Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DIAGNÓSTICO DE LA INFRAESTRUCTURA Y
PROCESOS TECNOLÓGICOS DE LOS
SISTEMAS DE INFORMACIÓN
PROGRAMA DE TRABAJO
Objetivo
Características
El uso de computadoras en sistemas de información empresarial tiene efectos
fundamentales sobre:
La naturaleza de las transacciones realizadas,
Los procedimientos ejecutados,
los riesgos que se corren y
los métodos para mitigar dichos riesgos
Clasificación de la información
Clasificación de Controles
No Control CGTI D A
1 Comparación computarizada de la factura con la nota de recepción
ocurre antes de ser aprobado el pago.
2 El contralor revisa semanalmente el reporte de excepciones de
“exceso de limite de crédito” en conjunto con la provisión de
cuentas incobrables, y discute las acciones tomadas con el gerente
de ventas responsable de la aprobación del crédito día a día.
3 La gerencia ha desarrollado un plan de recuperación ante desastre
en caso de una falla en el sistema.
Inversión en TI
en una organización es de aproximadamente 5.5% del total del personal. Sin embargo,
este puede variar de acuerdo al tipo de negocio analizado.
2. Desarrollo:
i. Diseño físico del sistema.
Flujo de trabajo y programas (pero no codificación)
Controles y puntos en que deben ser implementados
Hardware
Medidas de seguridad, incluyendo respaldo
Comunicación de datos
Pruebas de aseguramiento de calidad para el equilibrio del proceso
de desarrollo
Tipos de enfoque para el diseño físico:
De arriba hacia abajo.
De abajo hacía arriba.
Estructurado.
ii. Diseño físico de la base de datos depende del sistema existente.
iii. Desarrollo de procedimientos incluye la escritura de manuales técnicos y
formularios.
iv. Los diagramas de flujo son una herramienta esencial en el proceso de
desarrollo.
v. Los diagramas de flujo de datos son utilizados en el análisis de sistemas
estructurados. Estos diagramas muestran como los datos fluyen hacia,
desde y dentro del sistema y los procesos que manipulan estos datos.
vi. El desarrollo de programas implica codificar programas de acuerdo a las
especificaciones de la etapa de diseño físico y luego evaluar los resultados.
Desarrollo de programas:
La ingeniería de software asistida por computadora (CASE) aplica el uso de la
computadora al diseño y desarrollo de software.
Permite mantener en el computador toda la documentación del sistema, como
diagramas de flujos de datos y seudocódigo, para desarrollar pantallas de entradas
y salida ejecutables y para generar código de programa en al menos su forma
básica.
De esta forma CASE facilita la creación, organización y mantenimiento de la
documentación y permite la automatización del proceso de codificación.
La programación orientada a objetos combinan los datos y los procedimientos
relacionados en un objeto. Así los datos de un objeto pueden ser operados solamente
dentro del objeto. Si los procedimientos en el objeto son cambiados, ninguna otra
parte del programa se verá afectada.
3. Instalación y operación:
Capacitar y educar a los usuarios de sistemas para utilizar adecuadamente el
sistema, y compensar la resistencia de los usuarios cuyas funciones puedan
haberse visto cambiadas.
La conversión de sistemas es la prueba final.
Si una implementación inmediata y cambio a un nuevo sistema no es indicada,
otras opciones incluyen:
Operación paralela: operación de los sistemas nuevo y antiguo
simultáneamente hasta obtener satisfacción que el nuevo sistema funciona
como se espera.
Operación piloto (conversión modular): conversión al sistema nuevo o
modificado, por ejemplo: división, departamento o rama de una compañía
en un determinado momento. Una desventaja es la extensión del tiempo de
conversión.
Desarrollo de prototipo: implica la creación de un modelo funcional del
sistema solicitado, demostrando sus funciones al usuario, obteniendo
retroalimentación y realizando modificaciones al código correspondiente.
El desarrollo de sistemas debe ser supervisado por un Comité de Sistemas
de información consistente de administradores que representan las áreas
funcionales de la organización, como la de sistemas de información.
Documentación:
Respalda y explica las aplicaciones de procesamiento de datos, incluyendo el
desarrollo de sistemas.
Debe ser sujeta a los estándares relacionados con las técnicas de diagrama de flujos,
codificación y procedimientos de modificación.
Los programas propuestos deben ser evaluados con datos incorrectos o incompletos
así como con datos típicos para determinar si los controles han sido implementados
apropiadamente en el programa.
