ANEXOS







AUDITORIA DE SISTEMAS Y FRAUDES INFORMÁTICOS

El área de sistemas en una empresa o cualquier otra entidad es de vital importancia ya que aquí se maneja información de gran valor que interesa solo a quienes la procesan por eso es importante manejarla de la forma más sutil posible para no correr peligros de pérdida de ésta que podrían causarle daños a la entidad.
Teniendo en cuenta lo anterior se procede a hablar de dos temas relevantes como lo son la auditoria en sistemas y los fraudes informáticos.

En primera instancia se puede decir que la auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de la información que se éste manejando se mantenga segura y no se corra ningún tipo de riesgos.
Además no es sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

 En la auditoria existen objetivos para realizarla ya que se deben tener fundamentos lógicos para ponerla en marcha, algunos de estos son los siguientes:
  • Buscar una mejor relación costo-beneficio de los sistemas automáticos
  • Incrementar la satisfacción de los usuarios de los sistemas computarizados
  • Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
  • Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
  • Seguridad de personal, datos, hardware, software e instalaciones
  • Minimizar existencias de riesgos en el uso de Tecnología de información
  • Decisiones de inversión y gastos innecesarios
  • Capacitación y educación sobre controles en los Sistemas de Información







TIPOS DE AUDITORIA
EXTERNA
La cual tiene esta denominación ya que las personas encargadas de ejecutarla proceden o no son empleados de la empresa y vienes de fuera a auditar.

INTERNA
Aquí los auditores son pertenecientes a la empresa u organización a la que se le va a realizar la auditoria, la cual se hace con el objetivo conocer el estado de real total del sistema operativo, verificando todos los aspectos relacionados a la adecuación de área de trabajo y evaluando sí se cumplen a cabalidad todas las normas y reglamentos establecidas.

Todo esto se hace para generar confianza en los usuarios que manejan la información y para que el sistema funcione lo mejor posible con probabilidades mínimas de pérdida de información por cualquier percance.


Consecuentemente hablamos también de los fraudes informáticos:
Podemos decir que los fraudes informáticos son un peligro latente que tienen por ejemplo las empresas con respecto a la información y los datos que manejan, ya que existen cierto tipo de personas llamadas hackers los cuales entran a las bases de datos de quienes ellos deseen violando la seguridad del sistema con la plena intención de obtener o robar información valiosa, o también a las cuentas personales de una persona para conocer puede ser sus claves de las tarjetas de créditos y saquearlas.
Actualmente con el avance de la tecnología se han ido creando muchos métodos y estrategias para llevar a cabo estos se valen de algunos como son:
·         La manipulación de transacciones.
·         Las bombas lógicas
·         El caballo de Troya
·         Técnica de salami
Estas son algunas de tantas formas que existen para poner en práctica los fraudes informáticos, por tanto se debe ser muy prevenido haciendo el cambio por ejemplo de las claves que se manejan en una empresa o las que se tienen en las cuentas, el no entregar información por medio de llamadas, hacer por ejemplo transacciones en las páginas autorizadas y no en los links que llevan muchas veces a los correos electrónicos.
En conclusión podemos afirmar que es necesario realizar periódicamente auditorías a nuestros sistemas de información y por supuesto implementar planes y métodos para disminuir el riesgo de sufrir fraudes informáticos.

