RIESGOS DEL USO DE AMBIENTES COMPUTARIZADOS

rea: Administracin y Sistemas Tema: Sistemas de Informacin y Gestin: Auditoria y seguridad Congreso: Econmicas, Lugar de realizacin: Sede Consejo Profesional de Ciencias Econmicas, Ciudad Autnoma de Buenos Aires, Fecha: 16-18 de Junio del 2010 18 Congreso Nacional de Profesionales en Ciencias

Cdigo de Identificacin: 5.2.2.3

PDF created with pdfFactory Pro trial version www.pdffactory.com

RIESGOS DEL USO DE AMBIENTES COMPUTARIZADOS

rea: Administracin y Sistemas Tema: Sistemas de Informacin y Gestin: Auditoria y seguridad Congreso: Congreso Nacional de Profesionales en Ciencias Econmicas, Lugar de realizacin: Sede Consejo Profesional de Ciencias Econmicas, Ciudad Autnoma de Buenos Aires, Fecha: 16-18 de Junio del 2010

PDF created with pdfFactory Pro trial version www.pdffactory.com

Resumen ...................................................................................................... 5 Ambiente computarizado............................................................................ 6 1. Introduccin .......................................................................................... 6

1.1 Definicin de ambiente computarizado .............................................. 6 1.2 Beneficios del ambiente computarizado............................................. 8 1.3 Involucramiento de la Alta Gerencia ................................................... 9 1.3.1 1.3.2 2. Normas y Procedimientos ............................................................. 9 Participacin Activa ..................................................................... 10

Control interno vs Ambientes computarizados................................ 12

2.1 CAVR.................................................................................................... 12 3. Modelo de Control Interno.................................................................. 13

3.1 COSO Report ....................................................................................... 13 3.2 Detalle de componentes del COSO Report....................................... 14 4. Controles automticos ....................................................................... 15

4.1 Caractersticas distintivas de controles automticos ..................... 15 4.2 Impacto sobre el ambiente de control............................................... 16 4.3 Efectos de una aplicacin deficiente de controles automticos .... 16 5 Auditorias aplicadas en ambientes computarizados....................... 17

5.1 Implicancias de la auditoria ............................................................... 17 5.2 Impacto del procesamiento de informacin ..................................... 17 5.3 Controles aplicados en ambientes computarizados........................ 18 5.4 Riesgos claves para el Control Interno ............................................. 19 5.5 Objetivos Compartidos....................................................................... 19 6 COBIT ................................................................................................... 20

6.1 Definicin............................................................................................. 20 6.2 reas de enfoque de COBIT............................................................... 21

PDF created with pdfFactory Pro trial version www.pdffactory.com

6.3 Integracin mediante la implementacin de COBIT......................... 23 Fraude Informtico .................................................................................... 23 1 Introduccin ........................................................................................ 23

1.1 Definicin de Fraude Informtico ...................................................... 23 1.2 Objetivo del Fraude Informtico ........................................................ 24 1.3 Causas del Fraude Informtico.......................................................... 25 2 Tcnicas comunes de Fraude Informtico........................................ 25

2.1 Pishing ................................................................................................. 25 2.2 Funcionamiento del Pishing .............................................................. 26 2.3 Pharming ............................................................................................. 26 2.4 Vishing/Smishing ................................................................................ 27 2.5 Herramientas principales para mitigar el fraude informtico.......... 27 3 Auditoria Forense ............................................................................... 28

3.1 Definicin............................................................................................. 29 3.2 Objetivos.............................................................................................. 29 3.3 Implementacin................................................................................... 29 3.4 Regulaciones relacionadas al Fraude Informtico Locales ............ 30 3.4.1 3.4.2 Banco Central de la Republica Argentina .................................. 30 Congreso Nacional de la Argentina ............................................ 30

Gestin del Riesgo .................................................................................... 31 1 Introduccin ........................................................................................ 32

1.1 Definicin de Gestin del Riesgo ...................................................... 32 1.2 Capacidades de Gestin del Riesgo ................................................. 32 1.3 Eventos Riesgos y Oportunidades.................................................... 32 1.4 Definicin de la Gestin de Riesgos Corporativos .......................... 33 2 Metodologas aplicables..................................................................... 34

2.1 COSO ERM (Enterprise Risk Management) ...................................... 34

PDF created with pdfFactory Pro trial version www.pdffactory.com

2.2 Magerit (Metodologa de anlisis y gestin del riesgo) ................... 36 2.2.1 2.2.2 Objetivos ....................................................................................... 36 Beneficios de MAGERIT............................................................... 36

CONCLUSIN............................................................................................. 37 Bibliografa................................................................................................. 40

Resumen

Los procesos administrativos aplicados por las distintas organizaciones cada vez poseen un mayor grado de participacin de los sistemas computarizados. La primera impresin del uso de los mismos es altamente positiva para los operarios finales, ya que los ayuda a realizar sus tareas rutinarias en un mayor tiempo y con una menor probabilidad de error. Pero, los riesgos de los sistemas computarizados son correctamente analizados? Todos los usuarios poseen sus permisos correctamente asignados sobre el aplicativo utilizado? La estrategia de IT se encuentra alineada con la estrategia general del negocio? La administracin y aplicacin de la seguridad informtica, es la correcta? El objetivo del trabajo desarrollado es poder contestar ests preguntas a las personas interesadas y lograr as, la concientizacin necesaria para que a la hora de automatizar los procesos administrativos claves de una

organizacin, no se cometan errores que en el corto o largo plazo, podran afectar la confiabilidad en la organizacin y en los estados contables informados a los distintos stakeholders intervinientes.

PDF created with pdfFactory Pro trial version www.pdffactory.com

Ambiente computarizado 1. Introduccin 1.1 Definicin de ambiente computarizado1 Cuando una organizacin procesa su informacin de negocio y/o contable, total o parcialmente, mediante el uso de sistemas computarizados, debe entenderse que el mbito en donde se realizan dichas operaciones es el denominado mbito Computarizado: Los aspectos considerados relevantes para definir el ambiente

computarizado son: 1. Planificacin del rea de Sistemas a. Existencia de un plan de sistemas a corto y largo plazo debidamente formalizado y aprobado. Debe estar integrado a los objetivos del negocio y comunicado en forma tota. 2. Organizacin del rea de sistemas a. Estructura integral cubriendo todas las reas claves, con la descripcin de misiones y funciones para cada puesto con responsabilidad en la organizacin. 3. Definicin de polticas y procedimientos a. Definicin y publicacin de las normas y procedimientos que hacen al rea de sistemas (Cambios a programas, seguridad informtica, procesos de backups, etc.) 4. Datos: Es el componente principal de los ambientes computarizados, ya que de la calidad de estos, depende la calidad de la informacin que se procese y se genere. La principal consideracin es el acceso a los mismos por personal

Cansler,L , Elissondo, L. Godoy, L. Rivas, R, Auditoria en Ambientes Computarizados, Noviembre 2004

