Unidad 3-La Informacion y Sus Controles VF

CURSO
AUDITORIA DE SISTEMAS
UNIDAD III
LA INFORMACION Y SUS CONTROLES
M.Sc. FREDDY LANDIVAR P., CISA, CRISC
1
Factores para la criticidad de la “Información”
 La Globalización
 La sociedad globalizada por la información
 La información viaja a través del ciberespacio
 Su significado es ampliamente aceptado
Datos Proceso Información
 Su importancia es relevante
• Supervivencia
• Éxito
2
Cont.. 2
M.Sc. Freddy Landivar, CISA, CRISC
 La necesidad de una efectiva administración de la información

 Escalada de costos en inversiones en TI
 Potenciamiento de tecnologías
 Cambios en las estructuras organizacionales
 Cambios en las prácticas del negocio
• Diversificación de mercados
• Generación de nuevas oportunidades
• Reducción de costos
• FINTECH 3
Cont.. 3
 La dependencia de los sistemas de información

 Necesidad de protección ante el crecimiento
tecnológico en la organización
• Riesgos inherentes al uso de la tecnología
• Riesgo asociado con nuevas implementaciones
 Asegurar la calidad de la información
• Toma de decisiones oportunas
• Cumplimiento con los stakeholders - shareholders
 Incremento en la necesidad de controles eficientes4
4
 El fraude informático
Primer Fraude Informático
En 1801 Joseph Jacquard, fabricante de
textiles en Francia, diseñó el precursor de las
antiguas tarjetas de computadoras. Este
dispositivo permitió la repetición en serie de
pasos de tejidos. Los empleados estaban tan
preocupados que sabotearon el invento para
que no continuara usando la tecnología.
5
El fraude informático
 El tetraedro de la criminalidad informática
ESCENA DEL DELITO
VICTIMA VICTIMARIO
MEDIOS DE COMISION
6
 El flujo del delito
TIC
PODER
Provee
Información
7
 El blanco:
 La organización
•Robos de información
•Fraudes computacionales
•Abusos
•Acceso indebido
•Destrucción de datos o programas
8
8
 Los perjuicios:
 superiores a la delincuencia tradicional
•Alto conocimiento del tema “Know How”
•A través de medios informáticos
•Borrado de pistas o huellas
 Las estadísticas:
 90 % de los delitos informáticos son causados por los mismos
empleados (ONU)
 73 % por agentes internos y solo el 27 % por agentes
externos (EEUU)
9
9
 Los vínculos delictivos:
LEGITIMACION
DE CAPITALES NARCOTRAFICO
DELITOS
TERRORISMO DELINCUENCIA
ORGANIZADA
CORRUPCION
10
 Los actores
Hackers Crackers Phreaks Lamers
Pirata Infotácticos
Phrackers Informático Ciberpunks
Info Info Ciber Empleados

traficantes terrorista terrorista internos
11
11
 Definiciones juristas:
 Delito informático es cualquier comportamiento criminal en
que la computadora está involucrada como material, objeto
o mero símbolo
Carlos Sarzana (italiano)
 Son actitudes ilícitas en que se tiene a las computadoras

como instrumento o fin (concepto atípico), o las conductas
típicas, antijurídicas y culpables en que se tienen a las
computadoras como instrumento o fin (concepto típico)
Julio Tellez (mexicano)
12
12
 Definición contrastada y estándar

 Criminalidad informática o delito relacionado con las
computadoras, es cualquier comportamiento antijurídico, no
ético o no autorizado, relacionado con el procesamiento
automático de datos y/o transmisiones de los mismos
 Permite el empleo de la misma hipótesis para todo

ordenamiento jurídico
casos penales,
criminológicos,
económicos, etc 13
13
 Algunas leyes
 Alemania1986: Segunda Ley contra Criminalidad
Económica
 USA 1986:Acta de fraude y Abuso Computacional
 Portugal 1991: Ley de Protección de Datos Personales
Informáticos
 Holanda 1993: Ley de Delitos Informáticos
 Chile 1993:Ley Contra Delitos Informáticos
 Argentina 1994: Decreto 165/94
 Colombia 99: Ley 527
 Perú 2000: Ley N° 27309
 Venezuela 2001: Ley contra Los Delitos Informáticos 14
14
Los Controles
 Su definición
Las políticas, procedimientos, prácticas y estructuras
organizacionales diseñadas para garantizar razonablemente
que los objetivos del negocio serán alcanzados y que
eventos no deseables serán prevenidos o detectados y
corregidos -- COSO
Committee of Sponsoring Organizations of the Treadway

