Charla Fvb Aud Sistemas

Auditoría de Sistemas y Seguridad de la Información •Conceptos •Casos •Técnicas

Conceptos

Auditoría en Entorno CIS

Sistemas de Contabilidad y Control Interno Un sistema de contabilidad es: • Una serie de tareas de una entidad por medio de las cuales procesas sus operaciones, sustenta sus registros y prepara adecuadamente su información financiera. • Incluye básicamente sus políticas de contabilidad, las que se sustentan en fundamentos como: •El principio de lo devengado. •Los estados financieros se preparan sobre el supuesto de empresa en marcha y de que va a operar en un futuro cercano.

Un sistema de control interno comprende: • El ambiente de control y los procedimientos de control • El plan de organización y los métodos y procedimientos adoptados por la gerencia para ayudar al cumplimiento del objetivo administrativo de asegurar la dirección ordenada y eficiente de sus actividades que incluyen: • El cumplimiento de las políticas administrativas • La salvaguarda de los activos • La prevención y detección de fraudes y errores • La exactitud e integridad de los registros contables

Objetivos del control interno: •

Las operaciones se ejecutan de conformidad con la autorización específica de la gerencia.

•

Todas las operaciones se registran en su oportunidad, por los montos correctos, en las cuentas apropiadas y en el período contable que se ejecutan, de modo que permitan preparar información financiera en un marco de políticas contables reconocidas, así como mantener el control contable de los activos

•

La comparación del registro contable de los activos con la existencia final de las mismas, se hace a intervalos razonables y se toman las acciones apropiadas con respecto a las diferencias apropiadas.

3

C L A R I D A D

PE RT IN E

NC IA

Estados Financieros

CO

IA F N

D A D LI I B

Claridad: para los usuarios que poseen un conocimiento razonable de los negocios y actividades económicas. Pertinencia: Influencias en las decisiones económicas de los usuarios, ayudándolos a evaluar los hechos pasados, presentes o proyectados, o corrigiendo sus evaluaciones pasadas. Confiabilidad: Información financiera fidedigna, libre de error material y desviación.

INTERNATIONAL STANDARD ON AUDITING 401 AUDITING IN A COMPUTER INFORMATION SYSTEMS (CIS) ENVIRONMENT

• Norma IFAC contenido en el manual ISA 2003. • Comprende: – Introdución – Habilidades y Competencias – Planeamiento – Evaluación del Riesgo – Procedimientos de Auditoría.

4

INTERNATIONAL STANDARD ON AUDITING 401 AUDITING IN A COMPUTER INFORMATION SYSTEMS (CIS) ENVIRONMENT - Introducción •

•

• •

5

El propósito de este estándar internacional de auditoría (ISA) es establecer estándares y proporcionar la dirección en los procedimientos que se seguirán cuando una auditoría se conduce en los sistemas de información computarizados (ambiente CIS por sus siglás en inglés) Para los propósitos de esta norma ISA, un ambiente CIS existe cuando una computadora de cualquier tipo o tamaño es implicada en el proceso de la información financiera por la entidad, con suficiente importancia para la auditoría, ya sea que esa computadora es operada por la entidad o por terceros. El auditor debe considerar cómo un ambiente CIS afecta la auditoría. El objetivo y el alcance totales de una auditoría no cambia en un ambiente CIS. Sin embargo, el uso de una computadora cambia el proceso, almacenaje y la comunicación de la información financiera y puede afectar la contabilidad y los sistemas de control internos empleados por la entidad. Por consiguiente, un ambiente CIS puede afectar: – Los procedimientos que se seguirán por el auditor en la obtención de una suficiente comprensión de la contabilidad y de los sistemas de control internos. – La consideración del riesgo inherente y del riesgo del control con la cual el interventor llega a su evaluación del riesgo. – Los diseños y funcionamiento de las pruebas del control y los procedimientos substantivos apropiados que determinaron los auditores para resolver el objetivo de la auditoría.

INTERNATIONAL STANDARD ON AUDITING 401 AUDITING IN A COMPUTER INFORMATION SYSTEMS (CIS) ENVIRONMENT – Habilidades y Competencias •

El Auditor debe tener suficiente conocimiento del CIS para planear, dirigir, supervisar y repasar el trabajo realizado. El auditor debe considerar si las habilidades CIS especializadas son necesarias en la auditoría. Éstas habilidades y competencias son necesarios para : – – –

•

6

Obtener una suficiente comprensión de la contabilidad y de los sistemas de control internos afectados por el ambiente CIS. Determinar el efecto del ambiente CIS en la evaluación del riesgo total y del riesgo en las cuentas del Balance y la clasificación de las transacciones? Diseñar y realizar las pruebas apropiadas del control y de los procedimientos substantivos. Si las habilidades especializadas son necesarias, el auditor buscaría la ayuda de un profesional que posee tales habilidades, que puede estar entre el personal del auditor o un profesional exterior. Si el uso de tal profesional se planifica, el auditor debe obtener suficiente evidencia apropiada de la intervención que este realiza. El trabajo, de este experto, es adecuado para los propósitos de la auditoría, de acuerdo con ISA 620 Usando el trabajo de un experto.

