1

UNIDAD II.- AMENAZAS A LOS ACTIVOS INFORMÁTICOS: DELITO INFORMÁTICO: Un delito informático o ciberdelito es toda aquella acción antijurídica y culpable, que se da por vías informáticas o que tiene como objetivo destruir y dañar ordenadores, medios electrónicos y redes de Internet. Debido a que la informática se mueve más rápido que la legislación, existen conductas criminales por vías informáticas que no pueden considerarse como delito, por lo cual se definen como abusos informáticos (los tipos penales tradicionales resultan en muchos países inadecuados para encuadrar las nuevas formas delictivas), y parte de la criminalidad informática. La criminalidad informática consiste en la realización de un tipo de actividades que, reuniendo los requisitos que delimitan el concepto de delito, sean llevados a cabo utilizando un elemento informático. Los delitos informáticos son aquellas actividades ilícitas que: (a) Se cometen mediante el uso de computadoras, sistemas informáticos u otros dispositivos de comunicación (la informática es el medio o instrumento para realizar un delito); o (b) Tienen por objeto causar daños, provocar pérdidas o impedir el uso de sistemas informáticos (delitos informáticos). Mucha información es almacenada en un reducido espacio, con una posibilidad de recuperación inmediata, pero por complejas que sean las medidas de seguridad que se puedan implantar, aún no existe un método infalible de protección. La criminalidad informática tiene un alcance mayor y puede incluir delitos tradicionales como el fraude, el robo, chantaje, falsificación y la malversación de caudales públicos en los cuales ordenadores y redes han sido utilizados como medio. Con el desarrollo de la programación y de Internet, los delitos informáticos se han vuelto más frecuentes y sofisticados. La Organización de Naciones Unidas reconoce los siguientes tipos de delitos informáticos:

1. Fraudes cometidos mediante manipulación de computadoras. 2. Manipulación de datos de entrada. 3. Daños o modificaciones de programas o datos computarizados.

Existen leyes que tienen por objeto la protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos en las variedades existentes contra tales sistemas o cualquiera de sus componentes o los cometidos mediante el uso de dichas tecnologías. Una misma acción dirigida contra un sistema informático puede aparejar la violación de varias leyes penales, algunos autores expresan que el "uso de la informática no supone más que un modus operandi nuevo que no plantea particularidad alguna respecto de las formas tradicionales de comisión". Una clara dificultad para la persecución de estos ilícitos, ha sido que el ciudadano no considera delincuente al autor de estos delitos, entre los propios victimarios algunas veces existe una

2

reivindicación que subyace a toda su actividad, como es el caso de los hackers, quienes cuentan con todo una "filosofía" preparada para respaldar su actividad afirmando que propenden a un mundo más libre, que disponga de acceso a todas las obras de la inteligencia, y basándose en ese argumento divulgan las claves que tienen en su actividad.

La criminalidad informática incluye una amplia variedad de delitos informáticos. El

fenómeno se puede analizar en dos grupos:

1. Informática como objeto del delito. Esta categoría incluye por ejemplo el

sabotaje informático, la piratería informática, el hackeo, el crackeo y el DDNS

(Denegación de servicio de nombres de dominio).

2. Informática como medio del delito. Dentro de este grupo se encuentra la

falsificación de documento electrónico, cajeros automáticos y tarjetas de

crédito, robo de identidad, phreaking, fraudes electrónicos y pornografía

infantil.

FRAUDE INFORMATICO:

El fraude es una forma de conseguir beneficios utilizando la creatividad, con la

inteligencia y viveza del ser humano. Este tipo de actividad puede traer

consecuencias muy graves tanto como para las personas que la realizan como para

las que son víctimas.

Luego de definir podemos decir que el fraude informático es una forma de conseguir beneficios de forma no adecuada a continuación mencionamos algunos de las formas de realizar fraude: 1. Alterar el ingreso de datos de manera ilegal. Esto requiere que el criminal posea un alto nivel de técnica y por lo mismo es común en empleados de una empresa que conocen bien las redes de información de la misma y pueden ingresar a ella para alterar datos como generar información falsa que los beneficie, crear instrucciones y procesos no autorizados o dañar los sistemas. 2. Alterar, destruir, suprimir o robar datos, un evento que puede ser difícil de detectar. 3. Alterar o borrar archivos. 4. Alterar o dar un mal uso a sistemas o software, alterar o reescribir códigos con propósitos fraudulentos. Estos eventos requieren de un alto nivel de conocimiento. Otras formas de fraude informático incluyen la utilización de sistemas de computadoras para robar bancos, realizar extorsiones o robar información clasificada.