Commission.
Internal Control-Integrated Framework 15
15
Los Controles
 La base de su naturaleza
1. un control es un sistema (políticas, procedimientos,
prácticas y estructuras organizacionales)
2. garantiza el alcance de los objetivos del negocio
3. vela que eventos no deseables sean prevenidos o

detectados y corregidos
16
16
Los Controles
 Desglosando la base de su Naturaleza
1. Un control es un sistema (políticas, procedimientos, prácticas
y estructuras organizacionales)
La clave (password), ¿es un control?
► No por si solo
► Una clave es un control, sólo en el contexto de que exista
“controles” que aseguren:
 seguridad para elegir claves
 correcta validación de claves
 almacenamiento seguro de las claves 17
 seguimiento en el uso indebido de claves

17
Los Controles
2. Garantiza el alcance de los objetivos del negocio
 Enfocado a la Visión
 Enfocado a la Misión
 Coadyuvando en el cumplimiento de metas y objetivos
definidos
18
18
Los Controles
3. Vela que eventos no deseables sean prevenidos, detectados

y/o corregidos
.
 Evento - Entradas incorrectas en programas de captura
 Evento - Aplicaciones o programas con instrucciones erróneas
Los eventos pueden resultar de

 Actos dañinos involuntarios, o
 Actos dañinos intencionales
19
19
Los Controles
 Tipos según la oportunidad de aplicación
 Controles Preventivos: reducen la probabilidad que eventos no deseados ocurran.
 verificar las firmas antes del pago de un cheque
 replica de datos
 Controles Detectivos: reducen la cantidad de pérdidas cuando los eventos no

deseados ocurren.
 un conteo de inventario y verificación de existencia
 una cámara de video que graba quien entra y que hace en un determinado
ambiente
 Controles Correctivos
 contratación de un seguro por robo de un activo
 software de comunicaciones que detecta un corte de una línea de comunicación
20
y la reinicia automáticamente.M.Sc. Freddy Landivar, CISA, CRISC 20
Los Controles
 Tipos según la intervención
 Controles Manuales: son aquellos donde interviene los sentidos humanos sobre el
elemento de control. La acción humana es la que actúa siempre sobre el
elemento o sistema de control.
 El encendido y apagado de los equipos de comunicación
 La asignación/control del flujo de datos (ancho de banda) en comunicaciones
 El frenado de un auto
 Controles Automaticos: son aquellos donde un elemento controlador reemplaza la

intervención humana. La función del controlador será a partir de datos o
información enmarcada en determinados valores.
 Validación de accesos lógicos al sistema
 Registro de ingresos al sistema
21
21
Los Controles
 Clasificación
CONTROLES GENERALES
Aspectos de carácter de gestión y
gobierno de TI
Planes, políticas, organización,
procedimientos, normas,etc
CONTROLES
EN TECNOLOGIA DE LA CONTROLES DE APLICACIÓN
INFORMACION Aspectos Tecnológicos de información
en Entradas, Procesos y Salidas,
relacionadas con
 Integridad (Completitud)
 Precisión
 Validez
 Autorización
22
 Segregación, etc
22
Los Controles
 Enfoque de los Controles en Tecnología de la Información

En función a los Riesgos los Controles Generales actúan como capas para
los Controles de Aplicación
Gestión/Gobierno del área de TI