El término CIS es utilizado en este ISA en lugar de procesamiento electrónico de datos (PED) usado anteriormente en el ISA “Auditando en un ambiente PED” . Declaraciones Relacionas a la Practica Internacional de Auditoría, revisadas y subsecuentemente revisadas para este ISA se usa el término “ambiente de tecnología de información (IT).” AUDITANDO IEN UN ENTORNO DE SISTEMAS DE INFORMACIÓN COMPUTARIZADO.

INTERNATIONAL STANDARD ON AUDITING 401 AUDITING IN A COMPUTER INFORMATION SYSTEMS (CIS) ENVIRONMENT – Planeamiento •

•

De acuerdo con el desarrollo de la Evaluación del Riesgo de ISA 400 y del Control Interno: El auditor debe obtener una comprensión la contabilidad y los sistemas de control internos suficientes para planear la auditoría y un acercamiento eficaz de la misma. En el planeamiento de las partes de la auditoría que puede ser afectada por el ambiente CIS de los clientes, el auditor debe obtener una comprensión de la significación y complejidad del CIS, las actividades y la disponibilidad de los datos para el uso en la auditoría. Esta comprensión incluiría las materias tales como: –

7

La importancia y la complejidad del tratamiento por ordenador en cada uso significativo de la contabilidad. La importancia se relaciona con la materialidad de las aserciones del estado financiero afectadas por el tratamiento por ordenador.

INTERNATIONAL STANDARD ON AUDITING 401 AUDITING IN A COMPUTER INFORMATION SYSTEMS (CIS) ENVIRONMENT – Planeamiento –

Un uso se puede considerar para ser complejo cuando, por ejemplo: • • •

•

•

•

8

El volumen de transacciones es tal que los usuarios encontrarían difícil de identificar y de corregir errores en el proceso. La computadora genera automáticamente transacciones materiales o las entradas directamente para otro uso. La computadora realiza cómputos complicados de la información financiera y/o genera automáticamente transacciones materiales o las entradas no pueden (o no son) ser validadas independientemente. Las transacciones se intercambian electrónicamente por otras organizaciones (como en los sistemas de intercambio de documentos electrónicos , EDI – Electronic Document Interchange) sin una revisión manual apropiada o carácter razonable La estructura de organización y las actividades CIS del cliente y el grado la concentración o distribución del tratamiento por ordenador a través de la entidad, pueden afectar particularmente la segregación de funciones. La disponibilidad de datos. Los documentos fuente, ciertos ficheros electrónicos, y la otra materia fundada que se puede requerir por el auditor pueden no existir o solamente por un período corto o solamente en forma legible por la máquina. El cliente CIS puede generar la distribución interna que puede ser útil en la ejecución de las pruebas substantivas (particularmente procedimientos analíticos). El potencial para el uso de las técnicas de ayuda de computadora a la auditoría puede permitir una eficacia creciente en el funcionamiento de los procedimientos de auditoría, o puede permitir al auditor aplicar económicamente ciertos procedimientos a una población entera de cuentas o las transacciones.

INTERNATIONAL STANDARD ON AUDITING 401 AUDITING IN A COMPUTER INFORMATION SYSTEMS (CIS) ENVIRONMENT – Planeamiento •

Cuando el CIS es significativo el auditor debe también obtener una comprensión de cómo el ambiente CIS y si puede influenciar inherentemente sus aseveraciones el control de riesgos. La naturaleza de los riesgos y de las características internas de control en un ambientes CIS incluye lo siguiente: –