PDF created with pdfFactory Pro trial version www.pdffactory.com

autorizado, debido a que si no son correcta protegidos, pueden ser alterados y modificar los estados financieros de la organizacin 5. Control en el ingreso de los datos: Los sistemas de gestin y administracin deben contemplar la

funcionalidad de control de datos al comienzo de cada operacin, ya sea a travs de la validez de los datos como de la integridad de los mismos en relacin al conjunto de datos que se deben completar previos a la ejecucin de la operacin. 6. Procesamiento de los datos: a. Los archivos maestros son adecuadamente actualizados por la informacin ingresada. Del mismo modo, se depuran los datos para evitar la permanencia de aquellos errneos o sin valor, que puedan afectar la calidad de la informacin. b. Las funciones de procesamiento son realizadas por las personas autorizadas a ello. c. Existe un registro o log de las transacciones crticas que se realizan y el mismo es revisado peridicamente. 7. Infraestructura Tecnolgica: Comprende el hardware (equipos de computacin), dispositivos de comunicaciones, sistemas operativos, sistemas de bases de datos, instalaciones, y dems componentes necesarios para poder llevar a cabo el procesamiento de los sistemas de informacin (SIC) .Es necesario que: El uso de estos debe estar planificado y coordinado en conjunto con el Plan de Sistemas. 8. Seguridad y Continuidad de las operaciones: Tanto las mejores prcticas de auditora como las resoluciones de las leyes que soportan el procesamiento de la informacin, exigen que las organizaciones posean un Plan de Continuidad de Negocio (PCN) y la

PDF created with pdfFactory Pro trial version www.pdffactory.com

seguridad de usuarios y perfiles, correctamente establecida y monitoreada. El objetivo es permitir la continuidad de la empresa en marcha ante posibles fallas en los sistemas principales. 9. Actividades de Monitoreo de los Sistemas de Informacin. Es recomendable que: Exista un rea que se encargue de monitorear las actividades realizadas en el ambiente computarizado. Los hallazgos sean comunicados oportunamente a los niveles directivos. Se realice un seguimiento adecuado y oportuno de las medidas correctivas que la organizacin haya instrumentado. 1.2 Beneficios del ambiente computarizado2 Las organizaciones se encuentran procesando informacin constantemente con riesgos latentes de producirse. Los riesgos podran ser: Por fallas humanas Fraudes internos o externos Robo de informacin por personal interno

Del mismo modo, los controles pueden clasificarse, segn la oportunidad de deteccin del riesgo en: Preventivos (son comunes en organizaciones que poseen sus procesos sistematizados) Detectivos (son comunes en organizaciones cuyos controles claves son realizados de forma manual) Pasamos a detallar un grfico explicativo:

IT Governance Institute COBIT 4.1 - 2007

PDF created with pdfFactory Pro trial version www.pdffactory.com

Estn expuestos a

ACTIVOS

Interesan por su
AMENAZAS VALOR

Causan un cierto
IMPACTO

REDUCEN

Con una cierta

PROBABILIDAD

CONTROLES

RIESGO RESIDUAL L

1.3 Involucramiento de la Alta Gerencia 1.3.1 Normas y Procedimientos La aplicacin de un ambiente computarizado y la respectiva asociacin al modelo de control interno utilizado por la organizacin, exige un desarrollo

PDF created with pdfFactory Pro trial version www.pdffactory.com

de normas y procedimientos que estandarice las tareas rutinarias de los usuarios finales. Para realizar lo mismo, la organizacin deber desarrollar: Misiones y funciones de cada puesto en particular de la organizacin Procedimientos formales y estndares para la ejecucin de actividades especificas Metodologas especificas y apropiadas para el desarrollo y mantenimiento de aplicaciones y/o la adquisicin de nuevos software Documentos formales sobre el formato y contenido de la

documentacin respaldatoria de las operaciones criticas 1.3.2 Participacin Activa3 Es necesario que el nivel directivo de una organizacin promueva medidas efectivas y oportunamente encaminadas a tratar las cuestiones que hacen a la Alta Gerencia, como ser planificacin de estrategia, recursos necesarios, definicin de la estructura de TI segn necesidades, etc. Por consiguiente, la direccin y la administracin ejecutiva deben extender su manejo al rea de TI y proporcionar el liderazgo, procesos y estructuras de la organizacin para asegurar que el ambiente computarizado sustente y ample los objetivos y las estrategias de la organizacin. El manejo de la TI no es una disciplina aislada, sino que debe convertirse en parte integral del manejo total de una empresa; es decir; la TI necesita adoptarse como parte integral de la empresa, en lugar de concebirse como algo que se prctica en un rincn aislado o como simple teora. Si bien algunos han tenido xito, en muchas organizaciones las expectativas y la realidad con frecuencia no van de la mano. Las direcciones a menudo se enfrentan a:

Solano, M III Foro Regional de Tecnologa Auditoria en Sistemas- Por qu es importante que su entidad realice auditora en sistemas Deloitte, Marzo 2008

PDF created with pdfFactory Pro trial version www.pdffactory.com

i.

El fracaso de las iniciativas de la TI en producir los beneficios y la innovacin que prometan

ii. iii.

Tecnologa inadecuada u obsoleta Plazos incumplidos y presupuestos excedidos

Las direcciones que ejercen un manejo adecuado de la TI a menudo descubren y atienden los problemas con anticipacin al simplemente hacerse las siguientes preguntas: Qu tan importante es la TI para mantener a la organizacin? Cul es la trascendencia para el crecimiento de la compaa? Qu tan crticos son los riesgos inherentes al negocio de la organizacin? El costo de mitigarlos, justifica los medios a utilizar? La TI es un tema regular en el programa de la direccin y se atiende de manera estructurada? El nivel de los informes del director de mayor rango de la TI corresponde a la importancia que tiene la misma en la organizacin? La importancia otorgada a un buen ambiente de control interno soportado por ambientes computarizados, se debe a las siguientes necesidades de negocio, provenientes de los ms altos cargos de las organizaciones:
Eliminar redundancia y

Nuevas Regulaciones

Mejoras en la eficiencia y en la consistencia

INCREMENTO DE LA DEMANDA Presin competitiva DE TECNOLOGIA Incremento de expectativas de los Stakeholders

Incremento en la transparencia y rendicin de cuentas

PDF created with pdfFactory Pro trial version www.pdffactory.com

2. Control interno vs Ambientes computarizados4 2.1 CAVR El procesar la informacin bajo el soporte de sistemas aplicativos, facilita el cumplimiento de los siguientes objetivos de procesamiento de la informacin: OBJETIVO DESCRIPCIN C A V R Completitud de la informacin Exactitud de los datos procesados Validez de la informacin Acceso restringido de los usuarios finales a la informacin procesada Definicin de Control Interno El control interno se define como un proceso efectuado por la direccin, la gerencia y otros miembros de una organizacin, destinado a proporcionar una seguridad razonable, en cuanto al logro de objetivos, en los siguientes aspectos: ASPECTOS CLAVES DEL CONTROL INTERNO CONTROL INTERNO Efectividad y eficiencia de las operaciones Confiabilidad contable Cumplimiento de las leyes y normas aplicables Los conceptos fundamentales para completar una definicin del Control Interno son: CONCEPTOS CLAVES DEL CONTROL INTERNO CONTROL INTERNO Es un proceso para alcanzar un fin Es implementado por personas, no es solo definir polticas y procedimientos de la informacin administrativa y

