lunes, 12 de abril de 2010

RIESGOS INFORMATICOS


El riesgo se refiere a la incertidumbre o probabilidad de que una amenaza se materialice utilizando la vulnerabilidad existente de un activo o grupo de activos, generándole pérdidas o daños [1]

En esta definición pueden identificarse varios elementos que deben comprenderse para entender el concepto de riesgo

Estos elementos son:
  • Probabilidad

Se puede establecer de manera cuantitativa o cualitativa teniendo en cuenta en cada caso que posibilidades existen que la amenaza se presente independientemete del hecho que sea o no contrarrestada

  • Amenaza

Una vez que a programación y el funcionamiento de un dispositivo de almacenamiento de la información se consideren seguras , todavía deben ser tenidos en cunta la circustancias "no informaticas" que pueden afectar los datos, los cuales son amenudo imprevisibles o inevitables, de modo que la única posible es la redundancia (en el caso de los datos9 y la descentralización -por ejemplo medinate estructura de redes- 8en el caso de la comunicaciones).

Estos fenomenos pueden ser causados por:

  1. El usuario: causa del mayor poblema ligaod de la seguridad de un sistema informatico porque no le importa, no se da cuenta o próposito).
  2. progrmamas maliciosos: pogramas destinados a perjudiciar o hacer uso ílicito de los recursos del sitema. Es instaledo 8por inatención o maldad) en el ordenador abriendo ina puerta a instrusos o bien modificando datos. estos programas pueden ser un virus informatico, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware.
  3. Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido(cracker, defacer, scrpt kiddie o scrpt boy, viruxer, entre otros. )
  4. Un siniestro(robo,incendio, inundación): una mala manipulación o una malitención derivan a la pérdida del material o de los archivos.
  5. el personal interno de sitemas: Las pujas de poder que llevan a disociaciones entre los sectores y soluciones imcompatbles para la seguridad informática
  • activos:recurso del sistema de información o relacionado con este, neceario para que la organización funcione correctamente y alcance los objetivos propuestos.
  • Vulnerabiidades: son aspectos que influyen negativamente en un activo y que posibilita la materialización de una amenaza

[1]http://www.cabinas.net/informatica/analisis_riesgos_informaticos.asp

ANALISIS Y ADMINISTRACIÓN DE RIESGOS

Análisis de riesgos en el proceso de comunicación [2]

.
Vulnerabilidades o puntos debiles de la información



Una actividad centrada en la identificación de fallas de seguridad que evidencien vulnerabilidades que puedan ser aprovechadas por amenazas, provocando impactos en los negocios de la organización. El proceso de análisis busca identificar los riesgos a los cuales los activos se encuentran expuestos.

El primer paso en el análisis de riesgos es identificar los procesos de negocios de la organización en que se desea implementar o analizar el nivel de seguridad de la información. Esto permite la realización de análisis donde sea realmente necesario, en base a la relevancia del proceso de negocio, para así poder priorizar las acciones de seguridad, es decir, iniciar el trabajo de implementación de seguridad en las áreas más estratégicas que puedan traer un impacto mayor a la organización cuando se presente algún incidente. De esta forma se puede realizar un plan estratégico basado en la importancia y el impacto de las acciones que beneficien la seguridad de la información de la compañía. Surge principalmente por la necesidad de delimitar el universo de activos para ser analizados y sobre los cuales se ofrecerán las recomendaciones.

Un segundo paso considerado fundamental, consiste en identificar la relevancia de los activos determinantes para el proceso de negocio. Eso quiere decir que cada activo que constituye el proceso de negocio, debe ser considerado en una escala de valor crítico, es decir, - qué tan importante es para el negocio en comparación con el resto de los activos de la empresa - para priorizar, como ocurre en los procesos, las acciones de corrección y protección que deben ser tomadas de inmediato porque se consideran más necesarias. Se evita, de esta manera, invertir en seguridad donde no sea verdaderamente necesario, o por lo menos prioritario aplicando la relación costo-beneficio.,

Como tercer paso se debe realizar un análisis técnico de seguridad para recolectar la información sobre la forma en que los activos: fueron configurados, la estructura en la red de comunicación, y la forma en que son administrados por sus responsables.

Al realizar el estudio técnico y como cuarto paso se debe hacer un análisis de seguridad física para identificar en el entorno físico las vulnerabilidades que puedan poner en riesgo los activos que en éste se encuentran. En este punto están incluidos el factor humano responsable de la manipulación y uso de la información, las posibilidades de acceso y su correcto uso.

Una vez realizados los cuatro pasos se cuenta con la información y las herramientas necesarias para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el estado de la seguridad de su entorno en general. A partir de este momento es posible establecer políticas de orden preventivo, correctivo, y de detección para la corrección de los problemas ya detectados, que garanticen que las vulnerabilidades encontradas en el estudio no se conviertan en amenazas

. Ámbitos del análisis de riesgos.