–

–

–

9

Carencia de los rastros de la transacción. Se diseñan algunos CIS de modo que un rastro completo de la transacción que es útil para los propósitos de la auditoría pudiera no existir o solamente por un período de tiempo corto o solamente en forma legible por computador. Cuando un sistema complejo en uso realiza una gran cantidad de pasos de proceso, puede no haber un rastro completo. Por consiguiente, los errores encajados en "program logic“ (lógica de programa) de los aplicación pueden ser difíciles de detectar sobre una base oportuna por procedimientos manuales (del usuario) Proceso uniforme de transacciones. Los procesos del tratamiento por ordenador uniformemente tratan las transacciones con las mismas instrucciones de proceso. Así, los errores administrativos asociados ordinariamente al proceso manual se eliminan virtualmente. Inversamente, los errores de programación (u otros errores sistemáticos en hardware o software) darán lugar ordinariamente a que todas las transacciones se procesen incorrectamente. Carencia de la segregación de funciones. Muchos procedimientos del control que serían realizados ordinariamente por los individuos separados en sistemas manuales se pueden concentrar en CIS. Tales, individuos que tienen acceso a los programas de computadora, o procesando los datos, pueden estar en una posición para realizar funciones incompatibles Potencial para los errores y las irregularidades. El potencial para el error humano en el desarrollo, el mantenimiento y la ejecución de CIS puede ser mayor que en sistemas manuales, parcialmente debido a el nivel del detalle inherente en estas actividades. También, el potencial para que los individuos tengan el acceso desautorizado a los datos o alteren datos sin evidencia visible puede ser mayor en CIS que en sistemas manuales.

INTERNATIONAL STANDARD ON AUDITING 401 AUDITING IN A COMPUTER INFORMATION SYSTEMS (CIS) ENVIRONMENT – Planeamiento –

–

–

–

–

10

Además, la implicación humana disminuida en la manipulación de las transacciones procesadas por CIS se puede reducir el potencial para observar errores e irregularidades. ¿Los errores o las irregularidades que ocurren durante el diseño o la modificación de los programas de uso o del software del sistema pueden seguir siendo desapercibidos por períodos del tiempo largos. Iniciación o ejecución de transacciones. CIS puede incluir la capacidad para iniciar o para causar la ejecución de ciertos tipos de transacciones, automáticamente. ¿La autorización de estas transacciones o procedimientos no se puede documentar de la misma manera que ésos en un sistema manual, y la autorización de los gerentes de estas transacciones puede ser implícita en su subsecuente aceptación del diseño de la modificación CIS. Dependencia de otros controles sobre el tratamiento por ordenador. El tratamiento por ordenador puede producir los informes y las otras salidas que se utilizan en la ejecución de procedimientos manuales de control. La eficacia de estos procedimientos manuales del control puede ser dependiente en la eficacia de controles sobre lo completo y la exactitud del tratamiento por ordenador. ¿Alternadamente, la eficacia y la operación constante de los controles del tratamiento transaccional en aplicaciones informáticas es a menudo dependiente en la eficacia de controles CIS generales? Potencial para la supervisión creciente de la gerencia. CIS puede ofrecer ala gerencia una variedad de herramientas analíticas que se pueden utilizar para repasar y para supervisar las operaciones de la entidad. La disponibilidad de estos controles adicionales, si se está utilizando, puede cambiar la estructura entera del control interno. Potencial para el uso de las técnicas de ayuda de computadora en la auditoría (técnicas de auditoría aistidas por computador). En caso de procesar y de analizar grandes cantidades de datos que usan las computadoras puede proveer al auditor oportunidades de aplicar técnicas generales o especializadas y de emplear las herramientas de auditoría por computadora en la ejecución de las pruebas de auditoría. Los riesgos y los controles introducidos como resultado de estas características de CIS tienen un impacto potencial en las aseveraciones de riesgo del auditor, y la naturaleza, la sincronización y grado de los procedimientos de auditoría.

INTERNATIONAL STANDARD ON AUDITING 401 AUDITING IN A COMPUTER INFORMATION SYSTEMS (CIS) ENVIRONMENT – Planeamiento • •

•

Evaluación del Riesgo De acuerdo con la norma de Evaluación del Riesgo ISA 400 y del Control Interno, el auditor debe hacer una aseveración del riesgo de control inherente y los riesgos materiales para las aserciones de los estados financieros. Los riesgos inherentes y los riesgos del control en un ambiente CIS pueden tener un efecto penetrante y un efecto considerable y específico sobre la probabilidad de declaraciones erróneas materiales, como sigue: –

–

•

11

Los riesgos pueden resultar de deficiencias penetrantes en actividades CIS tales como desarrollo de programas y mantenimiento, ayuda del software del sistema, operaciones, seguridad CIS física, y control sobre el acceso a los programas utilitarios de especiales priviligios. Estas deficiencias tenderían a tener un impacto penetrante en todos los sistemas enl uso que se procesan en la computadora. Los riesgos pueden aumentar el potencial para los errores o las actividades fraudulentas en usos específicos, en bases de datos específicas o los archivos principales, o en actividades de proceso específicas. Por ejemplo, los errores no son infrecuentes en los sistemas que realizan lógica compleja o los cálculos, o que deben ocuparse de muchas diversas condiciones de excepción. Sistemas de control de desembolsos de efectivo u otros activos líquidos son susceptibles a las acciones fraudulentas de los usuarios o por el personal de CIS.

