Conceptos de Seguridad - Información y Tecnología

Anuncio
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Conceptos de Seguridad




“El único sistema seguro es aquel que: está apagado y desconectado, enterrado en un refugio de
cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien
armados. Aún así, yo no apostaría mi vida por él.” - Gene Spafford - Professor of Computer
Sciences and Philosophy, Purdue University
"La combinación de espacio, tiempo y fuerza, que deben considerarse como los elementos básicos
de esta teoría de la defensa, hace de ésta una cuestión complicada. Por consiguiente, no es fácil
encontrar un punto fijo de partida". De la guerra, Karl Von Clausewitz.
“El arte de la guerra nos enseña a confiar no en la posibilidad de que el enemigo no venga, sino en
nuestra propia disponibilidad para recibirlo; no en la oportunidad de que no ataque, sino en el
hecho de que hemos logrado que nuestra posición sea inexpugnable”. El arte de la guerra, Sun
Tzu.
In God we trust. All others we monitor — Lema de la NSA
Activos de Información: es todo aquel recurso valioso o de importancia para la actividad. Esto puede
ser:






Información propiamente tal: Bases de datos, archivos, conocimiento de la persona.
Documentos: manuales, contratos, facturas.
Software: Aplicaciones, sistemas operativos, utilitarios.
Físicos: Equipos, edificios, redes.
Recursos Humanos: personas internas o externas al proyecto.
Servicios: Electricidad, soporte, mantención.
Principios de Seguridad


Mínimos privilegios de acceso a los recursos
Mínima exposición: no se vea mas que lo necesario
Algunas palabras sobre seguridad











SEA PARANOICO
El ambiente actual está caracterizado por un mercado altamente
competitivo, donde la “tecnología” y la “información” desempeñan
un papel importante en la atención de clientes
Los intrusos son cada vez mas sofisticados…
Construyen bases de conocimientos y desarrollan habilidades
Se apalancan en la automatización se mueven fácilmente a lo largo de la infraestructura y sacan
provecho de la red
Son cada vez más hábiles y disfrazan su comportamiento
Internet se ha vuelto indispensable para los negocios
IDEA FUNDAMENTAL: La seguridad es un proceso continuo que NO puede ser reemplazado
exclusivamente por la compra de equipos
La Seguridad NO es sólo tecnología..... Es un proceso...
Ud. No puede comprar un equipo que le garantice la seguridad que necesita...
Ud. Puede procurar operar de manera segura...
1
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
La seguridad como estrategia
El ambiente de negocio electrónico abre nuevos riesgos en el manejo de la información de la
institución, los cuales deben ser evaluados y manejados apropiadamente
Ecuación del Riesgo
2
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
RIESGO = amenazas X vulnerabilidades




Amenazas INTERNAS Y EXTERNAS
Vulnerabilidades INTERNAS Y EXTERNAS
Exposición
¡ El riesgo nunca puede ser cero ! Riesgo Residual
Para manejar los riesgos, las empresas buscan tecnologías que se puedan operar de manera segura y
que se ajusten a sus necesidades de negocio
A nivel organizacional
3
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Vulnerabilidad y Abuso

















Por que son vulnerables?
Hackers
Virus
Preocupaciones de desarrolladores y usuarios
Problemas de calidad de los sistemas
Complejidad
Procedimientos por computadora no siempre son auditados
Extensión de los efectos de los desastres
Posible acceso sin autorización
Radiación: alterar la grabación de datos
Hardware: conexiones defectuosas.
Software: Fallas de protección y control
Archivos: Robo, copia
Usuario: Identificación, autenticación, modificaciones al código
Programador: Desmantelar módulos de protección de fallas y revelar las políticas de
protección.
Personal de Mantenimiento: “desmantener” al sistema
Operadores: No notificar de errores que detecta
Incidentes con los Sistemas de Información






Caídas de sistema
Vulnerabilidad
Intencional
No intencional
Delitos
Tipos
4
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI



Métodos de ataque
Leyes
Delitos de acuerdo a lo que cada ley ESTABLEZCA
Amenazas a los Sistemas Información










Problemas de Hardware
Incendios
Fallas del software
Problemas eléctricos
Acciones del personal
Errores de los usuarios
Accesos no permitidos
Cambios en los programas
Robo de datos
Problemas en los servicios y equipos de comunicaciones
Ataques Electrónicos




Bombas Lógicas: Programa que "detona" cuando se ejecutan ciertas instrucciones, se cumple un
plazo o en un momento especifico
Sabuesos: Intercepción de telecomunicaciones
Gusanos: Paralización de los sistemas
Fusil HERF: High Energy Radio Frequency - intercepción electrónica de equipos para dejarlos
fuera de operación o alteracion remota (ver pelicula “La Emboscada”)
5
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Desastre


Perdidas de Hardware, Software, Datos, Incendios, Fallas de Energía, Inundación u otra
calamidad.
Sistemas para tolerar fallas: Backup, particularmente para transacciones on-line
Donde ocurren los errores?