3

RIESGO INFORMÁTICO: Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. De manera cuantitativa el riesgo es una medida de las posibilidades de incumplimiento o exceso del objetivo planteado. Así definido, un riesgo conlleva dos tipos de consecuencias: ganancias o pérdidas. En lo relacionado con tecnología, generalmente el riesgo se plantea solamente como amenaza, riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo determinando el grado de exposición a la ocurrencia de una pérdida (por ejemplo, el riesgo de perder datos debido a rotura de disco, virus informáticos, etc.). Los riesgos informáticos se refieren a la incertidumbre existente por la posible realización de un suceso relacionado con la amenaza de daño respecto a los bienes o servicios informáticos como por ejemplo los equipos informáticos, periféricos, instalaciones, proyectos, programas de cómputo, archivos, información, datos confidenciales, entre otros. La Organización Internacional por la Normalización (ISO) define riesgo tecnológico (Guías para la gestión de la seguridad de TI /TEC TR 13335-1, 1996) como: “La probabilidad de que una amenaza se materialice, utilizando vulnerabilidades existentes de un activo o un grupo de activos, generándole pérdidas o daños”. En la definición anterior se pueden identificar varios elementos que se deben comprender adecuadamente para, por ende, comprender integralmente el concepto de riesgo manejado. Estos elementos son: probabilidad, amenazas, vulnerabilidades, activos e impactos. Probabilidad: establecer la probabilidad de ocurrencia puede realizarse de manera cuantitativa o cualitativa, pero siempre considerando que la medida no debe contemplar la existencia de ninguna acción paliativa, o sea, debe considerarse en cada caso qué posibilidades existen que la amenaza se presente independientemente del hecho que sea o no contrarrestada. Existen amenazas, como por ejemplo incendios, para las cuales hay información suficiente (series históricas, compañías de seguros y otros datos) para establecer con razonable objetividad su probabilidad de ocurrencia. Otras amenazas presentan mayor dificultad en establecer cuantitativamente la probabilidad. Por ejemplo, el acceso no autorizado a datos; dónde se hacen estimaciones sobre la base de experiencias. Siguiendo con el ejemplo, para el personal interno del Centro de Cómputos (CPD), la probabilidad puede ser el 70%, para el personal de la organización, externo al CPD, del 45%, y para personas de fuera, el 80% (a través de acceso por Internet). Amenazas: las amenazas siempre existen y son aquellas acciones que pueden ocasionar consecuencias negativas en la operativa de la empresa. Comúnmente se indican como amenazas a las fallas, a los ingresos no autorizados, a los virus, uso

4

inadecuado de software, los desastres ambientales como terremotos o inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones, etc. Las amenazas pueden ser de carácter físico o lógico, como ser una inundación en el primer caso, o un acceso no autorizado a una base de datos en el segundo caso. Vulnerabilidades: son ciertas condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen llevan a esos activos a ser vulnerables. Mediante el uso de las debilidades existentes es que las amenazas logran materializarse, o sea, las amenazas siempre están presentes, pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún impacto. Estas vulnerabilidades son de naturaleza variada. A modo de ejemplo se citan las siguientes: falta de conocimiento del usuario, tecnología inadecuadamente probada (“testeada”), transmisión por redes públicas, etc. Una vulnerabilidad común es contar con antivirus no actualizado, la cual permitirá al virus actuar y ocasionar daños. Si el antivirus estuviese actualizado la amenaza (virus) si bien potencialmente seguiría existiendo no podría materializarse. Activos: Los activos a reconocer son aquellos relacionados con sistemas de información. Ejemplos típicos son los datos, el hardware, el software, servicios, documentos, edificios y recursos humanos. Impactos: las consecuencias de la ocurrencia de las distintas amenazas son siempre negativas. Las pérdidas generadas pueden ser financieras, no financieras, de corto plazo o de largo plazo. Se puede establecer que las más comunes son: la pérdida directa de dinero, la pérdida de confianza, la reducción de la eficiencia y la pérdida de oportunidades de negocio. Otras no tan comunes, felizmente, son la pérdida de vidas humanas,

afectación del medio ambiente, etc.