• Es importante en toda organización cuente con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática

• Por medio de procedimientos de control se pueda evaluar el desempeño del entorno informático

• Y además garantizar aspectos como:

* Supervivencia para la organización
* Control y administración de riesgos
* Control de costos


[2]Jeimy J. Cano, Ph.D, CFE. Miembro investigador del Grupo de Estudios en Comercio Electrónico, Telecomunicaciones e Informática (GECTI), Facultad de Derecho, Universidad de los Andes. Administrando la confidencialidad de la información.

CONTROLES

Son el conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos [3]

Controles de la seguridad de la información.


[3]Monografia El Papel del Contador Público en la Invetigación, Prevención y Control de Los Delitos Informaticos. 2008.

GESTIÓN DE RIESGOS


  • Al iniciar las actividades de una empresa sus directivos o dueños deben tener en cuenta que el riesgo estará presente en todo momento de su desarrollo, debido a diferentes factores como lo son: intensos cambios del entorno, la intensificación de la competencia, las reducción de las barreras de entrada, y obviamente la parte tecnológica que va avanzando a pasos agigantados.


  • Para minimizar estos diferentes factores es que hace un tiempo se viene incorporando a las entidades la “Gestión de Riesgo", la que en nuestro país no esta implantada en todos los sectores.


  • La Gestión de Riesgos es un proceso efectuado por el Consejo de administración de una entidad, su dirección y todo su restante personal, diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos[4].

CLASES DE RIESGOS

  • Riesgos de relación: Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información para la toma de decisiones.




  • Riesgos de utilidad: Estos riesgos se enfocan en tres diferentes niveles de riesgo: · Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran.



[4]http://www.basc-costarica.com/documentos/riesgosinformatica.pdf









FRAUDES INFORMATICOS



Las redes y los computadores son ingredientes esenciales para perpetuar fraudes en las aéreas vulnerables de los sistemas



PROBLEMAS PARTICULARES QUE INFLUYEN EN LOS FRAUDES!!!


TIPOS PRINCIPALES DE FRAUDES

EJEMPLOS


lunes, 8 de marzo de 2010

ROL DEL CONTADOR PÚBLICO EN LA PREVENCIÓN DE LOS DELITOS INFORMATICOS


El Contador Publico debe:


El Contador Público en su papel de administrador de la información debe estar a la par con el uso de las tecnologías avanzadas que procesan dicha información, es así que en su rol de Revisor fiscal, Auditor Externo e Interno, etc., es responsable de la evaluación de cada uno de los procesos sistemáticos que se realizan en la organización, por esta razón el Contador Publico debe tener claro conocimiento de los sistemas de información existentes para poder evaluar y modificar si es necesario. [3]

DIAGRAMA DE CONTROL PARA EL CONTADOR PÚBLICO

domingo, 7 de marzo de 2010

BENEFICIO DE LA RED AL AUDITOR DE SISTEMAS

Para tener una comunicación adecuada con los usuarios debe establecer uan forma segura o canal formal como la red VPN, donde le permita observar la actuación del personal, en relación con los recursos y servicios informáticos de la organización.

La organización en la parte de las redes de comunicaciones de computadores es un punto de viraje bastante importante; es por ello, que el auditor tiene que tener conocimiento y posibilidad de acceso a ella

Una red privada virtual o VPN (siglas en inglés de virtual private network), es una tecnología de red que permite una extensión de la red local sobre una red pública a, como por ejemplo Internet[5]


Uno de los beneficio para el auditor de sitemas, es la posibilidad de conectarse desde su casa o sitio remoto al centro de cómputo de la empresa o tambión permite la conexión de dos o más sucursales de una empresa utilizando como vínculo el Internet

La red VPN tiene unos requerimientos básicos que son de gran ayuda al control del acceso de usuario como son:

Identificación de usuario: las VPN deben verificar la identidad de los usuarios y restringir su acceso a aquellos que no se encuentren autorizados.
Codificación de datos: los datos que se van a transmitir a través de la red pública (Internet), antes deben ser cifrados, para que así no puedan ser leídos. Esta tarea se realiza con algoritmos de cifrado como DES o 3DES que solo pueden ser leidos por el emisor y receptor.
Administración de claves: las VPN deben actualizar las claves de cifrado para los usuarios.

Permite tener ventajas en la conexión tales como:

Integridad, confidencialidad y seguridad de datos.
Las VPN reducen los costos y son sencillas de usar.
Facilita la comunicación entre dos usuarios en lugares distantes



[5]http://es.wikipedia.org/wiki/Red_privada_virtual