Preparación de Datos
Transmisión
Conversión
Completar formularios
Entrada de datos On-Line
Tipeo
Otras entradas
Validación
Proceso / Mantenimiento de Archivos
Salidas
Transmisión
Distribución
Problemas de Calidad en los Sistemas




Software & datos
Bugs: Errores en el programa
Mantenimiento: Modificar un Sistema en Producción puede tomar mucho tiempo
Calidad de Datos: Hallarlos y corregirlos es costoso
Seguridad e Internet







Encriptado: Codificación de los mensajes para denegar accesos no autorizados.
Autenticación: Habilidad para identificar a alguien.
Integridad del los Mensajes
Firma Digital
Certificado Digital
SECURE ELECTRONIC TRANSACTION: Estándar para transacciones con tarjeta de crédito en
Internet
ELECTRONIC CASH: Moneda electrónica que permite que permanezca anónimo el usuario
Desarrollar una estructura de control







Costos: Pueden ser caros y complicados.
Beneficios: Reduce errores, perdida de tiempo, recursos
Riesgo: Determinar la frecuencia de ocurrencia del problema y los daños que este provoca
Encriptacion: Codificacion y modificacion de los mensajes para evitar el acceso no autorozado y la
intercepcion.
Autenticacion: Para identificar lo que envian terceras personas.
Integridad del mensaje
Firma digital
6
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI









Certificado digital
Billetera Digital: Software que almacena info de tarjeta credito, debito, ID usuario y se usa en
transacciones e-commerce.
Secure Electronic Transaction: Standard para transacciones con tarjeta de credito en Internet
CREDIT CARD-SET: Protocolo de pago seguro.
ELECTRONIC CASH: Dinero digital
ELECTRONIC CHECK: Firma digital encriptada.
SMART CARD: Almacena e-cash
ELECTRONIC BILL PAYMENT: Transferencias electrónicas p.e. pagomiscuentas.com
Sistemas de pago electronico
Abusos por Internet





Hacking (y sub-clases): Acceder a datos propietarios
Jamming (bloqueo): Meterse en un Host para “colgarlo”
Software puro: Virus
Sniffing (olfateo): Interceptar datos que pasan por un sistema: Tarjetas de Credito
Spoofing: Representacion fraudulenta de la identidad (robada)
Integridad
Habilidad de asegurar que el soft, las aplicaciones, datos, la conectividad, configuraciones de hard y
los privilegios no puedan ser alterados durante su almacenamiento y/o transmisión
Disponibilidad
Garantizar la posibilidad de poder utilizar los elementos de cualquier capa en el momento necesario.
(plan de contingencia).
Accesibilidad
Que cada objeto del sistema pueda ser accedido si y solo si el sujeto que lo accede tiene autorización
para hacerlo.
Una cadena es tan fuerte como su eslabón más débil. “La puerta y la cerradura trabajan en conjunto”
Política de Seguridad



Debe abarcar y contemplar TODOS los aspectos de la seguridad y del sistema
Equilibrio en la ecuación Costo = Beneficios
Definición de estrategias que abarquen
o Valor de la información
o Costo de protegerla
o Costo de perdida
o Nivel físico
o Nivel humano (todos)
o Nivel lógico
o Nivel logístico
Agujeros de Seguridad


Se manifiestan (en general) de cuatro modos:
Agujeros de Seguridad Físicos
7
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o