Clasificación.

Julio Téllez Valdés clasifica a los delitos informáticos en base a dos criterios: como instrumento o medio, o como fin u objetivo.

1.- Como medio y objetivo: en esta categoría se enmarcan las conductas criminógenas que van dirigidas en contra de la computadora, accesorios o programas como entidad física.

María de la Luz Lima, presenta una clasificación, de lo que ella llama "delitos electrónicos", diciendo que existen tres categorías, a saber: Los que utilizan la

5

tecnología electrónica como método; Los que utilizan la tecnología electrónica como medio; y Los que utilizan la tecnología electrónica como fin.

Como método: conductas criminales en donde los individuos utilizan métodos electrónicos para llegar a un resultado ilícito.

Como objeto: Es cuando se alteran datos de documentos que se encuentran almacenados en forma computarizada. Pueden falsificarse o adulterarse también micro formas, micro duplicados y microcopias; esto puede llevarse a cabo en el proceso de copiado o en cualquier otro momento.

Como instrumentos. Las computadoras pueden utilizarse para realizar falsificaciones de documentos de uso comercial. Las fotocopiadoras computarizadas en color a base de rayos láser dio lugar a nuevas falsificaciones. Estas fotocopiadoras pueden hacer copias de alta resolución, modificar documentos, crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que solo un experto puede diferenciarlos de los documentos auténticos.

Como medio: son conductas criminógenas en donde para realizar un delito utilizan una computadora como medio o símbolo.

Como instrumento o medio.

En esta categoría se encuentran las conductas criminales que se valen de las computadoras como método, medio o símbolo en la comisión del ilícito, por ejemplo:

a. Falsificación de documentos vía computarizada (tarjetas de crédito, cheques, etc.)

b. c. Variación de los activos y pasivos en la situación contable de las empresas. d. Planeamiento y simulación de delitos convencionales (robo, homicidio, fraude,

etc.) e. Lectura, sustracción o copiado de información confidencial. f. Modificación de datos tanto en la entrada como en la salida. g. Aprovechamiento indebido o violación de un código para penetrar a un sistema

introduciendo instrucciones inapropiadas. h. Variación en cuanto al destino de pequeñas cantidades de dinero hacia una

cuenta bancaria apócrifa. i. Uso no autorizado de programas de cómputo. j. Introducción de instrucciones que provocan "interrupciones" en

la lógica interna de los programas. k. Alteración en el funcionamiento de los sistemas, a través de los virus

informáticos. l. Obtención de información residual impresa en papel luego de la ejecución de

trabajos. m. Acceso a áreas informatizadas en forma no autorizada. n. Intervención en las líneas de comunicación de datos o teleproceso.

6

Como fin: conductas criminógenas dirigidas contra la entidad física del objeto o máquina electrónica o su material con objeto de dañarla.

Como fin u objetivo. En esta categoría, se enmarcan las conductas criminales que van dirigidas contra las computadoras, accesorios o programas como entidad física, como, por ejemplo:

a. Programación de instrucciones que producen un bloqueo total al sistema. b. Destrucción de programas por cualquier método. c. Daño a la memoria. d. Atentado físico contra la máquina o sus accesorios. e. Sabotaje político o terrorismo en que se destruya o surja un apoderamiento de

los centros neurálgicos computarizados. f. Secuestro de soportes magnéticos entre los que figure información valiosa con

fines de chantaje (pago de rescate, etc.).

Por otra parte, existen diversos tipos de delito que pueden ser cometidos y que se encuentran ligados directamente a acciones efectuadas contra los propios sistemas como son:

Acceso no autorizado: Uso ilegitimo de passwords y la entrada de un sistema informático sin la autorización del propietario.

Destrucción de datos: Los daños causados en la red mediante la introducción de virus, bombas lógicas, etc.

Infracción al copyright de bases de datos: Uso no autorizado de información almacenada en una base de datos.

