Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDITORIA DE SISTEMAS
UNIDAD III
1
Factores para la criticidad de la “Información”
La Globalización
La sociedad globalizada por la información
La información viaja a través del ciberespacio
Su significado es ampliamente aceptado
Datos Proceso Información
Su importancia es relevante
• Supervivencia
• Éxito
2
Cont.. 2
M.Sc. Freddy Landivar, CISA, CRISC
Factores para la criticidad de la “Información”
El fraude informático
Primer Fraude Informático
En 1801 Joseph Jacquard, fabricante de
textiles en Francia, diseñó el precursor de las
antiguas tarjetas de computadoras. Este
dispositivo permitió la repetición en serie de
pasos de tejidos. Los empleados estaban tan
preocupados que sabotearon el invento para
5
M.Sc. Freddy Landivar, CISA, CRISC
El fraude informático
VICTIMA VICTIMARIO
MEDIOS DE COMISION
6
M.Sc. Freddy Landivar, CISA, CRISC
El fraude informático
TIC
PODER
Provee
Información
7
M.Sc. Freddy Landivar, CISA, CRISC
El fraude informático
El blanco:
La organización
•Robos de información
•Fraudes computacionales
•Abusos
•Acceso indebido
•Destrucción de datos o programas
8
8
M.Sc. Freddy Landivar, CISA, CRISC
El fraude informático
Los perjuicios:
superiores a la delincuencia tradicional
•Alto conocimiento del tema “Know How”
•A través de medios informáticos
•Borrado de pistas o huellas
Las estadísticas:
90 % de los delitos informáticos son causados por los mismos
empleados (ONU)
73 % por agentes internos y solo el 27 % por agentes
externos (EEUU)
9
9
M.Sc. Freddy Landivar, CISA, CRISC
El fraude informático
Los vínculos delictivos:
LEGITIMACION
DE CAPITALES NARCOTRAFICO
DELITOS
TERRORISMO DELINCUENCIA
ORGANIZADA
CORRUPCION
10
M.Sc. Freddy Landivar, CISA, CRISC
El fraude informático
Los actores
Pirata Infotácticos
Phrackers Informático Ciberpunks
Definiciones juristas:
Delito informático es cualquier comportamiento criminal en
que la computadora está involucrada como material, objeto
o mero símbolo
Carlos Sarzana (italiano)
Algunas leyes
Alemania1986: Segunda Ley contra Criminalidad
Económica
USA 1986:Acta de fraude y Abuso Computacional
Portugal 1991: Ley de Protección de Datos Personales
Informáticos
Holanda 1993: Ley de Delitos Informáticos
Chile 1993:Ley Contra Delitos Informáticos
Argentina 1994: Decreto 165/94
Colombia 99: Ley 527
Perú 2000: Ley N° 27309
Venezuela 2001: Ley contra Los Delitos Informáticos 14
14
M.Sc. Freddy Landivar, CISA, CRISC
Los Controles
Su definición
Las políticas, procedimientos, prácticas y estructuras
organizacionales diseñadas para garantizar razonablemente
que los objetivos del negocio serán alcanzados y que
eventos no deseables serán prevenidos o detectados y
corregidos -- COSO
La base de su naturaleza
1. un control es un sistema (políticas, procedimientos,
prácticas y estructuras organizacionales)
16
16
M.Sc. Freddy Landivar, CISA, CRISC
Los Controles
Desglosando la base de su Naturaleza
1. Un control es un sistema (políticas, procedimientos, prácticas
y estructuras organizacionales)
La clave (password), ¿es un control?
► No por si solo
► Una clave es un control, sólo en el contexto de que exista
“controles” que aseguren:
seguridad para elegir claves
correcta validación de claves
almacenamiento seguro de las claves 17
Enfocado a la Visión
Enfocado a la Misión
Coadyuvando en el cumplimiento de metas y objetivos
definidos
18
18
M.Sc. Freddy Landivar, CISA, CRISC
Los Controles
Controles Correctivos
contratación de un seguro por robo de un activo
software de comunicaciones que detecta un corte de una línea de comunicación
20
y la reinicia automáticamente.M.Sc. Freddy Landivar, CISA, CRISC 20
Los Controles
Tipos según la intervención
Controles Manuales: son aquellos donde interviene los sentidos humanos sobre el
elemento de control. La acción humana es la que actúa siempre sobre el
elemento o sistema de control.
