Es importante para la auditoria informtica saber que tipo de riesgos se
pueden encontrar en nuestro entorno
Riesgos para la informacin
Existen dos palabras muy importantes que son riesgo y seguridad: Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y producir numerosas prdidas para las empresas. Seguridad: Es una forma de proteccin contra los riesgos Los riesgos ms perjudiciales son a las tecnologas de informacin y comunicaciones Se entiende por seguridad de la informacin a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger la informacin buscando mantener la confidencialidad, la autenticidad y Integridad de la misma. El concepto de seguridad de la informacin no debe ser confundido con el de seguridad informtica, ya que este ltimo slo se encarga de la seguridad en el medio informtico, pudiendo encontrar informacin en diferentes medios o formas. Para el hombre como individuo, la seguridad de la informacin tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo. El campo de la seguridad de la informacin ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtindose en una carrera acreditada a nivel mundial.
Importancia de la Informacin
Se suele pasar por alto la base que hace posible la existencia de los anteriores elementos. Esta base es la informacin. La informacin: Esta almacenada y procesada en computadoras. Puede ser confidencial para algunas personas o a escala institucional. Puede ser mal utilizada o divulgada. Puede estar sujeta a robos, sabotaje o fraudes.
El manejo de riesgos dentro de la seguridad en la informacin Evitar. No se permite ningn tipo de exposicin. Esto se logra simplemente con no comprometerse a realizar la accin que origine el riesgo. Esta tcnica tiene ms desventajas que ventajas, ya que la empresa podra abstenerse de aprovechar muchas oportunidades.
Reducir. Cuando el riesgo no puede evitarse por tener varias dificultades de tipo operacional, la alternativa puede ser su reduccin hasta el nivel ms bajo posible. Esta opcin es la ms econmica y sencilla. Se consigue optimizando los procedimientos, la implementacin controles y su monitoreo constante.
Retener, Asumir o Aceptar el riesgo.
Aceptar las consecuencias de la ocurrencia del evento. Puede ser voluntaria o involuntaria, la voluntaria se caracteriza por el reconocimiento de la existencia del riesgo y el acuerdo de asumir las perdidas involucradas, esta decisin se da por falta de alternativas. La retencin involuntaria se da cuando el riesgo es retenido inconscientemente. Transferir. Es buscar un respaldo y compartir el riego con otros controles o entidades. Esta tcnica se usa ya sea para eliminar un riegos de un lugar y transferirlo a otro, para minimizar el mismo, compartindolo con otras entidades.
RIESGOS EN EL CENTRO DE CMPUTO
Factores fsicos.
Cableado. La iluminacin El aire de renovacin o ventilacin Las fuentes de alimentacin
Factores ambientales
Incendios. Inundaciones. Sismos. Humedad
Factores humanos Robos. Actos vandlicos. Actos vandlicos contra el sistema de red Fraude. Sabotaje. Terrorismo
RIESGO, EVIDENCIA Y PRUEBAS SUSTANTIVAS
Riesgo.
Es la probabilidad de que suceda un evento, impacto o consecuencia adversos. Se entiende tambin como la medida de la posibilidad y magnitud de los impactos adversos, siendo la consecuencia del peligro, y est en relacin con la frecuencia con que se presente el evento. Evidencia.
El auditor obtendr la certeza suficiente y apropiada a travs de la ejecucin de sus comprobaciones de procedimientos para permitirle emitir las conclusiones sobre las que fundamentar su opinin acerca del estado del sistema de Informtico.
La fiabilidad de la evidencia est en relacin con la fuente de la que se obtenga interna y externa, y con su naturaleza, es decir, visual, documental y oral.
La Evidencia es la base razonable de la opinin del auditor informtico, es decir el informe de Auditoria Informtica.
1. La evidencia externa es ms fiable que la interna. 2. La evidencia interna es ms fiable cuando los controles internos relacionados con ellos son satisfactorios. 3. La evidencia obtenida por el propio auditor es ms fiable que la obtenida por la empresa. 4. La evidencia en forma de documentos y manifestaciones escritas es ms fiable que la procedente de declaraciones orales. 5. El auditor puede ver aumentada su seguridad como la evidencia obtenida de diferentes fuentes. 6. Debe existir una razonable relacin entre el costo de obtener una evidencia y la utilidad de la informacin que suministra.
Mtodos para la evidencia de auditora:
Inspeccin: consiste en la revisin de la coherencia y concordancia de los registros, as como en el examen de los documentos y activos tangibles. La observacin: consiste en ver la ejecucin de un proceso o procedimiento efectuado por otros. Las preguntas: obtienen informacin apropiada de las personas de dentro y fuera de la entidad. Las confirmaciones: mediante ellas se obtiene corroboracin, normalmente por escrito, de una informacin contenida en los registros.