El problema potencial es debido al hecho de dar a personas, sin autorización, acceso
físico a la máquina, y que se les permita realizar cosas que no debieran ser capaces de
hacer.
o Por ejemplo dejar estaciones de trabajo con facilidades de reinicialización en modo
monousuario y rastrear los archivos locales de la estación.
Agujeros de Seguridad en el Software
o El problema está causado por una mala escritura de partes "privilegiadas" de software
(daemons, cronjobs) que pueden estar comprometidos a realizar tareas que no deberían.
Agujeros de Seguridad por Incompatibilidades
o El problema se da por falta de experiencia o por descuido del administrador del sistema,
haciendo funcionar software sobre un hardware para el que no está optimizado, dando
lugar a posibles resultados inesperado y fallos que pueden dañar seriamente la seguridad
del sistema.
o Es la incompatibilidad entre software y hardware la que crea agujeros de seguridad.
Son muy difíciles de encontrar una vez que el sistema está montado y funcionando, de
manera que es muy conveniente el leer atentamente la documentación del software y del
hardware que se va a montar (o que pretendemos atacar) y estar muy atento a cualquier
noticia o actualización.
Elección y Mantenimiento de Filosofía de Seguridad
o El problema es de percepción y el entendimiento.
o Software perfecto, hardware protegido y componentes compatibles no funcionan a menos
que se haya elegido una política de seguridad correcta y que se hayan puesto en marcha
las partes del sistema que la refuerzan.
o Tener el mejor mecanismo de password del mundo es inútil si los usuarios creen que la
última parte del nombre de su login es un buen password!
o La seguridad está relacionada con una política (o conjunto de políticas/normas) y el
funcionamiento del sistema conforme a dicha política.
Bug





En inglés significa bicho.
Término que procede desde los albores de la informática, cuando los computadores funcionaban
con relays y lámparas de vacío.
Uno de los problemas a solucionar era la presencia de insectos que se introducían entre ellos
haciendo contactos indebidos provocando funcionamiento hicieran erróneo.
Ahora se emplea para identificar las fallas de software.
A la búsqueda y reparaciones de estas fallos se las denomina debuggers.
Exploit


Aprovecha vulnerabilidades de los Sistemas Operativos.
Suele ser un método concreto (forma o programa) de usar un error de algún programa (bug) para
entrar en un sistema informático (por ejemplo, para obtener los privilegios del administrador y así
tener un control total sobre el sistema).
8
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
FRAUDE (s/LEY)


Art. 173 inc 7 Código Penal: El que por disposición de la ley, de la autoridad o un acto jurídico,
tuviera a su cargo el manejo, la administración o el cuidado de bienes e intereses pecuniarios
ajenos, y con el fin de procurar para sí o para un tercero un lucro indebido o para causar daño,
violando sus deberes perjudicare los intereses confiados u obligare abusivamente al titular de
éstos.
Conjunto de acciones reñidas con la ética, la moral y en muchas ocasiones con la ley orientadas a
obtener un beneficio para sus autores o terceros, provocando un perjuicio económico a la entidad,
tercero, etc.
Para que haya fraude debe mediar ardid o engaño de aparentar una situación o aprovecharse de
ella, para proceder de manera indebida, conformando ello un delito.
USURPACION DE IDENTIDAD:
Cuando un delincuente sustituye la identidad de una persona por la de él, ya sea:
- adulterando/fraguando su documento de identidad.
- realizando trámites, transacciones impersonalizadas.
- apoderándose de documentación personal de la víctima para utilizarla como ardid de
ingeniería social.
DOCUMENTACION APOCRIFA:
Elementos alojados en el legajo de apertura de un producto bancario como respaldo de documentación
requerida por política comercial, los cuales luego de contrastar su veracidad, se concluye que los
mismos son FALSOS, por ejemplo:
- facturas de servicios.
- comprobantes de pagos de impuestos.
- recibos de sueldo.
- contratos de locación, etc.
- resúmenes de cuenta de tarjetas de crédito.
- poderes, estatutos, etc.
- firmas, rúbricas en legajos, etc.
FRAUDE CON INGENIERIA SOCIAL:
Cuando un delincuente mediante mecanismos impersonalizados como ser el teléfono, internet, correo,
etc. engaña a una persona y obtiene de ella sin que lo advierta, datos particulares y sensibles de sus
cuentas bancarias o de su vida familiar, etc. las cuales luego utiliza en provecho propio de manera
delictual y perjudicando a dicha persona.
MAN IN THE MIDDLE:
Variante dentro del fraude con uso de la ingeniería social, por el cual un delincuente se comunica con
un cliente haciéndose pasar por el Banco y obtiene datos de éste, y luego (o visceversa) se comunica
con el Banco haciéndose pasar por el cliente. De esa forma hace un trabajo de engaño con ambas
puntas, y una vez que obtuvo la información, acceso o permiso necesario para perpetrar su delito, lo
ejecuta. El Banco piensa en todo momento que está hablando con el cliente y éste piensa lo mismo, a
la inversa.
Denegación de Servicio
En ingles Denial Of Service (DoS). Incidente en el cual un usuario o una organización se ven privados
de un recurso que normalmente podrían usar. Habitualmente, la pérdida del servicio supone la
indisponibilidad de un determinado servicio de red, como el correo electrónico, o la pérdida temporal de
toda la conectividad y todos los servicios de red. En los peores casos, por ejemplo, un sitio web
9
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
accedido por millones de personas puede verse forzado temporalmente a cesar de operar. Un ataque
de denegación de servicio puede también destruir programas y archivos de un sistema informático.
Aunque normalmente es realizado de forma intencionada y maliciosa, este tipo de ataques puede
también ocurrir de forma accidental algunas veces. Si bien no suele producirse robo de información
estos ataques pueden costar mucho tiempo y dinero a la persona u organización afectada.
PGP
Pretty Good Privacy - Privacidad Bastante Buena. Conocido programa de libre distribución, escrito por
Phil Zimmermann, el cual impide, mediante técnicas de criptografía, que archivos y mensajes de correo
electrónico puedan ser leídos por otros. Su finalidad es proteger la información distribuida a través de
Internet mediante el uso de criptografía de clave pública, así como facilitar la autenticación de
documentos gracias a firmas digitales.
Pharming
Se denomina Pharming al acto de explotar una vulnerabilidad en el software de un servidor de DNS,
que permite que una persona se "adueñe" del dominio de un website, por ejemplo, y redirija el trafico
hacia otro sitio.
Phishing









