinado a
perjudicar la propiedad o patrimonio de una persona determinada, sea
ésta natural o jurídica. Siempre que mediante un engaño se vea
mermado el patrimonio de una persona determinada sin causa, y un
enriquecimiento de otra hay estafa.

El fraude informático utiliza medios electrónicos para hacerse de datos o

el control de datos confidenciales que permiten cometer el ilícito y
estafar a alguien, formato reconocido para el conocido como “hacking”.
Otra manera de cometer un fraude cibernético es por medio de la
intercepción de datos por medio electrónicos, donde si bien no hay un
engaño dirigido a una determinada persona, sí hay una violación de
privacidad y un uso malicioso de la información recolectada. En este
sentido, la obtención de contraseñas, cuentas de tarjetas de crédito o
datos confidenciales sobre la identidad de una persona, conforman el
tipo de información que se requiere para estafar a alguien.

Para la ley federal en Estados Unidos, fraude electrónico se define

como “el uso de una computadora con el fin de distorsionar los datos e
inducir de esta manera a que otro haga o deje de hacer algo,
provocando con ello daño patrimonial.
Formas habituales de distorsión de los datos

Alteración de los datos que se ingresan en un ordenador

Al distorsionar los datos, una vez que éstos han sido introducidos, el
estafador ya dispone de los mismos y fácilmente se pueden malversar
los fondos disponibles
Alteración o eliminación de datos almacenados
 Reescritura de los códigos de software bancarios para disponer así
de los datos confidenciales de los clientes asociados por medio del
ordenador central de la entidad financiera
Con estos datos, luego se pueden realizar compras con tarjetas de
crédito ajenas y también cometer delitos con el uso de una identidad
robada
Con todos los ilícitos cibernéticos que se han dado en el último tiempo -
clonación de tarjetas de crédito o bancarias, y estafas con el uso de
medios digitales- no hay mejor opción que adquirir un seguro contra
robo o estafa informática, el que estará disponible seguramente en la
entidad bancaria de la que sea cliente, y con el que evita cualquier
detrimento patrimonial originado en el uso de artimañas o artilugios de
terceros en su contra que afecten su patrimonio.

Un "delito informático" o "ciberdelito" es toda aquella acción antijurídica

y culpable a través de vías informáticas o que tiene como objetivo
destruir y dañar por medios electrónicos y redes de Internet. Existen
conductas criminales por vías informáticas que no pueden considerarse
como delito, según la: "Teoría del delito", por lo cual se definen como
abusos informáticos [1] y parte de la criminalidad informática. La
criminalidad informática consiste en la realización de un tipo de
actividades que, reuniendo los requisitos que delimitan el concepto de
delito, sean llevados a cabo utilizando un elemento informático.[2]

Los delitos informáticos son aquellas actividades ilícitas que:

Se cometen mediante el uso de computadoras, sistemas informáticos

u otros dispositivos de comunicación (la informática es el medio o
instrumento para realizar un delito).
Tienen por objeto causar daños, provocar pérdidas o impedir el uso
de sistemas informáticos (delitos informáticos).

Los también conocidos Ciberdelitos, como lo señala Téllez, son

actitudes contrarias a los intereses de las personas en que se tiene a
las computadoras como instrumento o fin (concepto atípico) o las
conductas atípicas, anti jurídicas y culpables en que se tiene a las
computadoras como instrumento o fin (concepto típico).[3]

En la actualidad, como ha estudiado recientemente el profesor Dr.

Moisés Barrio Andrés,[4] debe hablarse de ciberdelitos, pues este
concepto sustantiva las consecuencias que se derivan de la
peculiaridad que constituye Internet como medio de comisión del hecho
delictivo, y que ofrece contornos singulares y problemas propios, como
por ejemplo la dificultad de determinar el lugar de comisión de tales
ilícitos, indispensable para la determinación de la jurisdicción y
competencia penal para su enjuiciamiento y aplicación de la
correspondiente ley penal, los problemas para la localización y
obtención de las pruebas de tales hechos delictivos, la insuficiente
regulación legal de los ilícitos que pueden realizarse a través de la Red
o de las diligencias procesales de investigación aplicables para el
descubrimiento de los mismos –normativa igualmente desbordada por el
imparable avance de las innovaciones tecnológicas–, o, en fin, la
significativa afectación que la investigación policial en Internet tiene
sobre los derechos fundamentales de los ciudadanos.[5]