Los clculos: comprueban la exactitud aritmtica de los registros y de los clculos y anlisis realizados por la entidad o en la realizacin de clculos independientes
USO DEL INTERNET, RIESGOS QUE EL AUDITOR DEBE CONOCER
Un nuevo reto para el auditor moderno en el establecimiento de nuevos controles, lo constituye el uso del Internet, sistema mundial de informacin en donde las personas pueden accesar en tan solo pocos segundos a gran variedad de datos provenientes de cualquier parte del mundo. Como se expuso en captulos anteriores, los sistemas de informacin son cambiantes y el auditor moderno debe estar atento a dichos cambios para evitar que los sistemas de informacin basados en computadora sean manipulados o quebrantados con el fin de transgredir la informacin que en los mismos se procesan y se exponen. Es de suma importancia que en la evaluacin de este tipo de controles se trabaje con un grupo especialista de programadores, analistas y personal experto en el rea de Internet, ya que se requieren conocimientos muy especializados en el establecimientos de controles sobre la informacin que circula en una red tan compleja y extensa como lo es Internet. En el presente captulo se exponen lineamientos bsicos que deben ser tomados en cuenta para identificar posibles riesgos en el intercambio de informacin a travs de Internet.
A. INTERNET.
Internet es un conjunto de redes de computadores y equipos fsicamente unidos mediante cables que conectan puntos de todo el mundo. Estos cables se presentan en muchas formas: desde cables de red local (varias mquinas conectadas en una oficina) a cables telefnicos convencionales, digitales y canales de fibra ptica que forman las "carreteras" principales. Esta gigantesca red se difunde porque los datos pueden transmitirse va satlite, cableado telefnico o a travs de servicios como la telefona celular, entre otros. El acceso a los diferentes computadores y equipos que estn conectados a Internet puede ser pblico o estar limitado. Una red de cajeros automticos o terminales de banco, por ejemplo, pueden estar integrados en Internet pero no ser de acceso pblico, aunque formen parte terica de la Red. Lo interesante es que cada vez ms de estos recursos estn disponibles a travs de Internet: fax, telfono, radio, televisin, imgenes de satlites o cmaras de trfico son algunos ejemplos.
1. El correo electrnico. El correo electrnico (e-mail) es tal vez el principal servicio de Internet, y sin duda el de mayor importancia histrica. El correo electrnico sirve para enviar y recibir mensajes a otros usuarios, y por eso no hay nunca dos nombres iguales. La primera parte de una direccin identifica habitualmente a la persona o empresa y la segunda al proveedor de Internet por medio del cual se recibe la informacin. El correo electrnico se caracteriza por el singular smbolo de @ que sirve de divisin entre ambas partes. El correo electrnico permite enviar texto o archivos codificados generalmente de pequeo tamao (grficos u hojas de clculo, por ejemplo).
2. World Wide Web.(WWW). La World Wide Web (la "telaraa mundial") es tal vez el punto ms visible de Internet y hoy en da el ms usado junto con el correo electrnico, aunque tambin es de los ms recientes.
La WWW puede definirse bsicamente como tres cosas: hipertexto, que es un sistema de enlaces que permite saltar de un lugar a otro; multimedia, que hace referencia al tipo de contenidos que puede manejar (texto, grficos, vdeo, sonido y otros) e Internet, el canal sobre el que se transmite la informacin.
Las pginas de la WWW estn situadas en servidores de todo el mundo (sitios Web), y se accede a ellas mediante un programa denominado "navegador" (browser).
B. RIESGOS EN EL USO DE INTERNET.
El uso del Internet por parte de una compaa, tiene como riesgos los siguientes:
Contaminacin de virus. Piratas informticos.
1. Los virus. Los virus son programas que se replican a s mismos y se pueden pasar de un sistema a otro desde el sector del disco floppy o bien por medio de Internet a travs del envo de correos electrnicos. Algunos virus ejecutan un proceso no autorizado. Por ejemplo, pueden incrementar en tamao hasta que el procesamiento de la mquina se vuelva imposible o esperan por una fecha o evento importante para iniciar su actividad maliciosa.
Actualmente existe una cantidad considerable de virus que circundan a travs de los diferentes sistemas de informacin en el mundo, de hecho da con da surgen nuevos tipos. Algunos tienen su especialidad en infectarse y propagarse a travs de un tipo especfico de archivos, ejemplo de ellos se tienen:
Albanian. Infecta archivos .COM y . EXE. Tiene como caractersticas que reside en memoria y cambia la fecha de los sistemas a 17/dic/89 y la hora a 7:21 pm.