Mientras emergen las nuevas tecnologías CIS, estas son empleadas con frecuencia por los clientes para construir sistemas informáticos cada vez más complejos que pueden incluir enlaces de micro a grandes computadoras, bases de datos distribuidas, procesos de usuario final, y la gestión de sistemas de negocios que alimentan directamente la información en los sistemas contables. Tales sistemas aumentan la sofisticación total CIS y la complejidad de los usos específicos que los afectan. Consecuentemente, pueden aumentar el riesgo y requerir una consideración adicional.

INTERNATIONAL STANDARD ON AUDITING 401 AUDITING IN A COMPUTER INFORMATION SYSTEMS (CIS) ENVIRONMENT – Procedimientos de Auditoría •

•

12

De acuerdo con la norma Evaluación de Riesgo ISA 400 y del Control interno, el auditor debe considerar el ambiente CIS al diseñar los procedimientos de la auditoría para reducir el riesgo del exámen a un nivel aceptablemente bajo. Los objetivos específicos de la auditoría de los auditores no cambian si el dato contable es procesado manualmente o por la computadora. Sin embargo, los métodos, los procedimientos de la auditoría a aplicar pueden ser forzados por la influencia de los métodos de tratamiento por ordenador. El auditor puede utilizar procedimientos manuales de auditoría, técnicas de auditoía asisticas por computadora, o una combinación de ambos para obtener la suficiente evidencia material. Sin embargo, en algunos sistemas contables que utilicen una computadora para usos significativos de su proceso, puede ser difícil o imposible que el auditor obtenga ciertos datos para la inspección, la investigación, o la confirmación sin ayuda de la computadora.

Control Interno en Ambiente CIS

El Proceso de Tecnología de Información Planeación del Entorno de IT

Desarrollo y Aportación de Soluciones de IT

Objetivo: Asegurar que los planes de IT están alineados apropiadamente con sus metas, objetivos y estrategias.

√

Operación del Entorno de IT

Objetivo: Adquirir, desarrollar, aportar y mantener soluciones de negocios nuevas o mejoradas dentro de la arquitectura de IT para permitir a la empresa satisfacer sus cambiantes requerimientos de negocios

Objetivo: Aportar y mantener la operación de un entorno de IT, asegurando la disponibilidad, confiabilidad e integridad de los sistemas de información para satisfacer los requerimientos de la empresa

Organización y Monitoreo de Procesos de IT Objetivo: Administrar los tres procesos de IT indicados arriba

14

La Auditoría de Sistemas

Implementación de Sistemas Contables Planeamiento de la Informática Contable: • Definición de Requerimientos del Proceso Contable • Selección de Software • Configuración /Pruebas /Plan Piloto • Puesta en Producción / Replicación

16

Auditoría de Sistemas • Verificar el cumplimiento de las normas de Ingeniería de Software • Evaluación del Rendimiento de los Sistemas • Reingeniería de los Sistemas de Información

17

PAPEL Y REQUISITOS DEL AUDITOR INFORMÁTICO Introducción: • Cada vez más se espera que el departamento financiero prepare los datos de entrada al sistema informático y utilice los datos de salida del mismo sistema

18

El Auditor de Sistemas se preocupará por: • El control interno • El control y la fiabilidad de los controles financieros • La seguridad de los activos de la empresa

19

ENTORNOS INFORMÁTICOS EN LOS QUE PUEDE ACTUAR EL AUDITOR DE SISTEMAS: •

• • • •

20

Sistemas pequeños integrados a la organización de la empresa Sistemas integrados de finanzas y de operación Sistemas financieros en batch Sistemas con teleproceso. Sistemas con tecnología de INTRANET/INTERNET

Papel del Auditor de Sistemas: • Estudiar el sistema de información y analizar sus controles organizativos y operativos (PED) • Investigar y analizar las aplicaciones informáticas en producción o desarrollo • Evaluar la eficiencia y eficacia de los sistemas de información

21

AUDITOR

PED 22

RELACIONES ENTRE EL AUDITOR Y EL PERSONAL DE PROCESO DE DATOS (PED) • Deben conocer los puntos fuertes y débiles del sistema • Debe establecer un adecuado nivel de comunicación con el personal de PED, pues a menudo revisara el trabajo de estos • En relación a los tema técnicos pueden requerir apoyo de PED, pudiendo seguir sus consejos siempre que se adopten las precauciones necesarias y se hagan las comprobaciones oportunas