Por todo ello, la última orientación jurídica es priorizar el enfoque en la

seguridad en las redes y los sistemas de información. A tal fin obedece
la recientemente promulgada Directiva (UE) 2016/1148 del Parlamento
Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas
destinadas a garantizar un elevado nivel común de seguridad de las
redes y sistemas de información en la Unión,[6] también conocida como
Directiva NIS. Esta Directiva impone, por ello, a las entidades gestoras
de servicios esenciales, así como a los prestadores de ciertos servicios
digitales considerados clave en el funcionamiento de Internet, la
obligación de establecer sistemas de gestión de la seguridad de la
información en sus organizaciones y de notificar a las autoridades los
incidentes que tengan especial gravedad. Además, obliga a los Estados
miembros a supervisar el cumplimiento de estas obligaciones y a velar
por que existan equipos de respuesta a incidentes de seguridad con
capacidad para proteger a las empresas de la propagación de estos
incidentes. Así mismo, impulsa la cooperación entre autoridades
nacionales y el intercambio de información como medio para elevar el
nivel de seguridad en la Unión Europea frente a amenazas de carácter
transfronterizo.

Mucha información es almacenada en un reducido espacio, con una

posibilidad de recuperación inmediata, pero por complejas que sean las
medidas de seguridad que se puedan implantar, aún no existe un
método infalible de protección.[7]

La criminalidad informática tiene un alcance mayor y puede incluir

delitos tradicionales como el fraude, el robo, chantaje, falsificación y la
malversación de caudales públicos en los cuales ordenadores y redes
han sido utilizados como medio. Con el desarrollo de la programación y
de Internet, los delitos informáticos se han vuelto más frecuentes y
sofisticados.
La Organización de Naciones Unidas reconoce los siguientes tipos de
delitos informáticos:

Fraudes cometidos mediante manipulación de computadoras; en este

se reúne: la manipulación de datos de entrada (sustraer datos),
manipulación de programas (modificar programas del sistema o insertar
nuevos programas o rutinas), manipulación de los datos de salida
(fijación de un objeto al funcionamiento de sistemas de información, el
caso de los cajeros automáticos) y fraude efectuado por manipulación
informática (se sacan pequeñas cantidades de dinero de unas cuentas a
otras).[8]
Manipulación de datos de entrada; como objetivo cuando se altera
directamente los datos de una información computarizada. Como
instrumento cuando se usan las computadoras como medio de
falsificación de documentos.[8]
Daños o modificaciones de programas o datos computarizados;
entran tres formas de delitos: sabotaje informático (eliminar o modificar
sin autorización funciones o datos de una computadora con el objeto de
obstaculizar el funcionamiento) y acceso no autorizado a servicios y
sistemas informáticos (ya sea por curiosidad, espionaje o por
sabotaje).[8]

Existen leyes que tienen por objeto la protección integral de los

sistemas que utilicen tecnologías de información, así como la
prevención y sanción de los delitos cometidos en las variedades
existentes contra tales sistemas o cualquiera de sus componentes o los
cometidos mediante el uso de dichas tecnologías.

Una misma acción dirigida contra un sistema informático puede aparejar

la violación de varias leyes penales, algunos autores expresan que el
"uso de la informática no supone más que un modus operandi nuevo
que no plantea particularidad alguna respecto de las formas
tradicionales de comisión". Una clara dificultad para la persecución de
estos ilícitos, ha sido que el ciudadano no considera delincuente al autor
de estos delitos, entre los propios victimarios algunas veces existe una
reivindicación que subyace a toda su actividad, como es el caso de los
hackers, quienes cuentan con todo una "filosofía" preparada para
respaldar su actividad afirmando que propenden a un mundo más libre,
que disponga de acceso a todas las obras de la inteligencia, y
basándose en ese argumento divulgan las claves que tienen en su
actividad.[9]
Revisión de Centros de Cómputo
Consiste en revisar los controles en las operaciones del centro de
procesamiento de información en los siguientes aspectos:
1.- Revisión de controles en el equipo
Se hace para verificar si existen formas adecuadas de detectar errores
de procesamiento, prevenir accesos no autorizados y mantener un
registro detallado de todas las actividades del computador que debe ser
analizado periódicamente.
2.- Revisión de programas de operación
Se verifica que el cronograma de actividades para procesar la
información asegure la utilización efectiva del computador.
3.- Revisión de controles ambientales
Se hace para verificar si los equipos tienen un cuidado adecuado, es
decir si se cuenta con deshumidificadores, aire acondicionado, fuentes
de energía continua, extintores de incendios, etc.
4.- Revisión del plan de mantenimiento
Aquí se verifica que todos los equipos principales tengan un adecuado
mantenimiento que garantice su funcionamiento continuo.
5.- Revisión del sistema de administración de archivos
Se hace para verificar que existan formas adecuadas de organizar los
archivos en el computador, que estén respaldados, así como asegurar
que el uso que le dan es el autorizado.
6.- Revisión del plan de contingencias
Aquí se verifica si es adecuado el plan de recupero en caso de
desastre, el cual se detalla mas adelante.