Committee Spnsoring Organizations of the Treadway Commission COSO REPORT 2004

PDF created with pdfFactory Pro trial version www.pdffactory.com

Colabora a mejorar o robustecer la seguridad de las operaciones, pero no es total El fin del Control Interno es facilitar el logro de los objetivos organizacionales. 3. Modelo de Control Interno5 3.1 COSO Report El modelo utilizado por excelencia es el denominado COSO, cuyas siglas hacen referencia al Comitee of Sponsoring Organizations, formado por: 1. 2. 3. 4. 5. American Accounting Association (AAA) American Institute of Certified Public Accountants (AICPA) Financial Executives Internacional (FEI) Institute of Internal Auditors (IIA) Institute of Management Accountants (IMA)

El objetivo principal de este modelo es colaborar en la mejora del control de actividades, estableciendo un marco de control de sus actividades, estableciendo una definicin comn entre el control interno y la identificacin de sus componentes. Bajo el paradigma de la implementacin del modelo COSO, las organizaciones tuvieron que incorporar el concepto de Gestin del Riesgo, entendindose como un proceso, de aplicacin por directores, gerentes y resto del personal, destinado a establecer las estrategias de toda la empresa, diseado para identificar eventos potenciales que pudieran daar a la entidad, y administrar los riesgos para que se encuentren dentro de los lmites de su disposicin al riesgo, con el fin de proporcionar una razonable seguridad respecto al logro de los objetivos de la organizacin.

Committee Spnsoring Organizations of the Treadway Commission COSO REPORT 2004

PDF created with pdfFactory Pro trial version www.pdffactory.com

Pasamos a detallar los componentes del COSO y los objetivos de la Gestin del Riesgo

3.2 Detalle de componentes del COSO Report Los componentes del COSO Report se detallan a continuacin: COMPONENTE S COSO Supervisin Toda gestin del riesgo debe ser supervisada por personal idneo y con experiencia. La misma puede aplicarse en tiempo real o a posteriori de los hechos. Siendo la primera, la ms recomendada. Informacin y Comunicacin La informacin, tanto interna como externa, debe ser identificada, captada y comunicada en tiempo y forma para poder as evaluar los riesgos y tomar las medidas correspondientes. Actividades de Son las polticas, normas y procedimientos establecidos Control por las organizaciones para asegurar la estandarizacin de tareas de los empleados, y que ante eventuales riesgos, cualquier empleado sepa actuar en tiempo y forma. Evaluacin de los Riesgos Son herramientas que se utilizan para que cada organizacin pueda reconocer sus riesgos, para que en el momento de detectar alguno de estos, los pueda analizar y tratar para mitigar sus impactos. DESCRIPCIN COSO

PDF created with pdfFactory Pro trial version www.pdffactory.com

Entorno de Control

Hace referencia a la cultura generalizada de la empresa con respecto a los mecanismos de control utilizados diariamente. Se toma en cuenta conceptos como ser: integridad de las personas, valores ticos, filosofa de gestin, reconocimiento y motivacin al persona, etc.

4. Controles automticos 4.1 Caractersticas distintivas de controles automticos La aplicacin de controles automticos permite robustecer las evidencias llamadas de auditoria que podran asegurar el correcto procesamiento de la informacin, por la persona adecuada, en tiempo y forma solicitada. Las principales caractersticas de los controles automticos se detallan a continuacin: CARACTERISTICA DESCRIPCIN En la actualidad, el 99% de los aplicativos posee la funcionalidad Log de auditoria del resguardo de las operaciones

realizadas durante el da, conteniendo los siguientes datos: Fecha y Hora, Usuario creador, Usuario

Autorizador, Monto de la operacin, Acciones realizadas (Delete, Modify, Created, etc) Al ser controles automticos, la evidencia de resguardo Evidencia Documental sera electrnica y no fsica. Del mismo modo, con una sola copia de la evidencia es suficiente, y no es necesario una muestra de XX cantidad de casos, usados para validar controles manuales. Intervencin humana Al ser procesamiento automtico, se disminuye la intervencin humana, por ende, la posibilidad de error involuntario es menor. Al Recupero de informacin realizar el procesamiento bajo ambiente

computarizado, y el resguardo en memorias o backups, el recupero y en consiguiente, el reprocesamiento de la informacin es mayor.

PDF created with pdfFactory Pro trial version www.pdffactory.com

Al necesitarse menor volumen de evidencia de auditora, Disminucin de uso de papeles de realizar procesamiento automtico e ingreso de informacin directa, disminuye el uso de papeles y colabora en la disminucin de la contaminacin. 4.2 Impacto sobre el ambiente de control La constante evolucin de los negocios, ya sea por globalizacin o por necesidades de mercados internos, hace que la administracin de las operaciones sea cada vez ms compleja y que las tareas operativas manuales ya no sean suficientes para garantizar la confiabilidad de los estados financieros de cada organizacin. Las transformaciones producidas sobre los ambientes operativos de las organizaciones son: Informacin globalizada, intercambiada sin limitaciones de tiempo, Dependencia de la informacin y de los sistemas que la proveen El aumento de la vulnerabilidad de las estructuras y la amplitud de las amenazas El costo de las inversiones en los sistemas de informacin La manera en que las tecnologas influyen en las organizaciones

Ante este panorama es necesario comprender y manejar las tcnicas para la identificacin y evaluacin de los riesgos que surgen como consecuencia de los cambios tecnolgicos. Con respecto a los recursos, se debe optimizar el uso de aquellos que las organizaciones disponen, incluyendo las personas, instalaciones,

tecnologa, sistemas de aplicacin y datos. Para el logro de este objetivo, es necesario establecer un sistema adecuado de control interno, el que debe brindar soporte a los procesos de negocio, definiendo cmo cada actividad de control afecta a los recursos y satisface los requerimientos de informacin. 4.3 Efectos de una aplicacin deficiente de controles

automticos Una deficiente administracin de controles automticos, podra generar:

PDF created with pdfFactory Pro trial version www.pdffactory.com

EFECTO Operaciones procesadas

DESCRIPCIN mal Las fallas en los sistemas de informacin pueden alterar significativamente los montos operados, impactando errneamente en la contabilidad de la organizacin

Segregacin funciones

de La mala asignacin de perfiles de usuarios, tanto para las tareas administrativas como contables, podra debilitar el ambiente de control interno

Concentracin informacin

de La

concentracin

de

informacin

critica

ocasionara mayor vulnerabilidad ante ataques a esa base de datos o aplicativo critico

5 Auditorias aplicadas en ambientes computarizados 5.1 Implicancias de la auditoria El uso de computadoras puede, y efectivamente produce cambios significativos en el ingreso, procesamiento, almacenamiento y comunicacin de la informacin contable y, por tal razn, tener efecto sobre los sistemas de contabilidad y control interno, empleados por la organizacin. Un ambiente SIC puede afectar: - Los procedimientos seguidos por el auditor para obtener una comprensin suficiente de los sistemas de contabilidad y control interno. - La consideracin del riesgo inherente y del riesgo de control a travs de la cual el auditor llega a la evaluacin del riesgo, y - El diseo y desarrollo de pruebas de control y procedimientos sustantivos apropiados para cumplir con el objetivo de la auditora. 5.2 Impacto del procesamiento de informacin La importancia y complejidad del procesamiento realizado por medio de computadoras, tiene que ver con la significacin de las afirmaciones de los estados contables que se encuentran vinculados al referido proceso, y el grado de complejidad tiene que ver con cuestiones como las que se detallan