Para evitar responsabilidades legales, los controles también deben ser implementados
para evitar el uso de software no autorizado en el dominio público (acuerdo de
autorización de software).
Control de cambios:
Los cambios en el sistema informático deben ser sujetos a controles estrictos.
El programa debe ser rediseñado utilizando una copia operativa.
La documentación de sistema debe ser revisada.
Los cambios en el programa serán probados.
La aprobación del cambio documentado y los resultados de la evaluación deben ser
entregados por el administrador de sistemas.
El cambio y resultados de la evaluación podrán ser aceptados por el usuario.
Los cambios no autorizados a programas pueden ser detectados por comparación de
códigos.
D. Seguridad de la Información
ISO 27001:
Un sistema operativo es un software esencial que actúa como una interfaz entre el
software de aplicaciones y el hardware.
Hardware:
Dispositivos electrónicos, magnéticos y mecánicos, que ejecutan acciones de entrada,
procesamiento, salida, almacenamiento, control, comunicaciones y preparación de
datos en un sistema informático.
Lápiz óptico.
Otros dispositivos pueden ser utilizados para recopilar datos de inventario, leer
medidores, inspeccionar bienes, etc. Además, pueden usarse dispositivos infrarrojos,
ultravioleta y otros para automatizar la captura de datos de producción.
Las terminales de punto de venta y los cajeros automáticos son otros dispositivos de
entrada.
Dispositivos de salida:
Un monitor puede ser utilizado para visualizar salida y es el dispositivo de salida más
común.
Las impresoras son dispositivos comunes utilizados solamente para salida de datos.
Un graficador o plotter es un dispositivo de salida que dibuja gráficos en papel.
Un dispositivo de salida de voz convierte datos digitales en habla utilizando sonidos
pregrabados.
Beneficios de la Virtualización
1. Reducción de los costos de compra y mantenimiento.
2. Compatibilidad con aplicaciones y sistemas operativos antiguos.
3. Pruebas en entornos aislados y seguros que no afectan al resto de los componentes.
4. Entorno de desarrollo barato para programadores de software en distintas
plataformas de forma simultánea.
5. Gestión y control centralizado de recursos.
6. Procedimientos de respaldo y restauración muy sencillos.
7. Migraciones en vivo de máquinas virtuales entre distintas PCs o servidores físicos.
8. Fácil recuperación/reinicio en caso de posibles caídas.
9. Alta disponibilidad.
10. Fácil puesta en marcha de servicios de computación en la Nube.
Mitigación de Riesgos
Analistas de Gartner recomiendan tratar la red virtual de manera similar a una física, con
la misma clase de monitoreo y separación de cargas de trabajo y el mismo equipo de
trabajo manejando ambas.
E. Comunicaciones y redes
Las computadoras están conectadas en redes, que pueden ser clasificadas por
extensión geográfica, por ejemplo:
LAN-red de área local
WAN-red de banda ancha
Topología, por ejemplo:
Redes en bus
Redes en anillo
Redes en estrella
La Internet es una red de redes alrededor de todo el mundo. Esta facilita la
comunicación y transferencia de información al menor costo entre computadoras.
Dispositivos
Un módem (modelador-demodulador) es un dispositivo de hardware para convertir
señales digitales desde las terminales y el CPU en señales análogas para ser
transmitidas a líneas de datos (usualmente teléfonos).
Canales de comunicación de banda ancha, que brinda múltiples líneas y por lo tanto
permite la transmisión simultánea de diferentes tipos de datos.
Ejemplo: cables de fibra óptica, circuitos de microondas, y canales de satélite.
Un concentrador es un dispositivo central de conexión en una red que conecta las
líneas de comunicaciones en una configuración de estrella.
Los puentes conectan dos o más segmentos de LAN. Los puentes mejoran el
desempeño de la red manteniendo el tráfico contenido dentro de segmentos más
pequeños.
Los enrutadores son dispositivos que enrutan paquetes de datos de una red de área
local (LAN) o red de banda ancha (WAN) a otra.
Los enrutadores leen la dirección de la red en cada marco transmitido y toman
una decisión sobre cómo enviarlo basado en la ruta más conveniente.
Estos también desempeñan la función central de conmutación en la Internet.