CONOCIMIENTOS TÉCNICOS DEL AUDITOR INFORMÁTICO • Los suficientes para examinar el tema que va a tratar, no opinar inmediatamente en caso contrario • Conocimientos de hardware y software necesarios • Deberá poder codificar en algún lenguaje de programación sus propias consultas o apoyarse en su propio técnico

23

AUDITOR DE SISTEMAS

24

CLIENTE

EVALUACIÓN DEL CONTROL INTERNO CUESTIONARIOS: Comprenden tres partes: • Análisis Organizativo • Análisis de aplicaciones • Análisis Detallado

CONTROLES Y STANDARES • Establecer stándares o normas • Registro del rendimiento real, a fin de poder cuantificarlo • Acciones correctoras ante las desviaciones a las normas • Revisión y actualización continua de los stándares

25

PROBLEMAS DE LA DEFINICIÓN DE CONTROLES • Es heurístico, no tiene una sola respuesta según las circunstancias SOLUCIONES• Cuesta dinero, por lo que hay que hacerlo DE CONTROL proporcional al valor del riesgo • Debe mantener el nivel necesario de autoridad, AUDITOR propiedad y exactitud de los trabajos

26

STÁNDARES RENDIMIENTO

DIRECCIÓN SISTEMA

SISTEMA DE CONTROL

COMPARAR RENDIMIENTO/STANDARES

SISTEMA

INFORMAR DESVIACIONES

SISTEMA

EJECUTAR LAS CORRECCIONES

RE-EVALUAR STÁNDARES

27

DIRECCIÓN DIRECCIÓN

TENER PRESENTE: • Es deseable que las modificaciones o mejoras se incorporen al sistema antes de que empiece a utilizarse • En algún momento el auditor deberá analizar el funcionamiento de la la aplicación e identificar los puntos débiles

28

ENFOQUES EN LA AUDITORIA DE SISTEMAS 1. AUDITORIA ALREDEDOR DEL COMPUTADOR: •Procedimientos administrativos •Otros

2. 2. AUDITORIA AUDITORIA EN EN EL EL COMPUTADOR: COMPUTADOR: •Examen •Examen de de aplicaciones aplicaciones •Eficiencia/eficacia •Eficiencia/eficacia de de los los sistemas sistemas •Otros •Otros 29

3. AUDITORIA A TRAVES DEL COMPUTADOR: •Controles entrada/salida •Eficiencia/eficacia en la operación de los sistemas •Otros

Conceptos Técnicos

Conceptos de Seguridad de la Información •

31

Niveles de seguridad: Seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia. Conviene aclarar que no siendo posible la certeza absoluta, el elemento de riesgo esta siempre presente, independiente de las medidas que tomemos, por lo que debemos hablar de niveles de seguridad. La seguridad absoluta no es posible y en adelante entenderemos que la seguridad informática es un conjunto de técnicas encaminadas a obtener altos niveles de seguridad en los sistemas informáticos. Además, la seguridad informática precisa de un nivel organizativo, por lo que diremos que: Sistema de Seguridad = TECNOLOGIA + ORGANIZACION

Riesgo y Seguridad Riesgo • Proximidad o posibilidad de un daño, peligro, etc. • Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro. • Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro. Seguridad • Cualidad o estado de seguro • Garantía o conjunto de garantías que se da a alguien sobre el cumplimiento de algo. • Ejemplo: Seguridad Social Conjunto de organismos, medios, medidas, etc., de la administración estatal para prevenir o remediar los posibles riesgos, problemas y necesidades de los trabajadores, como enfermedad, accidentes laborales, incapacidad, maternidad o jubilación; se financia con aportaciones del Estado, trabajadores y empresarios. • Se dice también de todos aquellos objetos, dispositivos, medidas, etc., que contribuyen a hacer más seguro el funcionamiento o el uso de una cosa: cierre de seguridad, cinturón de seguridad. 32

Lo importante es proteger la información •

33

Si bien es cierto que todos los componentes de un sistema informático están expuestos a un ataque (hardware, software y datos) son los datos y la información los sujetos principales de protección de las técnicas de seguridad. La seguridad informática se dedica principalmente a proteger la confidencialidad, la integridad y disponibilidad de la información.

Confidencialidad •

34

La confidencialidad se refiere a que la información solo puede ser conocida por individuos autorizados. Existen infinidad de posibles ataques contra la privacidad, especialmente en la comunicación de los datos. La transmisión a través de un medio presenta múltiples oportunidades para ser interceptada y copiada: las líneas "pinchadas" la intercepción o recepción electromagnética no autorizada o la simple intrusión directa en los equipos donde la información está físicamente almacenada.