Hecho por: ELIANA MANJARRES PEREZ




“VENCER  LOS FRAUDES INFORMÁTICOS” ES EL GRAN RETO DE LA AUDITORÍA DE SISTEMAS







La auditoría de sistemas se define como “El estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores”; sin embargo, las diferentes vulnerabilidades a las que se expone un servidor son incontables, puesto que cada día aparecen nuevas amenazas, lo que hace del trabajo de auditoría una tarea ardua y difícil. Entonces, resulta inevitable preguntar ¿A qué se le puede llamar fraude informático?
Pues bien, como se sabe la finalidad de la auditoría de sistemas  es presentar a los interesados los resultados obtenidos de los reportes, las observaciones de los archivos realizados y examinados en todo el proceso de supervisión, para que se tomen las medidas pertinentes que optimicen el desenvolvimiento del trabajo informático y se prevengan posibles errores que como humanos se puedan cometer; así como aquellos que se puedan ocasionar intencionalmente.
Hoy en día, el uso de los medios tecnológicos es muy frecuente, sobre todo, aquello que tenga que ver con internet, pues gran parte de la población humana trabaja, socializa, y por qué no, también vive a través de los medios tecnológicos, incluyendo la parte de educación; se podría llegar a afirmar que es una herramienta social con gran poder y que se encuentra al alcance de nuestras manos. Entonces resulta importante advertir a través de difusión masiva a toda la sociedad, acerca de los peligros fraudulentos a los que está expuesto los sistemas computarizados,  ya sea que éste se encuentre en una oficina, o en la comodidad del hogar.
Para ello, es necesario recordar que la palabra fraude hace referencia a “engaño”, que como se sabe se basa en artimañas ya sea para acceder a información confidencial; o para bloquear, eliminar, dañar, o sustraer las informaciones de un sistema computarizado. Bien se podría comparar con el narcotráfico, u otro delito que tenga que ver con la propagación  nefasta de tóxicos, que en este caso hace daño a las informaciones y al resto del sistema de un ordenador, perjudicando a los usuarios. Quizá alguien pregunte ¿Qué se gana con cometer fraude en un sistema de cómputo? Mucho se ha llegado a pensar al respecto, incluso, se cree que las mismas compañías creadoras de ordenadores, tienen que ver con los daños y delitos que comúnmente se presentan en los sistemas, para aumentar los volúmenes en ventas de sus equipos, y así enriquecerse aún más; también se dice que trabajan  en la creación de una especie de quimera o antídoto para favorecer y disminuir los grados de fraudes informáticos; también se puede decir que se cometen fraudes en las empresas para favorecer o desfavorecer intereses personales, laborales, y hasta sociales.
Ahora bien, el fraude informático, se trata de inducir a otro a hacer alguna cosa, lo cual se considera criminal y que por lo general se obtiene beneficio personal, económico, etc.,  por ello.
Se puede afirmar que las principales formas de fraudes informáticos que se cometen, son reconocidas por la introducción de datos falsos, es decir, manipular la entrada de operaciones  de tal forma que se logre introducir movimientos falsos; el caballo de Troya, cuyo objetivo principal es pasar de inadvertido; técnica del salami, que consiste en pequeñas manipulaciones que al sumarse en total, resulta un gran fraude;  puertas falsas, se basan en hacer defectos en la seguridad de los sistemas;  bombas lógicas, se refiere al sabotaje utilizando rutinas ocultas; ataques asíncronos, son aquellos fraudes que aprovechan que el sistema operativo inicie sus funciones pero en condiciones diferentes; recolección de basura, que es husmear la información residual para analizar los documentos no eliminados y que sean de interés.
Cuando se escuche los términos: SPAM( o correos electrónicos no solicitados para propósitos comercial); PHARMING (modalidad de fraude electrónico que consiste en infiltrar un programa en la computadora del usuario a través de email o cuando visita un sitio web para registrar el movimiento de las teclas y de esta forma copiar información como contraseñas, claves de tarjetas de crédito); PISHING (se conforma de mensajes de correos electrónicos para engañar y obtener respuestas de sus cuentas);  ESPIONAJE (acceso no autorizado a los sistemas de información); KEYLOGGER (tipo de troyano capaz de registrar las pulsaciones de su teclado al conectarse a determinadas páginas web por ejemplo a la de un banco). TROYANO (es un pequeño programa alojado dentro de una aplicación o archivo normal aparentemente inofensivo, pero que se utiliza para  espiar); recordemos que estos son tipos de fraudes manipulados por personas que tienen mucho conocimiento del área de trabajo informático.
Se recomienda prudencia en la manipulación de datos confidenciales, ser incrédulos a los mensajes extraños, asegurar el sistema de cómputo, reportar cualquier comportamiento diferente o mejor aún no habitual del ordenador, Manejar copias de seguridad.  
Por lo anterior, se concluye que, es necesario que el auditor de sistemas tenga conocimiento acerca de todo estos tipos de problemas para realizar un correcto análisis y las correcciones a que haya lugar sobre todo el proceso de investigación; intervenir de manera oportuna para denunciar ante las autoridades competentes cualquier tipo de fraude que atente contra la integridad, y seguridad de quienes manipulan información en sistemas, así como de aquellos delitos que perjudiquen la estabilidad económica de los usuarios.
También es necesario realizar sesiones tutoriales en las empresas,  para dar a conocer esta problemática, pues son muchos quienes no tienen idea del modo operandi en que  los fraudes informáticos actúan, esto con el propósito de advertir y prevenir errores que por ingenuidad en algunos casos perjudican no a una persona, sino a todos los que trabajan con ella. 
     