Medios de transmisión
El alambre torcido de cobre es usado para la comunicación análoga por teléfono. Es
un medio lento para la transmisión de datos, pero los nuevos software y hardware han
mejorado su capacidad.
El cable coaxial es usado para la televisión por cable, módems de alta velocidad y
LAN. Este consiste de un cable con un grueso aislamiento de cobre que es más rápido
y está más libre de interferencia que un alambre torcido.
El cable de fibra óptica usa ligeros impulsos que viajan a través de una tubería clara
y flexible, de la mitad del tamaño de un cabello humano, los cables de fibra óptica no
están sujetos a interferencia eléctrica y son altamente confiables. Aunque, es un
medio más caro.
Los medios de transmisión inalámbrica usan el espectro electromagnético. Por
ejemplo:
Los sistemas de microondas.
Los satélites.
Modos de transmisión
La transmisión asincrónica de arranque-parado es usada para transmisiones lentas e
irregulares como desde una terminal de teclado. Cada carácter es marcado por un bit
de arranque y de detención.
La transmisión sincrónica es usada para una transmisión rápida y continua. Esta
transfiere bloques de caracteres sin bits de arranque y detención, pero requiere que los
dispositivos de recepción y envío sean sincronizados.
Topologías de red
La estructura de comunicaciones:
En caso de que la organización cuente con sucursales o que realice operaciones a través
de Internet, entre los aspectos a ser considerados se destacan:
Diagrama de red actualizado
El tipo de comunicación
La velocidad de transferencia
La topología de la red
La cantidad de usuarios
Los servicios prestados/recibidos a través de Internet
Configuración de los dispositivos de comunicación (routers, firewall, IPS/IDS,
switch, access point, etc.).
Contraseñas para la administración de estos dispositivos.
Herramientas para el monitoreo de las comunicaciones.
F. Bases de datos
Una base de datos es una serie de archivos relacionados combinados para eliminar la
redundancia de objetos de datos.
Ejemplo:
El nombre del empleado debe aparecer en cada uno de estos archivos, al ser
almacenados y procesados por separado, el resultado es la redundancia.
Cuando los datos son combinados en una base de datos, cada elemento de dato
usualmente es almacenado una sola vez.
Una base de datos está compuesta básicamente por:
Campos
Registros
Tablas
También, existen:
Las claves principales
Las claves secundarias o foráneas.
Normalmente estas claves deben estar indexadas (ordenadas) para agilizar las
búsquedas.
Ejemplo 1:
Parte . Ext 1 Parte Cant. Precio
Orden
Registro Cliente Calle ciudad No.-. Precio1 Ext. 2
No Cant1 No. 2 2 2
1
Ejemplo 2:
.
Registro. Cliente Calle Ciudad Orden Parte No. 1 Cantidad 1 Precio 1 Ext.
10515
Atenas,
122406 Hardware Prince 19742259 A316 4 $035 $1.40
GA
Avenue
Conceptos Respuesta
1. Son políticas y procedimientos que ayudan a garantizar la
operación adecuada y continua de los sistemas de
información. (iniciales)
Conceptos Respuesta
G. La Nube
Integridad de datos.
La dificultad de mantener la integridad de los datos es la limitante más importante de
las herramientas informáticas de auditoría.
La evidencia electrónica es difícil de autentificar y fácil de fabricar.
Los factores de seguridad de datos que atañen a la evidencia electrónica deben ser
considerados.
El grado de confianza en la evidencia electrónica por parte del auditor depende de la
efectividad de los controles sobre el sistema del cual se recoge la evidencia.
El control más importante es instalar una política de seguridad de red organizacional.
Esta política debe promover los siguientes objetivos:
Disponibilidad. Los usuarios autorizados deben ser capaces de tener acceso a
los datos para alcanzar las metas organizacionales.
Seguridad, privacidad y confidencialidad. Debe garantizarse la privacidad
de la información que podría afectar a la organización de ser revelada al
público o a la competencia.
Integridad. Se debe evitar la modificación no autorizada o accidental de datos.
Control de Acceso
El software de control de acceso protege de acceso no autorizado; restringe el uso de
ciertos dispositivos, y puede proporcionar un registro de los intentos de acceso tanto
exitosos como fallidos.
Controles de seguridad física: limitan el acceso físico y protegen contra riesgos
ambientales y catástrofes naturales como incendios e inundaciones.
Controles de seguridad lógica: La identificación y autentificación del usuario, la
restricción de acceso y la generación de rastreos de auditoría son necesarios.