Integridad • La integridad se refiere a la seguridad de que una información no ha sido alterada, borrada, reordenada, copiada, etc., bien durante el proceso de transmisión o en su propio equipo de origen. Es un riesgo común que el atacante al no poder descifrar un paquete de información y, sabiendo que es importante, simplemente lo intercepte y lo borre.

35

Disponibilidad • La disponibilidad de la información se refiere a la seguridad que la información pueda ser recuperada en el momento que se necesite, esto es, evitar su pérdida o bloqueo, bien sea por ataque doloso, mala operación accidental o situaciones fortuitas o de fuerza mayor. 36

Otros problemas comunes •

37

Otros problemas importantes de seguridad son la autentificación, es decir la prevención de suplantaciones, que se garantice que quien firma un mensaje es realmente quien dice ser; el no repudio, o sea que alguien niegue haber enviado una determinada información (que efectivamente envió) y los controles de acceso, esto es quien tiene autorización y quien no para acceder a una parte de la información.

Verificar el origen de la información • Finalmente se tiene el problema de la verificación de la propiedad de la información, es decir que una vez que se ha detectado un fraude determinar la procedencia de la información. 38

Daños no intencionados •

39

No todos los riesgos que amenazan la información son de origen dañino. Es por ello que las medidas de seguridad no deben limitarse a la mera protección contra ataques e intrusiones de terceros, pues dentro de la misma organización y por parte de individuos de confianza existen riesgos contra la disponibilidad de la información ya sea por negligencia, descuido, ignorancia o cualquier otro tipo de mala práctica, la información puede ser alterada, sustituida o permanentemente borrada. Además están siempre presentes los riesgos de pérdida o alteración por virus o situaciones fortuitas de fuerza mayor, tales como incendios, inundaciones o catástrofes naturales.

Delito informático Delitos accidentales e incidentales: • Los delitos cometidos utilizando la computadora han crecido en tamaño, forma y variedad. • En la actualidad (1994) los delitos cometidos tienen la peculiaridad de ser descubiertos en un 95% de forma casual. Podemos citar a los principales delitos hechos por computadora o por medio de computadoras estos son: • fraudes • falsificación • venta de información Entre los hechos criminales más famosos en los E.E.U.U. están: • El caso del Banco Wells Fargo donde se evidencio que la protección de archivos era inadecuada, cuyo error costo USD 21.3 millones. • El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales. • El caso de un muchacho de 15 años que entrando a la computadora de la Universidad de Berkeley en California destruyo gran cantidad de archivos. • También se menciona el caso de un estudiante de una escuela que ingreso a una red canadiense con un procedimiento de admirable sencillez, otorgándose una identificación como un usuario de alta prioridad, y tomo el control de una embotelladora de Canadá. • También el caso del empleado que vendió la lista de clientes de una compañía de venta de libros, lo que causo una perdida de USD 3 millones. 40

Algunas causales de delito Mayor riesgo • Beneficio personal • Síndrome de Robín Hood • Odio a la organización • Mentalidad turbada • Equivocación de ego • Deshonestidad del departamento • Problemas financieros de algún individuo • Fácil modo de desfalco Menor riesgo • Beneficio de la organización • Jugando a jugar 41

Sistemas de respaldo y redundantes •

42

Los sistemas de respaldo (backup) y los sistemas redundantes son dos técnicas para proteger los datos contra pérdida por borrado accidental o desastres fortuitos. Ambos sistemas son complementarios en cuanto a la seguridad que ofrecen ya que tanto los respaldos como la redundancia, por si solos, no cubren toda la necesidad.

Redundancia Sistemas RAID •

43

Un RAID es un conjunto de unidades de disco que aparecen lógicamente como si fueran un solo disco. Así los datos, distribuidos en bandas, se dividen entre dos o más unidades. Esta técnica incrementa el rendimiento y proporciona una redundancia que protege contra el fallo de uno de los discos de la formación. Existen varios niveles RAID a partir del nivel 0, en el que los datos se dispersan en varias unidades pero no hay redundancia (gran rendimiento pero nula seguridad). Luego el nivel 1 o mirroring (espejo) en el cual los datos se escriben duplicados en distintas unidades, este método no incrementa el rendimiento pero si la seguridad y es, de hecho uno de los más utilizados. Los demás niveles RAID son una combinación de los conceptos anteriores y buscan aumentar la seguridad y el rendimiento simultáneamente. Existen sistemas operativos, que ofrecen administración RAID incorporada, como por ejemplo Windows NT que ofrece los niveles 0, 1 y 5. Como es obvio si se implementa el nivel 1 (discos espejo, donde todo lo que se escribe en un disco es duplicado automáticamente) , la duplicación debe ser en un disco físico diferente.