PDF created with pdfFactory Pro trial version www.pdffactory.com

a continuacin. Ambas circunstancias determinan el impacto que produce este ambiente. Alto porcentaje de procesos computarizados sustanciales de la organizacin que generan informacin para los estados contables. Alto volumen de transacciones que impide la adecuada identificacin y control de los errores de procesamiento a travs de aplicacin de tcnicas tradicionales. Existencia de reas de desarrollo de nuevos sistemas y mantenimiento de los existentes. Cambios continuos en los sistemas de informacin, esencialmente originados en nuevas demandas de los distintos sectores de la organizacin. Operaciones de negocio implementadas a travs del uso de aplicaciones va WEB (por Internet o por redes privadas Intranet/extranet-), que implican una fuerte interaccin con clientes y proveedores. Utilizacin intensiva de sistemas de informacin computarizados (SIC) para asistir la toma de decisiones (sistemas de informacin gerenciales, sistemas de soporte a las decisiones, herramientas de anlisis de datos para la revisin de la toma de decisiones u otros programas de estas caractersticas). Grado de descentralizacin importante de las actividades de SIC. Alta proporcin de procesos sustanciales de la organizacin que se encuentran tercerizados. 5.3 Controles aplicados en ambientes computarizados Los procedimientos de controles a instrumentar en ambientes de SIC, pueden ser clasificados en Controles Generales y Controles de las Aplicaciones. Los Controles Generales son aquellos que se ocupan de todo cuanto incide en la totalidad del ambiente y no es especfico de las Aplicaciones (controles programados). Los Controles Generales proponen el

PDF created with pdfFactory Pro trial version www.pdffactory.com

establecimiento de estndares para controlar el diseo, seguridad y uso de los programas de cmputo y la seguridad de los archivos de datos en toda la institucin. Los Controles de Aplicacin son controles especficos nicos para cada aplicacin computarizada, como nmina, cuentas por cobrar y

procesamientos de pedidos. Consisten en controles aplicados desde el rea funcional de usuarios de un sistema en particular o de procedimientos previamente programados. Ms concretamente aplicaciones que se refieran a las actividades propias del negocio donde se utilizan. Estos controles se instrumentan a travs de una serie de procedimientos, que se tratan en los puntos que se irn desarrollando seguidamente. 5.4 Riesgos claves para el Control Interno6 Los principales riesgos a mitigar por el correcto funcionamiento del Control Interno y a validar por las distintas auditorias son: RIESGO FRAUDE IMPLICANCIAS Perdidas de beneficios. Daos a la imagen de la organizacin INTERRUPCIN DEL NEGOCIO ERRORES Perdidas de operaciones, beneficios y de competitividad y marketing Decisiones equivocadas por saldos contables errneos. CLIENTES INSATISFECHOS Perdida de cartera de clientes, producto de la no renovacin de cuentas/productos o

desafectacin del servicio por descontento.

5.5 Objetivos Compartidos

IT Governance Institute - COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition:

PDF created with pdfFactory Pro trial version www.pdffactory.com

El objetivo buscado tanto por las auditorias, ya sean internas o externas y por la aplicacin de un ambiente computarizado por parte de la organizacin, es el mismo: Definir el grado de confianza sobre los reportes financieros emitidos y publicados por la organizacin, de inters tanto para los STAKEHOLDERS actuales (Accionistas, Directores, Gerentes, Empleados, Proveedores, Acreedores, Clientes, Gobierno, etc) como para futuros. Bajo esta premisa, los objetivos de control buscados para dar confianza sobre el sistema contable utilizado en la organizacin son: - que las transacciones se realicen de acuerdo a la autorizacin, general o especfica, de la direccin; - que todas las transacciones y hechos se registren con prontitud por el importe correcto, en la cuenta adecuada y en el perodo en que han tenido lugar, de modo que sea posible la preparacin de los estados contables en el marco de un conjunto completo de principios contables generalmente aceptados y adecuadamente identificados; - que el acceso a los activos y registros slo se permita con autorizacin de la direccin, utilizando para ello los recursos de hardware y de software disponibles de la forma ms adecuada, y - que los saldos de los activos se comparen con la existencia real de los mismos a intervalos razonables, y se tomen las medidas oportunas cuando se detecten diferencias. Mencionada la importancia del correcto funcionamiento del ambiente de control computarizado, hacemos mencin a un grfico representativo de la ubicacin del rea de TI en base a la importancia en la organizacin estndar actual. 6 COBIT7 6.1 Definicin

IT Governance Institute COBIT 4.1 - 2007

PDF created with pdfFactory Pro trial version www.pdffactory.com

Los Objetivos de Control para la Informacin y la Tecnologa relacionada (COBIT) brindan buenas prcticas a travs de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lgica. Las buenas prcticas de estn enfocadas fuertemente en el control y menos en la ejecucin. Estas prcticas ayudarn a optimizar las inversiones habilitadas por TI, asegurarn la entrega del servicio y brindarn una medida contra la cual juzgar cuando las cosas no vayan bien. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera: Estableciendo un vnculo con los requerimientos del negocio Organizando las actividades de TI en un modelo de procesos generalmente aceptado Definiendo los objetivos de control gerenciales a ser considerados La orientacin al negocio que enfoca COBIT consiste en alinear las metas de negocio con las metas de TI, brindando mtricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los dueos de los procesos de negocio y de TI. 6.2 reas de enfoque de COBIT COBIT da soporte al gobierno de TI al brindar un marco de trabajo que garantiza que: TI est alineada con el negocio TI habilita al negocio y maximiza los beneficios Los recursos de TI se usan de manera responsable Los riesgos de TI se administran apropiadamente La medicin del desempeo es esencial para el gobierno de TI. COBIT le da soporte e incluye el establecimiento y el monitoreo de objetivos que se puedan medir, referentes a lo que los procesos de TI requieren generar (resultado del proceso) y cmo lo generan (capacidad y desempeo del proceso). Muchos estudios han identificado que la falta de transparencia en los costos, valor y riesgos de TI, es uno de los ms importantes impulsores

PDF created with pdfFactory Pro trial version www.pdffactory.com

para el gobierno de TI. Mientras las otras reas consideradas contribuyen, la transparencia se logra de forma principal por medio de la medicin del desempeo. La implantacin de las mejores prcticas debe ser consistente con el gobierno y el marco de control de la empresa, debe ser apropiada para la organizacin, y debe estar integrada con otros mtodos y prcticas que se utilicen. Los estndares y las mejores prcticas no son una panacea y su efectividad depende de cmo hayan sido implementados en realidad y de cmo se mantengan actualizados. Son ms tiles cuando se aplican como un conjunto de principios y como un punto de partida para adaptar procedimientos especficos. La gerencia y el equipo deben entender qu hacer, cmo hacerlo y porqu es importante hacerlo para garantizar que se utilicen las prcticas. Para lograr la alineacin de las mejores prcticas con los requerimientos del negocio, se recomienda que COBIT se utilice al ms alto nivel, brindando as un marco de control general basado en un modelo de procesos de TI que debe ser aplicable en general a toda empresa. Las prcticas y los estndares especficos que cubren reas discretas, se pueden equiparar con el marco de trabajo de COBIT, brindando as una jerarqua de materiales gua. COBIT resulta de inters a distintos usuarios: Direccin ejecutiva Para obtener valor de las inversiones y para balancear las inversiones en riesgo y control en un ambiente de TI con frecuencia impredecible Gerencia del negocioPara obtener certidumbre sobre la administracin y control de los servicios de TI, proporcionados internamente o por terceros Gerencia de TIPara proporcionar los servicios de TI que el negocio requiere para dar soporte a la estrategia del negocio de una forma controlada y administrada AuditoresPara respaldar sus opiniones y/o para proporcionar asesora a la gerencia sobre controles internos