Estos garantizan que solamente las personas con la debida autorización tendrían
acceso a los sistemas de información. Ejemplo:
Contraseñas y números de identificación (doble autenticación).
No divulgar ni anotar contraseñas.
Uso de contraseñas robustas.
Atributos de archivos (lectura, escritura).
Tabla de autorización de dispositivos.
Bitácora o pista de auditoría de los accesos al sistema.
Cifrado de datos.
Acceso a servidores sólo a través de re-llamadas.
Tecnologías biométricas.
Finalización de sesión automática.
Restricción de software utilitario.
Personal de seguridad.
Seguridad de Internet.
La conexión a internet presenta temas de seguridad. De este modo, la política de
seguridad en todas las redes de la organización debiera al menos incluir:
Un sistema de administración de cuentas de usuario.
La instalación de un cortafuego (firewall): separa una red interna de una externa
(Internet), y previene el paso de tipos específicos de tráfico.
Métodos para asegurar que sólo el usuario deseado reciba la información precisa y
completa (autenticación, integridad de la información).
Almacenamiento de datos:
Respaldos.
Restricción de acceso a la base de datos.
Riesgos:
Accesos no autorizados a datos (robo, pérdida, usuario malicioso).
Malware (software espías, troyanos, etc.).
Aplicaciones no confiables.
Navegación insegura (wi-fi, bluetooth, etc.).
Configuración incorrecta.
Controles:
Bloqueo de dispositivos (contraseñas robustas, limite de intentos fallidos).
Cifrado de datos.
Respaldo de la información.
Borrado de datos - Local o Remoto (Wipe).
Canales seguros de comunicación.
Educación al usuario, acompañado de políticas de seguridad.
Software anti-malware.
Control de software autorizado a instalar en los dispositivos.
J. Seguridad física
La existencia de elementos que permitan asegurar las condiciones mínimas para un buen
funcionamiento de los equipos principales de la organización, inclusive en caso de
contingencia.
K. Planeación de contingencia
Respaldos de TI:
Se debería estar revisando la existencia de documentación sobre los procedimientos de
respaldos de información, y por medio de inspección, determinar la correcta ejecución y
resguardo de los medios de respaldos.
Evaluar:
• Existencia de procedimientos de respaldos y el cumplimiento de los mismos
• Pruebas y documentación de las pruebas realizadas a los respaldos
• Frecuencias de ejecución de respaldos
• Medios utilizados
• Tiempo de retención de los respaldos
• Uso de ubicaciones externas para resguardar los respaldos
• Procedimientos de restauración de los respaldos
• Inventario y control de los medios de respaldos
Habiendo evadido los controles de seguridad el intruso puede hacer daños inmediatos
en el sistema o instalar un (MS).
1. Un caballo de Troya:
Es un programa aparentemente inocente, por ejemplo, una hoja de cálculo que incluye
una función oculta que puede hacer daños al ser activada.
Por ejemplo:
Este puede contener un virus, un código de programa que se copia a sí
mismo de un archivo a otro. El virus puede destruir datos o programas.
Una manera común de diseminar un virus es por archivos adjuntos de
correo electrónico y de cargas.
Un gusano se copia a sí mismo no de un archivo a otro sino de una computadora a
otra muy rápidamente. Las copias repetidas sobrecargan a un sistema reduciendo la
memoria o el espacio en el disco.
2. Una bomba lógica:
Se parece mucho a un caballo de Troya, excepto que esta se activa únicamente en
algunos casos, por ejemplo, en ciertas fechas.
3. Negación de Servicio (DOS):
MS puede crear una negación de servicio al abrumar a un sistema o sitio Web con
más tráfico del que puede manejar.
Los certificados digitales son usados para probar el origen y la entrega, de manera que
las partes no puedan desconocer la responsabilidad por enviar o recibir un mensaje.
Los compradores y vendedores de comercio electrónico usualmente brindan
reconocimientos y confirmaciones, respectivamente, en un diálogo del sitio Web
para evitar entrar en disputas.
En una aplicación de EDI, el control sobre la no repudiación se logra por medio
de secuencias, encriptación y autenticación.
El correo electrónico es un método rápido e informal, pero con frecuencia inseguro para
las comunicaciones comerciales.