Tolerancia a fallos •

44

La tolerancia a fallos es la capacidad de un sistema a responder a un suceso inesperado, como puede ser un fallo de suministro eléctrico o un fallo de hardware de forma que no se pierdan datos. Cabe señalar que la redundancia no protege contra el borrado accidental, la operación negligente, etc. ya que cualquier operación (aún las erróneas) es automáticamente duplicada en todas las unidades. Así, la redundancia, junto con los sistemas de alimentación ininterrumpida (UPS y grupos electrógenos) proporcionan seguridad solamente en caso de cortes de suministro o fallos del hardware.

•

45

El back-up

El "backup" consiste en realizar copias de seguridad de la información. Estas copias pueden realizarse de forma manual y periódica. Pero, ¿cual es el objeto de hacer copias manualmente si tenemos un sistema redundante?. La ventaja de los "backups" es que por efectuarse según ciertos períodos, la información respaldada no es exactamente igual a la actual. Esto permite cierta protección contra los errores humanos, borrado accidental o uso negligente ya que si nos damos cuenta a tiempo (esto es, antes de que se haga un "backup" del error) podremos recuperar los datos con cierto desfase de tiempo y solo será necesario actualizar ese desfase. Hay multitud de sistemas de copia de seguridad. Las más recomendables son las que dejan dos desfases (diarios y semanales por ejemplo) ya que proporcionan una mejor seguridad, i.e. si se copió el error en el primer período aún nos queda un segundo para recuperar.

Virus: •

• • •

46

Finalmente tenemos las amenazas de los virus y programas troyanos. Los mecanismos conocidos hasta el momento para la propagación de virus son los archivos ejecutables (con extensión .exe, .com o .bat) y los componentes de Microsoft Office que aceptan macros con el lenguaje Visual Basic para Aplicaciones (principalmente Word y Excel con macros). Los troyanos se propagan a través de archivos ejecutables. Así la única forma conocida en que un virus puede instalarse en un equipo es Ejecutando un programa infectado, ya sea directamente desde un diskette, bajado desde Internet o abierto desde un "attach" recibido por correo electrónico Abriendo un documento de MS-Office 97 (o superior) teniendo deshabilitada o haciendo caso omiso a la alerta contra macrovirus habilitada por defecto en Office. Es decir que las precauciones elementales contra la adquisición de un virus son: – No usar programas grabados en diskette (particularmente juegos o utilidades) de procedencia desconocida. – No usar programas bajados de sitios poco confiables de Internet. – No abrir attach de correo electrónico cuyo contenido o remitente se desconozcan o no sean de confianza.

Diferencia entre virus y troyanos •

•

47

Existe una gran variedad de virus (varios miles, de hecho) cuyos efectos van desde los simplemente molestos hasta los que destruyen información específica o bien toda la contenida en el disco duro. Lo característico de los virus es que una vez que se instalan en el ordenador pasan largo tiempo sin provocar ningún efecto, aparte de infectar a todos los demás programas que se ejecuten. Después de este período el virus actúa sobre el equipo en que estaba instalado. Los troyanos son programas que permiten a extraños intervenir en un ordenador remoto que está conectado a internet, es lo que se conoce como "hackear" o más correctamente "nukear" un computador remoto. Existen una multitud de programas que permiten hacer esto como es netbus, mere, back oriffice, Backdoor.SubSeven.20, etc. Pese a sus diferentes efectos, virus y troyanos comparten características comunes en su forma de operar y propagarse, pero cabe señalar que los antivirus actuales detectan indistintamente virus y troyanos.

Métodos de proteción contra intrusiones remotas •

•

48

En su aspecto más básico, la protección contra "caballos de troya" se basa en el uso de antivirus que tienen la capacidad de detectar los troyanos más conocidos. Sin embargo existe la posibilidad de ataques más sofisticados por lo que se hace necesario el uso de software del tipo cortafuegos (firewalls) o detectores de Intrusiones, que monitorizan los intentos de introducirse a un sistema sin la debida autorización (ataques a la Intranet). Estos detectores pueden estar basados en los Host (Omni Guard, Stalker y otros) o en la red (Real Secure, Cyber Cop, Net Ranger). La detección de intrusos es bastante cara y constituye solo parte de un sistema completo de seguridad, que puede complementarse con sistemas autentificación fuerte como Safeguard VPN.