Interceptación de e-mail: : Lectura de un mensaje electrónico ajeno. Estafas electrónicas: A través de compras realizadas haciendo uso de la red. Transferencias de fondos: Engaños en la realización de este tipo de

transacciones. Por otro lado, la red Internet permite dar soporte para la comisión de otro tipo de

delitos: Espionaje: Acceso no autorizado a sistemas informáticos gubernamentales y de

grandes empresas e interceptación de correos electrónicos. Terrorismo: Mensajes anónimos aprovechados por grupos terroristas para

remitirse consignas y planes de actuación a nivel internacional. Narcotráfico: Transmisión de fórmulas para la fabricación de estupefacientes,

para el blanqueo de dinero y para la coordinación de entregas y recogidas. Otros delitos: Las mismas ventajas que encuentran en la Internet los

narcotraficantes pueden ser aprovechadas para la planificación de otros delitos como el tráfico de armas, proselitismo de sectas, propaganda de grupos extremistas, y cualquier otro delito que pueda ser trasladado de la vida real al ciberespacio o al revés.

7

LEY ESPECIAL CONTRA LOS DELITOS INFORMÁTICOS EN VENEZUELA:

Concibe como bien jurídico la protección de los sistemas informáticos que

contienen, procesan, resguardan y transmiten la información. Promulgada el de 30

de octubre de 2001. La ley tipifica cinco clases de delitos:

Contra los sistemas que utilizan tecnologías de información: acceso

indebido (Art.6); sabotaje o daño a sistemas (Art.7); favorecimiento culposo del

sabotaje o daño. (Art. 8); acceso indebido o sabotaje a sistemas protegidos (Art.

9); posesión de equipos o prestación de servicios de sabotaje (Art. 10);

espionaje informático (Art. 11); falsificación de documentos (Art. 12).

Contra la propiedad: hurto (Art. 13); fraude (Art. 14); obtención indebida de

bienes o servicios (Art. 15); manejo fraudulento de tarjetas inteligentes o

instrumentos análogos (Art. 16); apropiación de tarjetas inteligentes o

instrumentos análogos (Art. 17); provisión indebida de bienes o servicios (Art.

18); posesión de equipo para falsificaciones (Art. 19);

Contra la privacidad de las personas y de las comunicaciones: violación de

la privacidad de la data o información de carácter personal (Art. 20); violación de

la privacidad de las comunicaciones (Art. 21); revelación indebida de data o

información de carácter personal (Art. 22);

Contra niños y adolescentes: difusión o exhibición de material pornográfico

(Art. 23); exhibición pornográfica de niños o adolescentes (Art. 24);

Contra el orden económico: apropiación de propiedad intelectual (Art. 25);

oferta engañosa (Art. 26).

http://www.wipo.int/edocs/lexdocs/laws/es/ve/ve041es.pdf

CONTROL INTERNO DE LOS PROCEDIMIENTOS ASOCIADOS A LAS APLICACIONES INFORMÁTICAS

SEGURIDAD:

La seguridad informática o seguridad de tecnologías de la información es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore y signifique un riesgo si esta información confidencial

8

llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.

La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información.

SEGURIDAD FÍSICA:

La seguridad física consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del centro de cómputo, así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

1. Desastres naturales, incendios accidentales, tormentas e inundaciones 2. Amenazas ocasionadas por el ser humano 3. Disturbios, sabotajes internos y externos deliberados.

SEGURIDAD LÓGICA:

Dentro de la seguridad informática, la seguridad lógica hace referencia a la aplicación de

mecanismos y barreras para mantener el resguardo y la integridad de la información dentro

de un sistema informático. La seguridad lógica se complementa seguridad física. La

seguridad lógica de un sistema informático incluye:

Restringir al acceso a programas y archivos mediante claves y/o encriptación.

Asignar las limitaciones correspondientes a cada usuario del sistema informático. Esto significa, no darle más privilegios extras a un usuario, sino sólo los que necesita para realizar su trabajo.

Asegurarse que los archivos y programas que se emplean son los correctos y se usan correctamente. Por ejemplo, el mal uso de una aplicación puede ocasionar agujeros en la seguridad de un sistema informático.

Control de los flujos de entrada/salida de la información. Esto incluye que una determinada información llegue solamente al destino que se espera que llegue, y que la información llegue tal cual se envió.

Los controles anteriormente mencionados se pueden hacer a nivel sistema

operativo, a nivel de aplicación, a nivel base de datos o archivo, o a nivel firmware.