Los riesgos del correo electrónico que necesitan ser controlados incluyen:
Acceso o modificación no autorizados
N. Comercio electrónico
Las preguntas que debe considerar un auditor son las siguientes según publicación
IIA SAC (Aseguramiento y Control de Sistema):
¿Existe un plan de negocios para el proyecto o programa de comercio electrónico?
Los detalles del programa de auditoría utilizado para auditar actividades de comercio
electrónico:
a) Organización del comercio electrónico - El auditor debe:
Determinar el valor de las transacciones.
Identificar las partes interesadas (externas e internas).
Revisar el proceso de gestión del cambio.
Examinar el proceso de aprobación.
Revisar el plan de negocio para las actividades de comercio electrónico.
Evaluar las políticas sobre certificados de claves públicas.
Revisar los procedimientos de firma digital.
Examinar los acuerdos de nivel de servicio entre comprador, proveedor y
autoridad de certificación.
Comprobar la política de aseguramiento de calidad
Evaluar la política de privacidad y el cumplimiento en las actividades de comercio
electrónico.
Evaluar la capacidad de respuesta ante incidentes.
1
Una firma digital es un mecanismo criptográfico que permite al receptor de un mensaje firmado
digitalmente determinar la entidad originadora de dicho mensaje (autenticación de origen y no repudio), y
confirmar que el mensaje no ha sido alterado desde que fue firmado por el originador (integridad).
Conceptos Respuesta
1. Codificación de datos antes de la transmisión y
decodificación de datos después de la transmisión.
2. Un sitio donde el usuario puede instalar componentes
informáticos rápidamente.
3. Se determina con base en la pérdida aceptable de datos en el
caso de una interrupción de las operaciones. (iniciales)
Conceptos Respuesta
5. Tipo de virus que se copia a sí mismo de una computadora a
otra muy rápidamente. Las copias repetidas sobrecargan a un
sistema reduciendo la memoria o el espacio en el disco.
Realización de la Auditoría
Gobierno corporativo
Aun cuando los proveedores externos estén implicados, la dirección sigue siendo
responsable del cumplimiento de los objetivos de control relacionados.
Como parte de .esta responsabilidad, la dirección debe contar con un proceso para
gobernar la relación con el proveedor externo y su desempeño.
El auditor debe identificar y revisar el proceso que la dirección utiliza para
identificar los riesgos asociados con el proveedor, los servicios brindados por éste
y cómo la dirección gobierna la relación entre las dos entidades.
La revisión del auditor debe asegurar si la dirección compara el trabajo de los
proveedores con los estándares de desempeño o criterios establecidos en el
contrato y con cualquier estándar especificado por organismos de regulación.
El proceso de gobierno debe incluir la revisión de elementos tales como los
siguientes:
Desempeño financiero del proveedor.
Informes Independientes
Los proveedores externos pueden ofrecer informes sobre sus controles realizados
por terceros independientes. Por ejemplo, informes de auditoría de organismos
reguladores u otro tipo de informes de control.
Los auditores pueden utilizar esos informes como base para confiar en los
controles del ambiente de control de los sistemas de información.
Si el auditor decide utilizar un informe independiente como base para confiar en
los controles de sistemas de información en el nivel del proveedor, deberá revisar
esos informes para determinar lo siguiente:
Que el tercero independiente está debidamente cualificado. Esto puede
incluir revisar si el tercero independiente cuenta con certificación o
licencia profesional adecuadas, posee experiencia relevante y cumple con
las autoridades profesionales y desregulación aplicables (si corresponde).
Que el tercero independiente no tiene relación con el proveedor externo
que menoscabe su independencia y objetividad.
El período de cobertura del informe.
Si el informe es suficiente (por ejemplo, si el informe cubre los sistemas y
controles aplicables e incluye pruebas de las áreas que el auditor incluiría
si realizara el trabajo).
Si las pruebas de controles son suficientes para permitir al auditor confiar
en el trabajo del tercero independiente (ej. si las pruebas de controles son
suficientes en cuanto a naturaleza, oportunidad y alcance de los
procedimientos llevados a cabo).
Si el informe delimita las responsabilidades en el proveedor y la
organización usuaria.
Si la organización usuaria ha cumplido sus responsabilidades con respecto
a controles apropiados.
EL FRAUDE INFORMATICO
Antecedentes:
Detalles conceptuales:
DEFINICION
Consecuencias:
Las consecuencias del fraude se reflejan sobre el patrimonio de la compañía y una posible
disminución del valor accionario.