La seguridad es un problema integral •

49

Los problemas de seguridad informática no pueden ser tratados aisladamente ya que la seguridad de todo el sistema es igual a la de su punto más débil. Al asegurar nuestra casa no sacamos nada con ponerle una puerta blindada con sofisticada cerradura si dejamos las ventanas sin protección. De manera similar el uso de sofisticados algoritmos y métodos criptográficos es inútil si no garantizamos la confidencialidad de las estaciones de trabajo. Por otra parte existe algo que los hackers llaman "Ingenieria Social" que consiste simplemente en conseguir -mediante engaño- que los usuarios autorizados revelen sus passwords. Por lo tanto, la educación de los usuarios es fundamental para que la tecnología de seguridad pueda funcionar. Es evidente que por mucha tecnología de seguridad que se implante en una organización, si no existe una clara disposición por parte de la Dirección General y una cultura a nivel de usuarios, no se conseguirán los objetivos perseguidos con la implantación de un sistema de seguridad.

Casos

Caso Tributación Virtual 1: E. Wong • IGV: Venta se trata como venta local, la diferencia es que se paga desde el exterior. • Renta: Fuente peruana

51

Caso Tributación Virtual 2: Tortas Perú

CLIENTE DEL EXTERIOR

52

PAGO CON VISA

SE ENCARGA PREPARAR LA TORTA A AFILIADA MAS CERCANA AL DOMICILIO DEL BENEFICIARIO

BENEFICIARIO LOCAL

Caso Tributación Virtual 2: Tortas Perú • IGV: Venta se trata como venta local, la diferencia es que se paga desde el exterior. • Remuneraciones: Honorarios Locales. • Renta: Fuente peruana

53

Caso Tributación Virtual 3: Servicios Globalizados Cliente: Resto del Mundo

MEDIO DE PAGO: ISLAS CAIMAN

DOMINIO: miempresa.com.uk DNS: India Hosting: Australia

Empresa: Perú 54

Productos: Cuba HABANOS

Caso Tributación Virtual 3: Servicios Globalizados • IGV: ¿Venta de exportación?, no afecta a IGV?, ¿sujeta a leyes de Cuba al resto del mundo? • Renta: ¿Fuente peruana?, ¿Fuente del exterior?, ¿Dónde esta la renta? • Aparecerán: PARAÍSOS VIRTUALES???? • Falta regulación específica. • ¿Con que tecnología la Administración Tributaria controlará estas transacciones?

55

¿Nace un nuevo tributarista? • El tributarista sin papeles. • Usa solo software: PDT, TEF, etc. • Domina reglas de la tributación virtual. 56

Declaración electrónica PDT CONTRIBUYENTE

DDJJ PDT

SUNAT

Hipótesis: •Falla del sistema. •Alteración de datos por negligencia, impericia, imprudencia o dolo. •NO HAY FORMA DE VERIFICAR LA INTEGRIDAD DE LA DATA ENTREGADA POR EL CONTRIBUYENTE

57

REMITENTE::

Firma electrónica Ley 25262 del 28 de Mayo del 2000 •CLAVE PRIVADA SOLO LO CONOCE EL REMITENTE

MENSAJE + CLAVE PRIVADA

MENSAJE CIFRADO •CLAVE PÚBLICA DISPONIBLE EN SERVIDORES PUBLICOS EN INTERNET

DESTINATARIO: MENSAJE CIFRADO + CLAVE PUBLICA = MENSAJE ABIERTO CON CERTIFICACIÓN DE ORIGEN

58

•CUALQUIER ALTERACIÓN AL MENSAJE CIFRADO IMPIDE ABRIRLO. •LA LEY LE DA FUERZA VINCULANTE

Road Map de un proyecto ebusiness 1. MODELO DE NEGOCIO: •Suscripción •Transacción Basado en negocio real o puramente virtual

5. OPERACIÓN: •Marketing •Soporte Tecnológico •Logística de Transacción

2. ESTUDIO DE LAS MEJORES EXPERIENCIAS: •Benckmark •Revisar sitios web: estilo y contenido

3. MAP SITE: •Propuesta Grafica •Propuesta de Contenido •Requerimiento Funcional (Lógica y Esfuerzo)

4. IMPLEMENTACIÓN: •Infraestructura Tecnológica. •Tercerización •Desarrollo, Pruebas y Puesta en Producción. 59

El Proceso del Comercio Electrónico Ciber-Cliente, Ciber-Cliente, navega, navega, se se divierte, divierte, decide decide comprar comprar

Operador logístico recibe orden de despacho, recoje mercadería de tienda

Entrega mercadería al cliente

Proceso de la transacción

Elige sus productos

60

Paga su compra con tarjeta de crédito/ débito

Descontamos comisiones, transferimos el saldo

Tienda incrementa sus ventas

Técnicas

* Analizando datos con Access * Analizando datos con Tablas Dinámicas – Excel

...Gracias por su Atención Francisco Villón Bustamante Gerente General de Tecnología de Gestión [email protected] www.tecnologiadegestion.com

62