PDF created with pdfFactory Pro trial version www.pdffactory.com

6.3 Integracin mediante la implementacin de COBIT COBIT asume que el diseo e implementacin de los controles de aplicacin automatizados (ver seccin 5.3 Controles aplicados en ambientes computarizados, de esta misma seccin) son responsabilidad de TI, y estn cubiertos en el dominio de Adquirir e Implementar, con base en los requerimientos de negocio definidos, usando los criterios de informacin de COBIT. La responsabilidad operativa de administrar y controlar los controles de aplicacin no es de TI, sino del dueo del proceso de negocio. Por lo tanto, la responsabilidad de los controles de aplicacin es una responsabilidad conjunta, fin a fin, entre el negocio y TI, pero la naturaleza de la responsabilidad cambia de la siguiente manera: RESPONSABLE EMPRESA Tecnologa de la Informacin (TI) TAREAS A DESARROLLAR Definir apropiadamente los requisitos funcionales y de control Uso adecuado de los servicios automatizados Automatizar e implementar los requisitos de las funciones de negocio y de control Establecer controles para mantener la integridad de controles de aplicacin

Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de TI, pero slo los aspectos de desarrollo de los controles de aplicacin; la responsabilidad de definir y el uso operativo es de la empresa. Fraude Informtico 1 Introduccin 1.1 Definicin de Fraude Informtico Se considera Fraude Informtico a todo hecho delictivo realizado bajo el uso de elementos informticos, o vulnerando los derechos de un titular de un derecho informtico, como ser hardware o software. Los ejemplos ms comunes de fraude se detallan a continuacin:

PDF created with pdfFactory Pro trial version www.pdffactory.com

Robos, fraudes Alteracin

hurtos,

estafas

Dbil funciones

segregacin

de

de

programas

Sabotaje informtico

fuentes actuales Interceptacin comunicaciones de Violacin lgica de a la seguridad de

terminales

autoservicios/cajeros automticos, etc

1.2 Objetivo del Fraude Informtico En la era de la informacin, lo ms importante no es el dinero sino la informacin personal, como ser: - Telfonos - Nmeros de documentos - Tarjetas de crdito - Correo electrnicos La principal compaera del Fraude Informtico es la Ingeniera Social. Si usted es un usuario final, con poco conocimiento de la informtica, estar pensando: Si la ingeniera se relaciona con la construccin, desarrollo, innovacin, que tendr que ver con el fraude informtico? La misma definicin de ingeniera describe la relacin: para realizar un fraude informtico se necesita mucha creatividad, innovacin y capacidad de desarrollo, pero el concepto de sociedad es porque sin la ayuda, involuntaria o voluntaria, el fraude informtico no podra desarrollarse. Generalmente, las personas no se dan cuenta del riesgo que tiene abrir un email Spam (email enviado a muchas personas en una misma cadena con informacin variada) o incluirse en esa cadena de emails y reenvirselo a todos sus contactos.

PDF created with pdfFactory Pro trial version www.pdffactory.com

Estos spam dan la posibilidad de obtener una gran cantidad de direcciones de emails que luego podrn ser alteradas mediante el archivo de extensin cookie (archivo que permanece dentro del disco de la PC por haber accedido al mail o al sitio web) almacenado en el interior de la PC del usuario final. 1.3 Causas del Fraude Informtico Las principales causas pueden provenir, tanto por motivos individuales (personal interno de la organizacin o personal externo mal intencionado) como tambin por debilidades en el control interno de la organizacin en cuestin. Las causas ms repetitivas en la Argentina son: Causas corporativas (controles y cultura) Insuficientes controles Poco compromiso con la organizacin Posibilidad de usar la autoridad para saltear controles Gran cantidad de personas del staff en anonimato

Motivos Individuales Incentivos financieros / codicia Mantenimiento de un nivel de vida insostenible segn el ingreso salarial Negacin de las consecuencias financieras del acto fraudulento Decepciones en la carrera laboral Proyeccin de ser despedido

2 Tcnicas comunes de Fraude Informtico8 2.1 Pishing El phishing es una TCNICA de Ingeniera Social cuyo principal propsito es obtener datos personales e informacin sensible y confidencial de los

www.Belt.ES Tcnicas de Fraude Informtico 1 de Abril del 2009

Falduto, F - www.Perfil.com Tecnologa _que es el pishing o fraude informatico 5 de Noviembre del 2008

PDF created with pdfFactory Pro trial version www.pdffactory.com

usuarios (nombres de usuario y contraseas, PIN, nmeros de tarjetas de crdito, etc) que luego sern utilizados con finalidades delictivas como el fraude o la estafa. 2.2 Funcionamiento del Pishing Generalmente, el uso de correos electrnicos no deseados (spam), que supuestamente provienen de entidades financieras de las cuales el usuario posee cuenta activo, es la puerta principal al Pishing. La forma de funcionar es muy fcil y muy atractiva para el usuario final: un link en el cuerpo del email, direccionndolo al supuesto sitio del oferente y en realidad es un sitio fantasma que sirve para almacenar los datos en una base de datos corrupta. Una vez ingresados los datos, estos quedan en poder de los estafadores cibernticos. Tambin puede ser que al hacer click en el link, se inicie la descarga de un virus (o cdigo malicioso) que, al ser ejecutado, desplegar sus instrucciones dainas modificando ciertos archivos y funcionalidades del sistema operativo para causar el mismo efecto que en el caso anterior. 2.3 Pharming El pharming es una nueva amenaza, ms sofisticada y peligrosa, que consiste en manipular las direcciones DNS (Domain Name Server) que utiliza el usuario. Los servidores DNS son los encargados de conducir a los usuarios a la pgina que desean ver. Pero a travs de esta accin, los ladrones de datos consiguen que las pginas visitadas no se correspondan con las autnticas, sobre sino con otras creadas con para la recabar banca datos online.

confidenciales,

todo

relacionados

Para prevenir los ataques provenientes de dicha tcnica, los expertos recomiendan el uso de las siguientes herramientas: Herramienta Software Antimalware Descripcin Combinacin de sistemas de deteccin proactivos y reactivos, ya que se adelantan a las posibles amenazas y las bloquean

PDF created with pdfFactory Pro trial version www.pdffactory.com

Con esta precaucin se evita que un hacker pueda Firewall Personal entrar en el ordenador a travs de un puerto de comunicaciones sistema. Actualizacin automtica Mantener activa la funcin de actualizaciones automticas de los antivirus para poseer protegida la PC de posibles nuevas amenazas. desprotegido, y modificar el