Delitos comunes:
Forjamiento de identidad
Desembolsos fraudulentos
o Fraude con tarjetas de crédito/débito
o Pagos electrónicos y transferencias
Robo de información
Sabotaje
Trasladar a obsoleto artículos en buen estado para su posterior sustracción
Otros delitos:
Spam
Phishing
Pharming
Denegación de servicio (DoS por sus siglas en ingles)
Hacia el cliente:
PHISHING
3. El vínculo en el texto del correo puede parecer válido, pero luego lleva a la
victima a una dirección falsa. Siempre hay que revisar el vínculo, moviendo el
puntero del ratón sobre dicho vinculo para ver la dirección real. Hay que recordar
que el vínculo puede contener palabras alusivas a la dirección falsificada.
PHARMING
WAR DRIVING
Sin seguridad de red habilitada y debidamente configurada, los war drivers podrán enviar
datos, interpretar los datos enviados en la red inalámbrica, tener acceso a los recursos
compartidos de la red inalámbrica o alámbrica (archivos compartidos, sitios web
privados), instalar virus, modificar o destruir datos confidenciales, y usar la conexión de
Internet sin el consentimiento del propietario. Por ejemplo, un usuario malicioso podría
usar la conexión de Internet para enviar miles de correos electrónicos de spam o lanzar
ataques contra otras computadoras. El origen del tráfico malicioso sería al origen del
propietario.
Mensaje: Utilizar WPA (de preferencia WPA2): Wi-Fi Protected Access (128 bits) en
vez de WEP: Wired Equivalente Privacy (64 bits).
El fraude implica un incentivo o presión para cometerlo, una oportunidad percibida para
hacerlo y alguna racionalización del acto - actitud. (NIA 240.A1)
INCENTIVOS Y PRESIONES
A nivel personal:
OPORTUNIDADES
El control interno
ACTITUDES
SINTOMAS DE UN FRAUDE
CONCLUSION
Ignorar los riesgos de fraude no es una opción apropiada, debido a que el costo
económico es significativo, la pérdida de la reputación y castigos penales a la que son
sometidos los responsables de la administración de la organización son altos.
Bloqueo de transacciones
Por privilegios de acceso
Por tipo de transacción
Registro de transacciones (log)
Facilidades de auditoria de sistemas
Para entender el modo en que deben manejarse los registros de evidencias, es necesario
definir, de forma precisa, en qué consiste una evidencia digital o registro de evidencia. La
evidencia digital es cualquier información obtenida a partir de un dispositivo electrónico
o medio digital que sirve para adquirir convencimiento de la certeza de un hecho. A partir
de esta definición, es posible describir en qué consiste la auditoria forense: es el proceso
de identificar, preservar, analizar y presentar la evidencia digital de una manera
legalmente aceptable.
Para llevar a cabo una auditoria de registros de evidencia se comienza por la obtención y
recopilación de tales registros, siguiendo las recomendaciones de buenas prácticas en
auditoria forense, que son las siguientes:
Esa labor debe ser llevada a cabo con máxima cautela y de forma detallada, asegurándose
que se conserva intacta (en la medida de lo posible) la información contenida en el disco
de un sistema comprometido, de igual modo que los investigadores policiales intentan
mantener la escena del crimen intacta, hasta que se recogen todas las pruebas posibles.
En esta situación, los expertos forenses deben emplear una metodología específica en este
análisis que consiste básicamente, en la consecución de las siguientes premisas:
El factor humano no sólo es esencial en un análisis, sino que uno de los requisitos
actuales para validar jurídicamente una prueba electrónica o registro de evidencia, es que
los datos hayan sido recopilados y presentados por un experto informático forense.
Obviamente esta definición engloba a los expertos como los que “poseen mayor
Entre lo que es susceptible de ser rastreado están la manipulación de los datos y, por
supuesto, su destrucción. Una pista determinante a la hora de realizar análisis de
evidencias es conocer los hábitos de los usuarios y las actividades realizadas, ya que
ayuda a reconstruir los hechos siendo posible averiguar las acciones realizadas en un
equipo informático.
Para poder realizar cualquier tipo de análisis es imprescindible contar con un buen grupo
de herramientas que nos ayuden a realizar la investigación. Por ejemplo un buscador que
accede a la base de datos de eventos, permitiendo al administrador analizar, a posteriori y
de forma centralizada, los eventos de seguridad de todos los elementos críticos de la red.