El encendido y apagado de los equipos de comunicación
La asignación/control del flujo de datos (ancho de banda) en comunicaciones
El frenado de un auto
Clasificación
CONTROLES GENERALES
Aspectos de carácter de gestión y
gobierno de TI
Planes, políticas, organización,
procedimientos, normas,etc
CONTROLES
EN TECNOLOGIA DE LA CONTROLES DE APLICACIÓN
INFORMACION Aspectos Tecnológicos de información
en Entradas, Procesos y Salidas,
relacionadas con
Integridad (Completitud)
Precisión
Validez
Autorización
22
Segregación, etc
22
M.Sc. Freddy Landivar, CISA, CRISC
Los Controles
Monitoreo
23
M.Sc. Freddy Landivar, CISA, CRISC
Los Controles
El impacto sobre la organización
Costos de oportunidad Costos por abusos Costos por
por toma de decisiones informáticos perdidas en
incorrectas internos y externos recursos de TI
Costos de imagen
por perdida de Costos por
información perdida de
confidencialidad y
seguridad
Costos Costos por
operativos por Evolución acelerada
errores de la tecnología
informáticos Organización informática
Genera
necesidad
Controles y Auditoría de TI
24
M.Sc. Freddy Landivar, CISA, CRISC
Los Controles
Su aplicabilidad como control interno
Es responsabilidad de la Alta Dirección la implementación de un
sistema de Control Interno
25
Cont..
25
M.Sc. Freddy Landivar, CISA, CRISC
8/4/21
26
M.Sc. Freddy Landivar, CISA, CRISC
Los Controles
Normasgenerales de un Sistema de Control Interno en un
ambiente TI - (no limitativas)
Separación de funciones
Delimitación de autoridad y responsabilidad
Procesos de selección
Autorizaciones
Documentación y registros
Resguardo de la información
27
27
M.Sc. Freddy Landivar, CISA, CRISC
Los Controles
Separación de funciones
En un sistema manual generalmente, personas diferentes
Inician la transacción
Registran la transacción
Detectan irregularidades
Proceso de selección
30
30
M.Sc. Freddy Landivar, CISA, CRISC
Los Controles
Autorizaciones
31
31
M.Sc. Freddy Landivar, CISA, CRISC
Los Controles
Documentación y registro
32
32
M.Sc. Freddy Landivar, CISA, CRISC
Los Controles
Resguardo de la información
Elcontrol de acceso a la información es crucial, tanto en
sistemas manuales como automáticos.
Diferencia:
Sistema Manual: puede tener que acceder a varios sitios.
Sistema Automatizados: todos los registros necesarios
generalmente se mantiene en un solo lugar.
35
35
M.Sc. Freddy Landivar, CISA, CRISC
Hacker
se utiliza para identificar a los que únicamente acceden a
un sistema protegido como si se tratara de un reto
personal, sin intentar causar daños
36
36
M.Sc. Freddy Landivar, CISA, CRISC
Crackers
se ocupan de piratear programas, penetrar a sistemas
privados y en ocasiones, de destruirlos. Además, se muestra
como un grupo experto en la inserción de poderosos virus
computacionales en la red, con la idea de sabotear al
máximo los grandes sistemas
37
37
M.Sc. Freddy Landivar, CISA, CRISC
Phreaks
Personas que intentan usar la tecnología para
explorar y/o controlar los sistemas telefónicos.
38
38
M.Sc. Freddy Landivar, CISA, CRISC
Lamers
Este grupo es quizás el que más número de miembros posee y
quizás son los que mayor presencia tienen en la red.
Normalmente son individuos con ganas de hacer Hacking,
pero que carecen de cualquier conocimiento.
Este es quizás el grupo que más peligro representa en la red ya
que ponen en práctica todo el software de hacking que
encuentran, sin tener experticia sobre ellos
39
39
M.Sc. Freddy Landivar, CISA, CRISC
phrackers
Ingreso a servicios para limpiar cuentas
40
40
M.Sc. Freddy Landivar, CISA, CRISC
ciberpunks
Punk – manejan la cripografía
Naranja Mecanica
41
41
M.Sc. Freddy Landivar, CISA, CRISC