2.4 Vishing/Smishing Tanto el Vishing como el Smishing son modalidades de estafa basadas en el uso del pishing, cuyo objetivo es el robo de identidad. El robo se focaliza en obtener contraseas o dems datos que permitan acceder a cuentas bancarias, informacin de cuentas u otros datos personales por medio de engaos. delictivo: Uso de emails simulando ser de un banco en particular y con VISHING un telfono de contacto. Cuando el usuario se comunica con el banco, mediante una serie de opciones, los delictivos toman posesin de su cuenta y contrasea. Se basa en enviar spam a los telfonos mviles a travs de mensajes de texto, invitando a los usuarios por ejemplo al Nuevo Sistema de Gestin del Banco. El mensaje pide o que se comunique por telfono o bien que enve un mensaje de SMISHING texto con una palabra clave, que luego ellos utilizarn para volver a ponerse en contacto telefnicamente con esa persona y utilizar tcnicas para hacerse pasar por empleados del banco, pedirle y obtener los datos de la persona sin que ella en realidad quiera drselos. 2.5 Herramientas principales para mitigar el fraude informtico9 La principal herramienta que utilizan hoy las compaas/entidades financieras es la aplicacin del control interno en todas sus reas de La diferencia entre ambos es la materializacin del hecho

Rubio, S Taich, D, Prevencin e Investigacin de Fraudes en la Organizacin PwC, 19 de Marzo del 2009

PDF created with pdfFactory Pro trial version www.pdffactory.com

negocio. Como as tambin la estandarizacin de los procesos, mediante manuales, polticas y procedimientos y una herramienta muy utilizada en el comienzo de los pasos en una empresa, que son los cdigos de conducta y tica que detallan que cosas puede hacer una persona y la importancia de la confidencialidad de los datos y el correcto uso de las herramientas brindadas por la compaa. Otra de las herramientas implementadas es el control de acceso y privacidad de la informacin, en donde el papel del rea de seguridad informtica es crucial, ya que los accesos y los permisos de usuarios sobre la informacin critica de la compaa/entidad financiera son establecidos por estos ya que son los ms idneos para realizarlo. Ms all de estas herramientas tericas, los principales medios de deteccin de fraude son mediante denuncias de: - Clientes. - Empleados, - Proveedores Dada esta situacin, muchas compaas han establecido una lnea telefnica de denuncias de fraudes, con la que consiguieron disminuir en un 40% los costos por fraudes informticos. La gran utilidad de este mtodo se debe al anonimato de la persona que realiza la denuncia del fraude en cuestin. No obstante esto, segn encuesta Asociacin de Examinadores de Fraudes Certificados, en la actualidad el 7% de prdidas en la facturacin de las compaas proviene de Fraudes Informticos, lo que en la Argentina representara $28.000 millones de pesos de prdidas anuales por fraude. 3 Auditoria Forense10

10

Rubio, S Taich, D, Prevencin e Investigacin de Fraudes en la Organizacin PwC, 19 de Marzo del 2009

PDF created with pdfFactory Pro trial version www.pdffactory.com

3.1 Definicin Es un conjunto de tcnicas efectivas para la prevencin e identificacin de actos irregulares de fraude y corrupcin. Este tipo de auditoras son de investigacin, ya que los auditores forenses requieren ciertos conocimientos especficos, como ser: Criminal, Legales, Tcnicas de entrevistas y de investigacin. 3.2 Objetivos Su principal objetivo es realizar un anlisis especfico, con miras a ser utilizado con fuerza probatoria en una posible instancia legal. Se trata de una herramienta fundamental a la hora de analizar denuncias de fraudes dentro de una compaa, permitiendo a los abogados incluir esta informacin precisa en sus denuncias y/o alegatos. Es facilitadora para determinar la existencia del fraude, la materialidad del mismo, identificar a las personas involucradas, detectar los controles y procedimientos que fueron evadidos para perpetrarlo, y proveer soporte en caso que fuera necesario disear una estrategia de control de daos. Adems, aporta valiosa informacin para que la empresa contine operando y desarrolle medidas preventivas para evitar repeticin de hechos. 3.3 Implementacin La iniciativa de implementar una auditoria forense en conjunto con el rea de legales es para delinear estrategias y escenarios, definiendo el impacto que puedan tener las pruebas en fueros laborales y/o penales. Existen distintos marcos regulatorios para las tecnologas de la informacin: GENERAL ENTIDADES FINANCIERAS BOLSA NEW YORK Ley de Habeas Data Ley de Firma Digital Ley de delitos informticos Proteccin de propiedad intelectual BCRA (Com. A 4609) BASILEA II 2010 Sarbanes - Oxley

PDF created with pdfFactory Pro trial version www.pdffactory.com

3.4 Regulaciones relacionadas al Fraude Informtico Locales11 3.4.1 Banco Central de la Republica Argentina El Banco Central de la Republica Argentina (BCRA) durante el ao 2006 emiti la comunicacin A 4609 sobre registros de seguridad y pistas de auditora. Esta comunicacin se refiere especficamente a las normas sobre requisitos mnimos de gestin, implementacin y control de los riesgos relacionados con tecnologa informtica y sistemas de informacin. Asimismo, existe el apartado 8.2, en donde se detalla especficamente que todos los sistemas aplicativos deben generar registros de auditora que contengan mnimamente las actividades de los usuarios, las tareas realizadas, las funciones monetarias y no monetarias utilizadas Adicionalmente, el 14 de Abril del ao 2008, la misma entidad emiti la comunicacin A 4793, relacionada a la Gestin del Riesgo Operacional en entidades financieras, que en el apartado relacionado a Eventos de Perdidas, hace mencin a las precauciones que deben contemplar las distintas entidades relacionadas al riesgo de fraude informtico. Las precauciones son: Informacin falsa sobre posiciones (propias o de Fraude Interno clientes), robos por parte de empleados, utilizacin de informacin confidencial en beneficio de empleados, etc. Fraude Externo Prcticas con Robos, falsificacin, daos por intromisin en los sistemas informticos, etc. Abuso de informacin confidencial, negociaciones

clientes, productos y fraudulentas en las cuentas de la entidad, lavado negocios de dinero, etc. 3.4.2 Congreso Nacional de la Argentina12

11

Banco Central de la Repblica Argentina- Comunicacin A 4609 y Comunicacin A 4793, ao 2006 y 2008 respectivamente.
12

Congreso Nacional de la Argentina Ley 26328 4 de Julio 2008

PDF created with pdfFactory Pro trial version www.pdffactory.com

El Congreso Nacional de la Argentina, el 4 de Julio dict la Ley de Delitos Informticos (LEY 26388), que incluye los siguientes delitos informticos: Pornografa infantil por internet u otros medios electrnicos Violacin, apoderamiento y desvos de comunicacin electrnica Intercepcin o captacin de comunicaciones electrnicas o

telecomunicaciones Acceso a un sistema o dato informtico Publicacin de una comunicacin electrnica Acceso a un banco de datos personales Revelacin de informacin registrada en un banco de datos personales Fraude Informtico Dao o sabotaje informtico Las penas establecidas son: a) prisin; b) inhabilitacin (cuando el delito lo comete un funcionario pblico o el depositario de objetos destinados a servir de prueba); c) multa (ej. art. 155). A partir de ahora, personas fsicas, empresas, instituciones, organismos pblicos, etc., debern tomar los recaudos necesarios para no ver comprometida su responsabilidad o imagen en la comisin de delitos sobre los que, hasta hoy, la jurisprudencia se haba pronunciado, aunque no de manera unnime, pero que a partir de ahora podrn ser castigados en base a un claro fundamento legal. Vale la aclaracin, que las organizaciones que cotizan en la Bolsa de New York, deben atenerse, amn de las regulaciones locales, a lo exigido por la Ley Sarbanex Oxley, ya que es de estricto cumplimiento su certificacin. Gestin del Riesgo