Básicamente resuelve el problema de dónde buscar la evidencia digital. Además, esta
consola permite profundizar al máximo sobre los detalles de cada uno de los eventos
ocurridos en el sistema.
Planificación
Determinación de las fuentes y clases de información para la investigación.
Localización del hecho y verificación.
Levantamiento de pruebas, archivos y control de documentos.
Presentación de reportes (informe final)
CONSTRUCCION DE EVIDENCIA
3. Entrevista con el personal que participa en el proceso de negocio que fue utilizado
para cometer el fraude.
5. Verificar las pistas de auditoría que permiten los sistemas (calidad y oportunidad).
2
Es importante recordar que aproximadamente el 30% de los fraudes son detectados inicialmente por
auditoría (interna o externa), el 70% restante es detectado por otras fuentes.
6. Con las pistas de auditoría, identificar el patrón con el cual se cometió el fraude.
7. Dimensionar el patrón del fraude hacía toda la data disponible e investigar los
resultados obtenidos contra información soporte.
Evidencia No Contable:
Evidencia Contable:
1. Participaciones societarias
2. Cuentas bancarias
3. Consumos con tarjetas de crédito
4. Bienes registrables
5. Deudas
Curiosidad
Persistencia
Creatividad
Discreción
Confianza
Experiencia
Actualización
Analíticos
Especializados en temas:
o Contables
o Auditoría
o Criminología
o Investigaciones
o Sistemas
“Piense como el Diablo cuando trate de identificar los Riesgos y esquemas potenciales
de Fraude”
REPORTE
V. Bibliografía
GLEIM.
COBIT.
VI. Anexos
RAID proviene del acrónimo del inglés “Redundant Array of Independent Disks”, que
significa matriz redundante de discos independientes. RAID es un método de
combinación de varios discos duros para formar una unidad lógica única en la que se
almacenan los datos de forma redundante. Ofrece mayor tolerancia a fallos y más altos
niveles de rendimiento que un sólo disco duro o un grupo de discos duros independientes
RAID 0. Este arreglo es conocido como distribuido, porque utiliza un sistema que utiliza
a los discos como uno solo, teniendo un conjunto de cabezas independientes para su uso.
La información es dividida en bloques de datos que se distribuyen en todos los discos del
arreglo. EL RAID 0 incrementa el desempeño, la lectura y escritura de la información al
escribir un solo dato con varias cabezas de forma simultánea. Ejemplo: un dato de 8 bits
se divide en todos los discos escribiendo 2 bits en cada uno de forma simultánea. Esto es
más rápido que escribir 8 bits de forma serial con una sola cabeza. Este tipo de arreglo no
tiene nivel de protección. En caso de la falla de un disco, se perdería toda la información.
RAID1. Este tipo de arreglo se conoce como Espejeo (Mirroring), porque su conjunto de
discos los utiliza como espejos. Ofrece el nivel de protección más alto, pues uno tiene
copia idéntica de la información de cada disco. Toda la información escrita en el disco
primario se escribe en el disco secundario. RAID1 tiene un incremento en el desempeño
de la lectura de la información, pero puede llegar a degradar el desempeño de la escritura.
RAID5. Este tipo de arreglo se denomina también como distribuido con paridad. Este
tipo de arreglos distribuye la información en todo el conjunto de discos. A diferencia del
RAID 0, RAID5 elabora un bit de paridad con el cual es posible reconstruir la
información del arreglo en caso de la pérdida de alguno de los discos. La información y
los bits de paridad son distribuidos en todos los discos, garantizando que siempre se
encontrarán en discos distintos. RAID5 tiene un mejor desempeño que RAID1, pero
cuando uno de los discos falla, el desempeño de la lectura llega a degradarse.
Raid10 (0+1). Este tipo de arreglo es una mezcla del arreglo distribuido y espejeo. La
información se distribuye en un conjunto de discos como un RAID 0 y, a su vez, este
conjunto de discos es espejeado a otro conjunto de discos como un RAID1. RAID10
provee el nivel de protección y desempeño más alto para escritura y lectura que cualquier
otro arreglo, debido a que contiene los beneficios de los arreglos distribuidos y espejo. Su
único problema es el costo de implementación, al tener que usar siempre el doble discos.