(Sistemas de Información)
Gestión del Desarrollo de

Sistemas
Controles de
Aplicación
Gestión de las Operaciones
- Administrac. de Datos
- Administrac. de Seguridad
Monitoreo
23
Los Controles
 El impacto sobre la organización
Costos de oportunidad Costos por abusos Costos por
por toma de decisiones informáticos perdidas en
incorrectas internos y externos recursos de TI
Costos de imagen
por perdida de Costos por
información perdida de
confidencialidad y
seguridad
Costos Costos por
operativos por Evolución acelerada
errores de la tecnología
informáticos Organización informática
Genera
necesidad
Controles y Auditoría de TI
24
Los Controles
 Su aplicabilidad como control interno
 Es responsabilidad de la Alta Dirección la implementación de un
sistema de Control Interno
 La aplicación de la informática en los procesos afecta la

implementación de componentes de control interno
 El sistema de control interno deberá estar adecuadamente

estructurado, respaldado y documentado
 El sistema de control interno es dinámico, va de la mano con la

tecnología
25
Cont..
25
 8/4/21
26
Los Controles
 Normasgenerales de un Sistema de Control Interno en un
ambiente TI - (no limitativas)
 Separación de funciones
 Delimitación de autoridad y responsabilidad
 Procesos de selección
 Autorizaciones
 Documentación y registros
 Resguardo de la información
27
27
Los Controles
 Separación de funciones
 En un sistema manual generalmente, personas diferentes
 Inician la transacción
 Registran la transacción
 Detectan irregularidades
 En un sistema automatizado, el mismo programa puede realizar

todas las funciones que manualmente serían incompatibles, sin
embargo se debe:
separar la capacidad de ejecutar estas tareas a través de la
definición de perfiles
insertar pistas de auditoría 28
28
Los Controles
 Delimitación de autoridad y responsabilidad
 Tantoen sistemas manuales como automatizados, una clara línea de
autoridad y responsabilidad es un control esencial
 Definir quien es el responsable de cierta información o proceso

 Definir quien y que puede hacer
Todos, Alguien, Cualquiera, Nadie
“Para hacer un trabajo importante, todos sabían que alguien lo haría,

cualquiera podía haberlo hecho, sin embargo nadie lo hizo”
29
29
Los Controles
 Proceso de selección
 RRHH informático calificado y confiable

 Se delega un poder importante en las personas responsables de
desarrollar, implementar y operar sistemas informáticos
 Pruebas exhaustivas de aceptación

 Controles periódicos
 Rotaciones controladas
30
30
Los Controles
 Autorizaciones
 Se debe establecer políticas de autorizaciones tanto generales

como específicas.
• Por ejemplo: lista de precios, compra de activos de alto valor.
 Los auditores no sólo deben hacer un seguimiento a éstas

autorizaciones, sino debe verificar el proceso informático.
31
31
Los Controles
 Documentación y registro
 En un sistema automatizado no es necesario un documento para

iniciar una transacción. Ejemplo: un pedido telefónico, un sistema
de reposición automático de stock.
 En un sistema bien diseñado debería haber mayores pistas de

auditoría que en un sistema manual, asegurando su exactitud e
integridad
32
32
Los Controles
 Resguardo de la información
 Elcontrol de acceso a la información es crucial, tanto en
sistemas manuales como automáticos.
Diferencia:
 Sistema Manual: puede tener que acceder a varios sitios.
 Sistema Automatizados: todos los registros necesarios
generalmente se mantiene en un solo lugar.
 Laconcentración de información aumenta el riesgo por abuso o