 LA AUDITORIA DE SISTEMAS Y LAS COPIAS DE SEGURIDAD

En la actualidad la información de las empresas se ha reconocido como un activo valioso y a medida que los sistemas de información apoyan cada vez más los procesos de misión crítica se requiere  contar con estrategias de alto nivel que permitan el control y administración efectiva de los datos.
Nuestra institución, los sistemas y red de información enfrentan amenazas de seguridad que incluyen, entre muchas otras:
El fraude por computadoras, espionaje, sabotaje, vandalismo, fuego, robo e inundaciones.
Las posibilidades de daño y pérdida de información por causa de código malicioso mal uso o ataques de denegación de servicio se hacen cada vez más comunes. Con la promulgación de la presente se busca concientizar una buena seguridad a la información   formalizando un compromiso con el proceso de gestión responsable de información que tiene como objetivo garantizar la integridad, confidencialidad y disponibilidad de este importante activo, teniendo como eje el cumplimiento de todos los métodos de seguridad como base una mejor auditoria de sistemas
Sabemos que toda copia de seguridad es un duplicado de nuestra información más importante, que realizamos para salvaguardar los documentos, archivos, fotos, etc., de nuestro ordenador, por si acaso ocurriese algún problema que nos impidiese acceder a los originales que tenemos en él.
Toda información que pertenezca a la matriz de activos de información  o que sea deinterés para un proceso operativo o de misión crítica debe ser respaldada por copias de seguridad  tomadas de acuerdo a los procedimientos documentados.
Dicho procedimiento debe incluir las actividades de almacenamiento de las copias en sitios seguros,  realizar pruebas controladas para asegurar que las copias de seguridad pueden ser correctamente leídas y restauradas.
Los registros de copias de seguridad deben ser guardados en una base de datos creados hasta el fin, se deben proveer las herramientas para que las dependencias puedan administrar la información y registros de copias de seguridad.
Además se debe  efectuar auditoria que permitan determinar el correcto funcionamiento de los procesos de copia de seguridad. La creación de copias de seguridad de archivos usados, custodiados o producidos por usuarios individuales tiene como responsabilidad exclusiva de estos.
En la actualidad con los procesos de Globalización que están aconteciendo en el mundo las empresas deben adoptar estándares de calidad y seguridad mayores, para poder ser más competitivos y además tener una buena seguridad de información de la empresa.
Si hay una cosa de la que nos solemos acordar demasiado tarde es, sin duda, de las copias de seguridad. Es curioso, a pesar de lo importante que son, suele ser algo que los usuarios posponen y llegan a considerar como algo secundario; de hecho, tanto se suele posponer esta tarea que si sufrimos un percance, nos es complicado recuperarnos porque perdemos información importante sin posibilidad de volverla a obtener (al menos, a corto plazo).
 Adicionalmente las empresas u organizaciones ven al área de informática como un mal necesario dentro de la organización, ya que generalmente solo representa gastos y no es palpable el retorno de inversión en informática, pero no se dan cuenta de los riesgos y peligros que se prevén con estos procedimientos.
A veces podemos perder nuestra información o cuando menos no poder acceder a ella por motivos muy diversos, como infecciones del sistema por virus y malware, fallos de hardware (cortes de corriente y picos de tensión, excesos de temperatura y daños en los dispositivos), apagados incorrectos del equipo, problemas motivados por algún programa, daños del usuario al borrar archivos por error, etc.
A la hora de seleccionar que contenido guardar en esas copias, debemos pensar siempre en el nivel de importancia de la información, es decir, que archivos personales importantes tienes en tu ordenador y cuales podría suponer un gran problema perderlos, como fotografías, documentos del trabajo, documentación personal, etc., esos, evidentemente son los que tienes que asegurar siempre.
Para terminar quiero recordar algunos tics para hacer duplicados de nuestra información:
Para agilizar y organizar mejor la tarea de hacer las copias de seguridad de nuestros archivos personales, se recomienda crear una carpeta personal para los archivos.
Copiar nuestros archivos personales, hacer una copia o imagen de todo el sistema, drivers de nuestro equipo, copias de correos electrónicos y libreta de direcciones, favoritos de nuestros navegadores, copias del programa de gestión, save, etc.
En nuestro blog guardar en Cajón desastres. Algo seguro es tener como copia de seguridad el backups.
Además las Copias de Seguridad de nuestra información, podremos guardarlas en discos secundarios y particiones de nuestro ordenador, en discos externos, llaves USB o Pen drive, Cd, DVD, etc. Copia de Seguridad en alguna unidad externa

No hay comentarios.:

Publicar un comentario

Suscribirse a: Entradas (Atom)