PDF created with pdfFactory Pro trial version www.pdffactory.com

1 Introduccin 1.1 Definicin de Gestin del Riesgo La premisa subyacente en la gestin de riesgos corporativos es que las entidades existen con el fin ltimo de generar valor para sus grupos de inters. Todas se enfrentan a la ausencia de certeza y el reto para su direccin es determinar cunta incertidumbre se puede aceptar mientras se esfuerzan en incrementar el valor para sus grupos de inters. La incertidumbre implica riesgos y oportunidades y posee el potencial de erosionar o aumentar el valor. La gestin de riesgos corporativos permite a la direccin tratar eficazmente la incertidumbre y sus riesgos y oportunidades asociados, mejorando as la capacidad de generar valor. Se maximiza el valor cuando la direccin establece una estrategia y objetivos para encontrar un equilibrio ptimo entre los objetivos de crecimiento y rentabilidad y los riesgos asociados, adems de desplegar recursos eficaces y eficientemente a fin de lograr los objetivos de la entidad. 1.2 Capacidades de Gestin del Riesgo Las organizaciones, a travs de la gestin del riesgo, podrn: Alinear el riesgo aceptado y la estrategia Mejorar las decisiones de respuesta Reducir Reducir las sorpresas y

prdidas operativas Identificacin y gestin de la diversidad de riesgos para toda la entidad Aprovechar oportunidades

las

sorpresas

las

prdidas operativas Mejorar la dotacin de capital

La gestin de riesgos corporativos permite asegurar una informacin eficaz y el cumplimiento de leyes y normas, adems de ayudar a evitar daos a la reputacin de la entidad y sus consecuencias derivadas. 1.3 Eventos Riesgos y Oportunidades

PDF created with pdfFactory Pro trial version www.pdffactory.com

Los eventos pueden tener un impacto negativo, positivo o de ambos tipos a la vez. Los que tienen un impacto negativo representan riesgos que pueden impedir la creacin de valor o erosionar el valor existente. Los eventos con impacto positivo pueden compensar los impactos negativos o representar oportunidades, que derivan de la posibilidad de que ocurra un acontecimiento que afecte positivamente al logro de los objetivos, ayudando a la creacin de valor o a su conservacin. La direccin canaliza las oportunidades que surgen, para que reviertan en la estrategia y el proceso de definicin de objetivos, y formula planes que permitan aprovecharlas. 1.4 Definicin de la Gestin de Riesgos Corporativos La gestin de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la creacin de valor o su preservacin. Se define de la siguiente manera: La gestin de riesgos corporativos es un proceso efectuado por el consejo de administracin de una entidad, su direccin y restante personal, aplicable a la definicin de estrategias en toda la empresa y diseado para identificar eventos potenciales que puedan afectar a la organizacin, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos. Esta definicin recoge los siguientes conceptos bsicos de la gestin de riesgos corporativos: Se aplica en el establecimiento de la estrategia. Se aplica en toda la entidad, en cada nivel y unidad, e incluye adoptar una perspectiva del riesgo a nivel conjunto de la entidad. Est diseado para identificar acontecimientos potenciales que, de ocurrir, afectaran a la entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado. Es capaz de proporcionar una seguridad razonable al consejo de administracin y a la direccin de una entidad. Dentro del contexto de misin o visin establecida en una entidad, su direccin establece los objetivos estratgicos, selecciona la estrategia y fija

PDF created with pdfFactory Pro trial version www.pdffactory.com

objetivos alineados que fluyen en cascada en toda la entidad. El Marco de gestin de riesgos corporativos est orientado a alcanzar los objetivos de la entidad, que se pueden clasificar en cuatro categoras: Estrategia Objetivos alineados con la misin de la entidad y dndole soporte Operaciones Informacin Objetivos vinculados al uso eficaz y eficiente de recursos Objetivos de fiabilidad de la informacin suministrada

Cumplimiento Objetivos relativos al cumplimiento de leyes y normas aplicables Esta clasificacin de los objetivos de una entidad permite centrarse en aspectos diferenciados de la gestin de riesgos corporativos. Estas categoras distintas, aunque solapables un objetivo individual puede incidir en ms de una categora- se dirigen a necesidades diferentes de la entidad y pueden ser de responsabilidad directa de diferentes ejecutivos. Tambin permiten establecer diferencias entre lo que cabe esperar de cada una de ellas. Otra categora utilizada por algunas entidades es la salvaguarda de activos. Dado que los objetivos relacionados con la fiabilidad de la informacin y el cumplimiento de leyes y normas estn integrados en el control de la entidad, puede esperarse que la gestin de riesgos corporativos facilite una seguridad razonable de su consecucin. 2 Metodologas aplicables 2.1 COSO ERM (Enterprise Risk Management)13 El marco COSO ERM define Enterprise Risk Management como un proceso, llevado a cabo por el Directorio y todo el personal de una organizacin, aplicado desde la definicin de la estrategia a travs de toda

13

Committee Spnsoring Organizations of the Treadway Commission COSO ERM - 2004

PDF created with pdfFactory Pro trial version www.pdffactory.com

la organizacin, diseado para identificar eventos potenciales que pudieran afectar a la organizacin, y para administrar el riesgo de manera que ste quede en niveles aceptables, para proveer una seguridad razonable acerca de logro de los objetivos fijados. Haciendo mencin nuevamente al grfico del COSO Report, explicaremos las 4 dimensiones claves para la gestin del riesgo (ver seccin Ambiente Computarizado seccin 3 - Modelo de Control Interno) 1. Establecimiento de Objetivos El establecimiento de objetivos claros es una precondicin para poder realizar de manera efectiva la identificacin de eventos, evaluacin de riesgos, y para definir adecuadas respuestas a cada riesgo. 2. Identificacin de eventos Eventos con impacto negativo representan riesgos que requerirn una evaluacin y respuesta por parte de la organizacin. Eventos con impacto positivo representan oportunidades las cuales pueden ser aprovechadas por la organizacin. 3. Evaluacin de los Riesgos La evaluacin de riesgos permite a la organizacin considerar el nivel en el cual los potenciales eventos identificados impactarn en el logro de los objetivos fijados. Esto se analiza desde dos perspectivas: probabilidad e impacto, y pueden utilizarse mtodos cualitativos, cuantitativos, o una combinacin de ambos. Por ltimo, todos los riesgos deben ser considerados en forma inherente (antes de la aplicacin de medidas de respuesta) como residual (luego de aplicar las medidas de respuesta). 4. Evaluacin de los Riesgos Habiendo evaluado los riesgos relevantes, el siguiente paso es determinar cmo se responder a ellos. Los tipos de respuesta pueden pertenecer a alguna de las siguientes categoras generales: Evitar el riesgo

PDF created with pdfFactory Pro trial version www.pdffactory.com

Reducir el riesgo Compartir el riesgo Aceptar el riesgo

Al considerar cada tipo de respuesta, se debe considerar su efecto tanto en la probabilidad como en el impacto de cada riesgo, as como el costo/beneficio de cada accin, seleccionando respuestas que lleven el riesgo residual dentro de las tolerancias al riesgo establecidas. 2.2 Magerit (Metodologa de anlisis y gestin del riesgo)14 2.2.1 Objetivos El modelo MAGERIT persigue 2 objetivos y se apoya en 3 submodelos OBJETIVOS SUBMODELOS