CASO PRÁCTICO # 1
Existe una metodología de desarrollo que consiste en una serie de pasos a cumplir por los
programadores, así como el análisis de los requerimientos de los usuarios, su priorización
y asignación a los Programadores son responsabilidad de Benny T. Programo, Jefe de
Desarrollo. De igual forma existen procesos definidos para la administración del
mantenimiento a los sistemas.
Los requerimientos le llegan por correo electrónico, los imprime y es lo que le entrega al
programador como especificación del cambio a realizar.
Es el que mantiene el contacto con el proveedor del sistema SAP para hacerles llegar los
cambios o agregados (nuevos requerimientos) a dicho sistema. La comunicación con el
proveedor es telefónica o por e-mail.
Benny desarrolló los procedimientos de solicitud de cambios a programas con que cuenta
la Dirección de IT. Las actividades de mantenimientos son realizadas para el sistema
denominado C14 el cual fue desarrollado (programado) en casa (en la propia empresa).
CASO PRÁCTICO # 2
Contraseñas:
1. Para garantizar que todo el personal cuente con contraseñas robustas, el departamento
de sistemas ha implementado una herramienta de generación de contraseñas
complejas, la cual genera contraseñas que contienen números, letras mayúsculas,
minúsculas y caracteres especiales. La contraseña tendrá una longitud mínima de 10
posiciones y será cambiada cada 30 días por el administrador de la red, quién tiene la
responsabilidad de generar y distribuir dichas contraseñas al menos tres días antes de
que las contraseñas anteriores caduquen.
2. Las cuentas de los usuarios serán bloqueadas automáticamente luego de tres intentos
fallidos, en caso de las cuentas bloqueadas, estás serán desbloqueadas por el sistema
después de 86,400 segundos desde el momento que fue bloqueada.
Conexión:
3. Los usuarios del sistema operativo de red, sólo podrán conectarse desde su terminal
de trabajo, a excepción del administrador de la red quién podrá conectarse desde
cualquier equipo de la empresa.
El software antivirus está configurado para escanear todos los correos entrantes y
salientes del servidor de mensajería de la empresa, esto garantiza la no infección desde
afuera por este único posible medio de entrada de virus como es el correo electrónico.
Los usuarios mencionan que este documento les fue enviado de forma masiva por correo
electrónico, y en el cuerpo del correo se mencionaba que se impartiría una charla
explicativa sobre dicho documento, la cual hasta la fecha (6 meses después) no se ha
logrado concretizar.
CASO PRÁCTICO # 3
Ellos se reúnen a inicios del año y a través de una sesión de trabajo que normalmente se
prolonga por toda una mañana, identifican las necesidades de la empresa y definen los
proyectos que estarán ejecutando durante el año.
Cada proyecto se divide por área (desarrollo, seguridad, bases de datos, redes y
comunicaciones), y el ingeniero Jourdon nombra un líder de acuerdo al tipo de proyecto.
El líder tiene la responsabilidad de elaborar un cronograma de trabajo, detallando los
recursos (técnicos y humanos) que necesitará para lograr culminar el proyecto.
Los cronogramas de cada proyecto son revisados por el ingeniero Jourdon, quién los
autoriza, y es por medio de estos cronogramas que prepara un presupuesto operativo del
área para el año en curso.
Uno de los proyectos a ejecutarse, consiste en mejorar el desempeño de todas las bases de
datos de la empresa, donde el líder del proyecto es el administrador de base de datos
(DBA). Él junto con los programadores estarán efectuando revisiones sobre el uso
apropiado de los índices de las diferentes tablas de las bases de datos, optimizando
aquellos scripts (líneas de código fuente escritos en lenguaje de programación) que se
identifiquen que no están haciendo un adecuado uso de estos índices, y por consiguiente
hacen que los procesos de los sistemas sean más dilatados.
El tiempo estimado para este proyecto es de 4 meses, debido a que el DBA también tiene
otras tareas asignadas como es el desarrollo de un nuevo sistema de pago de incentivos a
los trabajadores, además que 3 de los 5 programadores en el área de desarrollo son
nuevos, por lo que se ha considerado este factor como un posible punto de demora, ya
que este personal nuevo tendrá que invertir mayor tiempo en el estudio e identificación
del código fuente que no esté utilizando adecuadamente los índices de las tablas de las
bases de datos.
Las correcciones que se deriven de estas revisiones, serán monitoreadas por el Jefe de
Desarrollo, ingeniero Benny T. Programo, a través de los controles definidos para la
administración del mantenimiento a los sistemas.