desastre.
33
33
TALLER
Estudio de caso IV – Video Blancos de Oportunidad Analizar y responder a las preguntas
1. Que entendieron sobre el video relacionado con la TIC y los controles
2. Cuál la función de Jack Scalon, y que tipo de evaluación o auditoria opina que hizo?
3. Que herramientas de evaluación/auditoria/ investigación aplico?
4. En qué aspecto fundamental de la organización incidieron las deficiencias determinadas
5. Que fallas o debilidades determino Scalon. Mencione 5 de estas ordenándolas por
prioridad de Riesgo. Adicionalmente, para cada fallas o debilidades que priorizó, de
recomendación que tendría que aplicar la organización para subsanar las fallas
6. Las deficiencias mencionadas y priorizadas por riesgo en el anterior punto, afectaron en
cierto modo a la información. Identifique los criterios de la información afectados:
Confidencialidad, Integridad, Oportunidad y/o Confiabilidad
7. Las deficiencia definidas afectaron a diferentes áreas de la Organización. Agrúpelas por
áreas de Gestión (Administración, Recursos Humanos), Operación (Ventas, Almacenes,
Logística, Sistemas), Control (Contabilidad, Recursos Humanos, Auditoria)
8. A su entender, considerando las deficiencias determinadas, cuál es el principal causa
para los deficiencias determinadas, y cual seria el mensaje del video.
34
---------- 0000 -----------
35
35
Hacker
 se utiliza para identificar a los que únicamente acceden a
un sistema protegido como si se tratara de un reto
personal, sin intentar causar daños
36
36
Crackers
 se ocupan de piratear programas, penetrar a sistemas
privados y en ocasiones, de destruirlos. Además, se muestra
como un grupo experto en la inserción de poderosos virus
computacionales en la red, con la idea de sabotear al
máximo los grandes sistemas
37
37
Phreaks
 Personas que intentan usar la tecnología para
explorar y/o controlar los sistemas telefónicos.
38
38
Lamers
 Este grupo es quizás el que más número de miembros posee y
quizás son los que mayor presencia tienen en la red.
Normalmente son individuos con ganas de hacer Hacking,
pero que carecen de cualquier conocimiento.
 Este es quizás el grupo que más peligro representa en la red ya
que ponen en práctica todo el software de hacking que
encuentran, sin tener experticia sobre ellos
39
39
phrackers
 Ingreso a servicios para limpiar cuentas
40
40
ciberpunks
 Punk – manejan la cripografía
Naranja Mecanica
41
41

Unidad 3-La Informacion y Sus Controles VF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Unidad 3-La Informacion y Sus Controles VF

Cargado por

Copyright:

Formatos disponibles

CURSO

LA INFORMACION Y SUS CONTROLES

M.Sc. FREDDY LANDIVAR P., CISA, CRISC

 La necesidad de una efectiva administración de la información

 La dependencia de los sistemas de información

que no continuara usando la tecnología.

 El tetraedro de la criminalidad informática

ESCENA DEL DELITO

 El flujo del delito

Hackers Crackers Phreaks Lamers

Info Info Ciber Empleados

 Son actitudes ilícitas en que se tiene a las computadoras

 Definición contrastada y estándar

 Permite el empleo de la misma hipótesis para todo

Committee of Sponsoring Organizations of the Treadway

2. garantiza el alcance de los objetivos del negocio

3. vela que eventos no deseables sean prevenidos o

 seguimiento en el uso indebido de claves

2. Garantiza el alcance de los objetivos del negocio

3. Vela que eventos no deseables sean prevenidos, detectados

Los eventos pueden resultar de

 Controles Detectivos: reducen la cantidad de pérdidas cuando los eventos no

 Controles Automaticos: son aquellos donde un elemento controlador reemplaza la

 Enfoque de los Controles en Tecnología de la Información

Gestión/Gobierno del área de TI

Gestión del Desarrollo de

 La aplicación de la informática en los procesos afecta la

 El sistema de control interno deberá estar adecuadamente

 El sistema de control interno es dinámico, va de la mano con la

 En un sistema automatizado, el mismo programa puede realizar

 Definir quien es el responsable de cierta información o proceso

Todos, Alguien, Cualquiera, Nadie

“Para hacer un trabajo importante, todos sabían que alguien lo haría,

 RRHH informático calificado y confiable

 Pruebas exhaustivas de aceptación

 Se debe establecer políticas de autorizaciones tanto generales

 Los auditores no sólo deben hacer un seguimiento a éstas

 En un sistema automatizado no es necesario un documento para

 En un sistema bien diseñado debería haber mayores pistas de

 Laconcentración de información aumenta el riesgo por abuso o

También podría gustarte