Estudiar los riesgos asociados a un De elementos: Activos, amenazas, sistema entorno Recomendar las de informacin y su vulnerabilidades, impacto y riesgo asociado medidas De eventos: Controles utilizados

necesarias para prevenir, impedir, por las organizaciones reducir o controlar los riesgos De procesos: Actividades y tareas que se realizan para la gestin del riesgo La metodologa MAGERIT solo cubre las etapas de Anlisis y Gestin del riesgo. 2.2.2 Beneficios de MAGERIT Aportar racionalidad en el conocimiento del estado de seguridad de los Sistemas de Informacin y en la introduccin de medidas de seguridad

14

Ministerio de Administracin Pblica Madrid, MAGERIT versin 2, 20 de Junio del 2006

PDF created with pdfFactory Pro trial version www.pdffactory.com

Ayudar a garantizar una adecuada cobertura en extensin, de forma que no haya elementos del sistema de informacin que queden fuera del anlisis, y en intensidad, de forma que se alcance la profundidad necesaria en el anlisis del sistema.

La incrustacin de mecanismos de seguridad en el corazn mismo de los sistemas de informacin: Para paliar las insuficiencias de los sistemas vigentes; Para asegurar el desarrollo de cualquier tipo de sistemas, reformados o nuevos, en todas las fases de su ciclo de desarrollo, desde la planificacin hasta la implantacin y mantenimiento.

CONCLUSIN Las principales normas o leyes aplicadas en la actualidad para la correcta implementacin de un ambiente computarizado, en donde los activos informticos crticos se encuentren adecuadamente resguardados, la gestin de los riesgos inherentes y latentes sean efectivamente

documentados y administrados y la informacin contable sea integra, confiable, valida y de acceso restricto, son las mencionadas en el trabajo desarrollado precedentemente: COBIT, COSO, S-Ox, Comunicaciones del BCRA, etc. Pero, Cual es el verdadero objetivo de todas estas normas que buscan, en el fondo de su aplicacin, la mejora de la eficacia de los procesos aplicados por las organizaciones? El objetivo principal es la reduccin de los riesgos inherentes a los procesos utilizados y la prevencin de riesgos latentes, producidos por el contexto natural donde se desarrolla la organizacin (fallas humanas, fraudes

PDF created with pdfFactory Pro trial version www.pdffactory.com

internos o externos, ataques de usuarios mal intencionados, desastres naturales, etc.) La teora siempre es fcil de comprender, pero en la prctica, es fcil desarrollar y aplicar dichas normas/leyes? La Ley S-Ox, tan nombrada y utilizada, es de carcter obligatorio de cumplimiento para las empresas cotizantes en la SEC (bolsa de Estados Unidos), para que ests aseguren la confiabilidad de la informacin financiera administrada y expuesta a los distintos stakeholders. En cambio, las metodologas COSO y COBIT, entre otra, son guas de aplicacin para las organizaciones. Se basan en objetivos de control o estndares de seguridad, que se deben llegar a resguardar para poder asegurar la confiabilidad en los estados financieros de cada organizacin. Asimismo, las comunicaciones emitidas por los entes reguladores, en el caso de Argentina, el Banco Central de la Repblica Argentina, son gua prcticas en donde se exige explcitamente el cumplimiento de ciertas situaciones para asegurar la confiabilidad, validez e integridad de la informacin comunicada a los stakeholders. El uso de sistemas automatizados, busca asegurar la integridad de la informacin administrada por las organizaciones, ya que un ambiente

computarizado correctamente administrado y gestionada su seguridad lgica, podra prevenir en tiempo y forma ataques de usuarios mal intencionado, que ocasionaran el fraude informtico. Del mismo modo, los activos crticos y sus riesgos inherentes relacionados, estaran

adecuadamente identificados, con los usuarios claves que podran administrarlos. Pero, Cul es el problema del uso indebido de la automatizacin o la falta de conocimiento del uso de la misma? El uso de aplicativos Enterprise Resource Planning (ERP), como por ejemplo, SAP u Oracle Financial, son de una gran utilidad para las organizaciones, desde el momento que la parametrizacin de las

PDF created with pdfFactory Pro trial version www.pdffactory.com

transacciones es correcta, pero cuando la administracin de los mismos es realizada por personal inadecuado, la posibilidad de realizar fraudes internos o externos, el manejo indebido de informacin confidencial o la exposicin de activos informticos crticos a vulnerabilidades externas es muy grande para que las organizaciones soporten los costos incurridos. Desde mi punto de vista, el correcto uso de ambientes computarizados para realizar una adecuada gestin de riesgos y administracin de activos

informticos y poder as, prevenir en tiempo y forma el fraude informtico, se encuentra estrechamente relacionado a los siguientes hitos: Involucramiento de los ejecutivos mximos de las organizaciones en el planeamiento del uso de las herramientas informticas Comunicacin clara y concisa a las reas usuarias de objetivos financieros y de estrategia de negocios Capacitacin constante sobre el uso de las herramientas informticas Workshops con personal clave de la organizacin para detectar debilidades en el control interno utilizado Reuniones de trabajo en donde se expliquen los objetivos de la aplicacin de la Ley S-Ox, sus implicancias y la forma de cumplimiento Definir usuarios crticos por rea usuaria y concientizarlos sobre el uso indebido de los activos de informacin crticos de la organizacin Resaltar los objetivos de las auditorias (internas o externas) y los beneficios de los resultados de las mismas Motivar a la participacin activa de los usuarios finales, ya que son los principales indicadores para la gestin del riesgo Realizar anlisis peridicos de la correcta seguridad lgica utilizada.

PDF created with pdfFactory Pro trial version www.pdffactory.com

Bibliografa 1. Cansler,L , Elissondo, L. Godoy, L. Rivas, R, Auditoria en Ambientes Computarizados, Noviembre 2004 2. IT Governance Institute COBIT 4.1 - 2007 3. Solano, M III Foro Regional de Tecnologa Auditoria en Sistemas- Por qu es importante que su entidad realice auditora en sistemas Deloitte, Marzo 2008 4. Committee Spnsoring Organizations of the Treadway Commission COSO REPORT 2004 5. IT Governance Institute - COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition 6. IT Governance Institute COBIT 4.1 - 2007 7. www.Belt.ES Tcnicas de Fraude Informtico 1 de Abril del 2009 8. Falduto, F - www.Perfil.com Tecnologa _que es el pishing o fraude informatico 5 de Noviembre del 2008 9. Rubio, S Taich, D, Prevencin e Investigacin de Fraudes en la Organizacin PwC, 19 de Marzo del 2009 10. Banco Central de la Repblica Argentina- Comunicacin A 4609 y Comunicacin A 4793, ao 2006 y 2008 respectivamente. 11. Congreso Nacional de la Argentina Ley 26328 4 de Julio 2008 12. Committee Spnsoring Organizations of the Treadway Commission COSO ERM 2004 13. Ministerio de Administracin Pblica Madrid, MAGERIT versin 2, 20 de Junio del 2006

PDF created with pdfFactory Pro trial version www.pdffactory.com

PDF created with pdfFactory Pro trial version www.pdffactory.com