POLÍTICAS DE SEGURIDAD Los riesgos a los que se enfrentan los sistemas, ha llevado a que muchas

9

organizaciones desarrollen documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa.

En este sentido, las políticas de seguridad informática surgen como una herramienta organizacional para concientizar a los colaboradores de la organización sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situación, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.

Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, con relación a los recursos y servicios informáticos de la organización. No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y él por qué de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos, así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos.

Como una política de seguridad debe orientar las decisiones que se toman en relación con la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considera importante. Las políticas de seguridad informática deben considerar principalmente los siguientes elementos:

Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.

Objetivos de la política y descripción clara de los elementos involucrados en su definición.

Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización.

Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.

Definición de violaciones y sanciones por no cumplir con las políticas.

Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

Las políticas de seguridad informática, también deben ofrecer explicaciones comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, deberán establecer las expectativas de la organización en relación con la seguridad y especificar la autoridad responsable de

10

aplicar los correctivos o sanciones. Otro asunto importante es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión.

A pesar de que un gran número de organizaciones canalizan sus esfuerzos

para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas de seguridad informática. Otros inconvenientes son los tecnicismos informáticos y la falta de una estrategia de mercadeo por parte de los gerentes de informática o los especialistas en seguridad, que llevan a los altos directivos a pensamientos como: "más dinero para juguetes del Departamento de Sistemas". Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen información sensitiva y por ende su imagen corporativa. Ante esta situación, los encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación con esos asuntos.

Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las estrategias del negocio, a su misión y visión, con el propósito de que los que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compañía.

Auditoría y control de la seguridad física

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos (hackers, virus, ataques de sistema operativo, entre otros); la seguridad de la misma será nula si no se ha previsto como combatir un incendio o cualquier otro tipo de desastre natural y no tener presente políticas claras de recuperación. La seguridad física es una de los aspectos más olvidados a la hora del diseño de un sistema informático. Evaluar y controlar permanentemente la seguridad física de las instalaciones de cómputo y del edificio es la base para comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo.

Tener controlado el ambiente y acceso físico permite:

Disminuir siniestros

Trabajar mejor manteniendo la sensación de seguridad

Descartar falsas hipótesis si se produjeran incidentes

Tener los medios para luchar contra accidentes

Auditoría y control de la seguridad lógica

Después de ver como nuestro sistema puede verse afectado por la falta de

11

seguridad física, es importante recalcar que la mayoría de los daños que puede sufrir un centro de cómputo no será sobre los medios físicos sino contra información por él almacenada y procesada.

Así, la seguridad física sólo es una parte del amplio espectro que se debe cubrir para no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado, el activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física que la asegure. Estas técnicas las brinda la seguridad lógica. La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.

Existe un viejo dicho en la seguridad informática que dicta que “todo lo que no está permitido debe estar prohibido” y esto es lo que debe asegurar la seguridad lógica. Los objetivos que se plantean serán:

1. Restringir el acceso a los programas y archivos 2. Asegurar que los operadores puedan trabajar sin una supervisión

minuciosa y no puedan modificar los programas ni los archivos que no correspondan.

3. Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.

4. Asegurar que la información transmitida sea recibida por el destinatario al cual ha sido enviada y no a otro.

5. Asegurar que la información recibida sea la misma que ha sido transmitida. 6. Asegurar que existan sistemas alternativos secundarios de transmisión

entre diferentes puntos. 7. Asegurar que se disponga de pasos alternativos de emergencia para la

transmisión de información.

Las nuevas tecnologías de la información han potenciado la comunicación y el acceso a la información. Por ello, la sociedad de la Información, en la que estamos inmersos, debe de garantizar la seguridad de los sistemas. Los sistemas de información deben estar preparados para prevenir, detectar y reaccionar ante las posibles amenazas. Se entiende por amenaza a una condición del entorno del sistema de información (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a una violación de la seguridad (confidencialidad, integridad, disponibilidad o uso legítimo). Para hacer frente a las amenazas contra la seguridad, se definen una serie de servicios que hacen uso de uno o varios mecanismos de seguridad. Uno de ellos está enfocados a garantizar la inviolabilidad de los datos (confidencialidad, integridad y disponibilidad), mientras que otros se orientan a protegerlos del entorno (autenticación, no repudio y control de acceso).