Clone War 230. Infecta archivos con extensin .COM y .EXE. Este virus crea archivos similares a los ya existentes con extensin .COM y .EXE. El sistema al ejecutarlos borra todos los archivos con dichas extensiones.
Darth Vader 4. Infecta archivos con extensin .COM. Este virus reside en memoria tanto primaria (memoria temporal tambin llamada RAM) o secundaria (memoria permanente por medio de discos o cintas magnticas tambin llamada ROM). Los programas infectados no corren apropiadamente y contienen el texto Darth Vader.
Njhl2vca. Es un virus residente en memoria. El virus en el momento de su infeccin mueve los archivos de reinicio de la mquina a otra parte de la raz del disco duro. Todo dato localizado ah es perdido.
Como parte del proceso de asegurar la integridad de los datos, es importante que cada organizacin siga las siguientes recomendaciones para la proteccin en contra de estos virus, las mismas son:
Poseer programas antivirus para la constante revisin de los diferentes sistemas de informacin. Poseer una poltica de actualizacin de las listas de virus de los antivirus. Obtener datos de fuentes confiables (Internet u otro medio). Todos los disquetes ingresados a un sistema de computo deben ser revisados para prevenir infecciones. Tener un plan de contingencia preparado por s se llegase a infectar el sistema por algn virus.
2. Piratas cibernticos (Hackers). Estos Piratas Cibernticos son personas con estudios de computacin a quienes les gustan los retos como el ingresar a sistemas de informacin por computadora de acceso restringido y as obtener informacin de pginas ajenas.
Una forma en que se puede violar un sistema de informacin en Internet se describen a continuacin:
Necesitan un computador con sistema operativo que puede ser Microsoft Windows y un programa de Frontpage Server.
Cuando se selecciona un servidor por medio de una orden de Frontpage, sin importar de dnde provenga, abre sus puertas y pone a la vista varios o todos sus archivos.
Adems de ingresar a la pgina seleccionada, se puede entrar a los archivos ms protegidos por cualquier empresa, si sta se encuentra conectada a una red, dependiendo del tipo de servidor.
Es importante indicar que muchos piratas cibernticos violan los sistemas de seguridad de las compaas al apoderarse de pantallas de acceso y permisos o identificaciones de usuarios, esta situacin puede deberse al ingreso al sistema de algn tipo de virus, programas realizados por ellos mismos o bien a prueba o error hasta encontrar acceso al sistema ( stas son otras formas de violar sistemas de informacin por Internet). Para ello los piratas cibernticos necesitan tener conocimientos de los servidores a donde ingresarn, y penetran a los mismos por medio de puertas traseras abiertas (back doors, en ingls) que no son ms que debilidades de los sistemas que permiten que se accese a la informacin.
Es importante hacer la distincin de los diferentes tipos de piratas cibernticos, entre ellos se encuentran:
Crackers. Son personas que usan la informacin para fines de lucro. Pherhacking. Son piratas cibernticos en telecomunicaciones. Cyberterroristas. Piratas cibernticos que tienen como nico objetivo daar total o parcialmente informacin gubernamental.
Debido a lo anterior, es importante que se tomen las siguientes recomendaciones de auditora para los sistemas de informacin que se conectan por Internet:
Instalacin de dispositivos de acceso llamados en ingls firewalls. Los firewalls son dispositivos lgicos y/o fisicos que se utilizan para autorizar o no el acceso de un usuario conocido o desconocido a determinado sistema o dispositivo. Los firewalls lgicos autorizan por medio de un software los ingresos a determinado sistema o dispositivo, en forma anloga los firewalls fsicos los hacen por medio de aparatos fsicos como la caja PIX [10] . Tener un poltica en la compaa de no utilizacin de cdigos estndar. No utilizar identificaciones de usuario sencillas y generales como administrador por decir un ejemplo. En la comunicacin de datos a travs de Internet es recomendable utilizar procesos de Encriptamiento en la informacin. Disear un sistema de forma tal que se sigan procedimientos para la eliminacin de puertas traseras (back doors, en ingls). Utilizacin de antivirus actualizados para cualquier correo electrnico de fuentes externas. Utilizacin de antivirus actualizados peridicamente para toda la informacin existente en un sistema de informacin por computadora. UN ENFOQUE DE AUDITORA CONSIDERANDO LA TECNOLOGA DE INFORMACIN