Confidencialidad: garantiza que la información sea accesible únicamente por las entidades autorizadas, protegiendo la identidad de las partes implicadas. Se utilizan métodos de cifrado.

Autenticación: garantiza la identidad de las partes implicadas en la comunicación. Las tecnologías más aplicadas son “firma digital”, biometría, tarjetas de banda magnética, contraseñas, etc.

Integridad: garantiza que la información sólo pueda ser modificada por las entidades autorizadas. Requiere el uso de tecnologías como el hash

12

criptográfico con firma digital, y los time-stamps (marcas de tiempo).

Auditoría y control de las redes y comunicaciones

La organización en la parte de las redes de comunicaciones de computadores

es un punto de viraje bastante importante; es por ello, que uno de los modelos de red más conocidos es el modelo OSI. a grandes rasgos. El modelo OSI, dado por capas, está dividido en:

Capa física: se encarga de garantizar la integridad de la información transmitida por la red; por ejemplo, si se envía un 0, que llegue un 0. Capa de enlace: garantiza que la línea o canal de transmisión, esté libre de errores. Capa de red: determina como se encaminan los paquetes, de la fuente al destino. Igualmente, debe velar por el tráfico de la red, evitando al máximo las congestiones. Para ello, debe llevar un registro contable de los paquetes que transitan. Capa de transporte: divide los datos en unidades más pequeñas y garantiza que tal información transmitida, llegue correctamente a su destino. De igual forma, crea una conexión de red distinta para cada conexión de transporte requerida, regulando así el flujo de información. Analiza también, el tipo de servicio que proporcionará la capa de sesión y finalmente a los usuarios de red. Capa de sesión: maneja el sentido de transmisión de los datos y la sincronización de operaciones; es decir, si uno transmite, el otro se prepare para recibir y viceversa o situaciones Commit, donde tras algún problema, se sigue tras último punto de verificación. Capa de presentación: se encarga de analizar si el mensaje es semántica y

sintácticamente correcto.

Capa de aplicación: implementación de protocolos y transferencia de archivos. Lo anterior, nos permite describir tres tipos de fallos en la seguridad de la red:

1. Alteración de bits: se corrige por código de redundancia cíclico. 2. Ausencia de tramas: las tramas se desaparecen por el ambiente o una

sobrecarga del sistema; para ello, se debe tener un número de secuencia de tramas.

3. Alteración de la secuencia en la cual el receptor reconstruye mensaje.

Otro de los tipos de modelos de referencia más conocidos, es el TCP/IP, hoy día, con algunas variaciones, como el de encapsular varios protocolos, el TCP/IP da replicación de los canales para posibles caídas del sistema. Bajo ésta política, entonces se ha definido como clases de redes:

Intranet = Red interna de la empresa.

Extranet = Red externa pero directamente relacionada a la empresa.

Internet = La red de redes.

13

El problema de tales implementaciones, es que por los puertos de estandarización pública de TCP/IP, se puede entrar cualquier tercero para afectar la red de la compañía o su flujo de información. Tal asunto es recurrente sobretodo en el acceso de la red interna de la compañía a la Internet, para lo cual, y como medida de protección, se usan Firewall (cortafuegos) que analizan todo tipo de información que entra por Internet a la compañía, activando una alarma, en caso de haber algún intruso o peligro por esa vía a la red. La compañía puede definir dos tipos extremos de políticas de seguridad:

Políticas paranoicas: toda acción o proceso está prohibido en la red.

Políticas promiscuas: no existe la más mínima protección o control a las acciones de los usuarios en la red.

No importa lo que haga la empresa, siempre va a haber un punto de fallo, para adelantarse a intrusos, entonces se han ideado algunas herramientas para probar la eficacia de las políticas de seguridad en red de la empresa.

Dispositivos de conectividad: esto se refiere a utilización de dispositivos

de tecnología pasada, de varios años, esto se da cuando no existe una renovación constante, inversión de capital. Hoy día, existe tecnología que otorgan muchos beneficios y esquemas de seguridad a un alto costo.

Cableado Estructurado: el cableado físico no cumple con los estándares. Esto se da muchas veces por reducción de costos en la implementación del cableado.

Rendimiento: la capacidad de rendimiento que la red pueda tener, esta va de la mano por la calidad de dispositivos de conectividad de red que se posea.

Mantenimiento Preventivo y correctivo: muchas veces no se cuenta con un contrato de mantenimiento, tanto preventivo como correctivo. Esta parte puede afectar mucho el tiempo de respuesta ante una falla y conlleva a dar una imagen de debilidad en la red.

CONTROL INTERNO:

El control interno informático controla diariamente que todas las actividades de sistemas

de información sean realizadas cumpliendo los procedimientos, estándares y normas

fijados por la dirección de la organización y/o la dirección informática, así como los

requerimientos legales.

La función del control interno informático es asegurarse de que las medidas que se obtienen

de los mecanismos implantados por cada responsable sean correctas y válidas. Control

interno informático suele ser un órgano staff de la dirección del departamento de

14

informática y está dotado de las personas y medios materiales proporcionados a los

cometidos que se le encomienden.

Como principales objetivos podemos indicar los siguientes:

Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

Asesorar sobre el conocimiento de las normas. Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorías

externas al grupo. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro del

graso adecuados del servicio informático, lo cual no debe considerarse como que la implantación de los mecanismos de medida y responsabilidad del logro de esos niveles se ubique exclusivamente en la función de control interno, si no que cada responsable de objetivos y recursos es responsable de esos niveles, así como de la implantación de los medios de medida adecuados.

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para

determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de

los datos, lleva a cabo los eficazmente los fines de la organización y utiliza eficiente mente

los recursos.

Elementos fundamentales del control interno informático

Controles internos sobre la organización del área de informática

Controles internos sobre el análisis, desarrollo e implementación de sistemas

Controles internos sobre operación del sistema

Controles internos sobre los procedimientos de entrada de datos, el procesamiento de información y la emisión de resultados.

Controles internos sobre la seguridad del área de sistemas.

CUADRO CONTROL INTERNO INFORMÁTICO:

Controles internos sobre la organización del área de informática

Dirección División del trabajo Asignación de responsabilidad y autoridad Establecimiento de estándares y métodos Perfiles de puestos

15

Controles internos sobre el analisis, desarrollo e implementacion de sistemas

Estandarizacion de metodologias para el desarrollo de proyectos Asegurar que el beneficio de los sistemas sea optimo Elaborar estudios de factibilidad del sistema Garantizar la eficiencia y eficacia en el analisis y diseño de sistemas Vigilar la efectividad y eficiencia en la implementacion y mantenimiento del sistema Optimizar el uso del sistema por medio de su documentacion

Controles internos sobre operación del sistema

Prevenir y corregir los errores de operación Prevenir y evitar la manipulación fraudulenta de la información Implementar y mantener la seguridad en la operación Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de

la información de la institución

Controles internos sobre los procedimientos de entrada de datos, el procesamiento de

información y la emisión de resultados.

Verificar la existencia y funcionamiento de los procedimientos de captura de datos Comprobar que todos los datos sean debidamente procesados Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos. Comprobar la oportunidad, confiabilidad y veracidad en la emisión de los resultados del

procesamiento de información.

Controles internos sobre la seguridad del área de sistemas

Controles para prevenir y evitar las amenazas, riesgos y contingencias que inciden en las áreas de sistematización.

Controles sobre la seguridad física del área de sistemas Controles sobre la seguridad lógica de los sistemas. Controles sobre la seguridad de las bases de datos Controles sobre la operación de los sistemas computacionales Controles sobre seguridad del personal de informática Controles sobre la seguridad de la telecomunicación de datos Controles sobre la seguridad de redes y sistemas multiusuarios

Los controles se clasifican, de acuerdo a cómo actúan en los siguientes:

Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc.

16

Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.

La clasificación de los controles de acuerdo a lo que protegen es:

Controles lógicos: son aquellos basados en un software o parte de él, que nos permitirán:

- Identificar los usuarios de ciertos datos y/o recursos: hacer una clasificación de tipos de usuarios y sus objetivos de acceso a los sistemas.

- Restringir el acceso a datos y recursos de los sistemas: establecer los permisos por tipo de usuario. Por ejemplo, establecer que un usuario común de un sistema no tendrá acceso a los datos financieros de la organización.

- Producir pistas para posteriores auditorias: todos los movimientos hechos por los usuarios deben ser registrados y guardados a modo de historia de lo que ha ocurrido. Generalmente archivos llamados “logs”, son los que mantienen este tipo de información.

Entre ellos tenemos: Identificación y autenticación de usuarios, programas de control de

acceso, entre otros.

Controles físicos: se refiere a los controles y mecanismos de seguridad dentro y alrededor

del Centro de Cómputo, así como los medios de acceso remoto al y desde el mismo;

implementados para proteger el hardware y medios de almacenamiento de datos. Dentro

de ellos tenemos: seguridad mediante personal durante las 24 horas, acceso restringido a

través de tarjetas de proximidad, Equipo informático en áreas de acceso controlado,

Vigilancia con video en toda la instalación y el perímetro, entre otros.

OTROS CONTROLES APLICADOS EN LA AUDITORIA DE SISTEMAS

1.- Controles administrativos en un ambiente de Procesamiento de Datos

La máxima autoridad del Área de Informática de una empresa o institución debe implantar

los siguientes controles que se agruparan de la siguiente forma:

2.- Controles de Preinstalación. Hacen referencia a procesos y actividades previas a la

adquisición e instalación de un equipo de computación y obviamente a la automatización

de los sistemas existentes.

3.- Controles de Organización y Planificación. Se refiere a la definición clara de funciones,

línea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores

17

tales como: Diseñar un sistema, Elaborar los programas, Operar el sistema, Control de

calidad.

4.- Controles de Sistemas en Desarrollo y Producción. Se debe justificar que los sistemas

han sido la mejor opción para la empresa, bajo una relación costo-beneficio que

proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo

un proceso planificado y se encuentren debidamente documentados.

5.- Controles de Procesamiento. Los controles de procesamiento se refieren al ciclo que

sigue la información desde la entrada hasta la salida de la información, lo que conlleva al

establecimiento de una serie de seguridades para: Asegurar que todos los datos sean

procesados, Garantizar la exactitud de los datos procesados, Garantizar que se grabe un

archivo para uso de la gerencia y con fines de auditoria, Asegurar que los resultados sean

entregados a los usuarios en forma oportuna y en las mejores condiciones.

6.- Controles de Operación. Abarcan todo el ambiente de la operación del equipo central

de computación y dispositivos de almacenamiento, la administración de la cinto teca y la

operación de terminales y equipos de comunicación por parte de los usuarios de sistemas

on line. Estos controles tienen como fin: Prevenir o detectar errores accidentales que

puedan ocurrir en el Centro de Cómputo durante un proceso; Evitar o detectar el manejo

de datos con fines fraudulentos por parte de funcionarios del PAD (Procesamiento

automático de Datos); Garantizar la integridad de los recursos informáticos; Asegurar la

utilización adecuada de equipos acorde a planes y objetivos.

7.- Controles de uso de Microcomputadores. Es la tarea más difícil pues son equipos más

vulnerables, de fácil acceso, de fácil explotación, pero los controles que se implanten

ayudaran a garantizar la integridad y confidencialidad de la información.

18

BIBLIOGRAFÍA

1. Acha Iturmendi, J. José. Auditoría Informática en la empresa 1994

2. ISACF. Objetivos de Control para la Información y Tecnología Relacionada. COBIT-ISACF, 1998

3. ISACA. Normas Generales del Estándar de la ISACA. ISACA, 2002.

4. Ministerio de Administraciones Públicas. MAGERIT: guíade procedimientos. MAP y BOE, 2001.

5. Monografías.http://www.monografias.com/trabajos/maudisist/maudisist.s

html, Junio 2004.

6. Monografías. http://www.monografias.com/trabajos7/inaud/inaud.shtml, Mayo 2004

7. Pattini M. y Navarro E. del Peso. Auditoría informática. Un enfoque

práctico (2ª Edición). RA-MA, 2001.

8. Rincondelvago. http://html.rincondelvago.com/auditoría-de-los-sistemas- de-informacion.html, Abril 2004.

9. scorpionsistemas.

http://www.scorpionsistemas.com/htm/Networking/inicio/networking_1.ht m, Mayo 2004.

10. Weber R. Information systems control and audit. New Jersey:

Prentice Hall, 1999.