"Phishing" (pronunciado como "fishing", "pescar" en inglés) se refiere a comunicaciones
fraudulentas diseñadas para inducir a los consumidores a divulgar información personal, financiera
o sobre su cuenta, incluyendo nombre de usuario y contraseña, información sobre tarjetas de
crédito, entre otros.
El correo electrónico comúnmente es utilizado como una herramienta de "phishing" debido a su
bajo costo, mayor anonimato para quien lo envía, la habilidad de alcanzar instantáneamente a un
grupo grande de usuarios, y el potencial de solicitar una respuesta inmediata.
Sin embargo, los estafadores también han usado ventanas "pop-up", correo directo y llamadas
telefónicas.
Este tipo de correos electrónicos generalmente parecen provenir de instituciones financieras,
compañías de seguros o minoristas legítimos.
Técnicas tales como una dirección "De" o "From" falsa, el uso de logos aparentemente auténticos
de instituciones financieras, o gráficos y ligas a sitios, suelen ser usados para engañar a los
clientes y hacerles creer que están tratando con un pedido legítimo acerca de su información
personal.
Estos correos electrónicos fraudulentos usualmente crean un falso sentido de urgencia destinado a
provocar que el destinatario tome una acción inmediata; por ejemplo, frecuentemente invitan a los
destinatarios a validar o actualizar información de su cuenta, o a llevar a cabo una cancelación.
Este tipo de delito informático se lo conoce como “phishing”, y consiste en el envío de correos
electrónicos, en los cuales el destinatario cree que el remitente se trata de una entidad reconocida
y seria (usualmente bancos u organizaciones como el Consejo), en los que se solicita al usuario
que por unos u otros motivos actualice o verifique sus datos de cliente a través, normalmente, de
un enlace a una página que simula ser de la entidad suplantada.
Una vez que el usuario remite sus datos, los estafadores pueden proceder a operar con los
mismos.
La intención de estos delincuentes cibernéticos es adquirir información confidencial de forma
fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u
otra información bancaria).
10
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI


El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en
una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema
de mensajería instantánea o incluso utilizando también llamadas telefónicas.
El envío de un email solicitando el cambio de datos no es la forma habitual de actuar en
organizaciones como nuestro Consejo, por lo que cualquier notificación por este medio que se
reciba se recomienda que se verifique antes de hacer nada poniéndose en contacto con nosotros.
Phreaker
Persona que hackea las redes telefónicas ajenas para evitar pagar llamadas a larga distancia. Con la
voz sobre Ip (voip), entre otras tecnologías, esta practica debe ser cosa del pasado. Es más barato
usar el internet.
Spoofing
Procedimiento que cambia la fuente de origen de un conjunto de datos en una red, por ejemplo,
adoptando otra identidad de remitente con el fin de engañar a un servidor firewall.
Usuarios roles y permisos











Un punto crítico en los sistemas es el de los permisos y es importante disponer de algun
mecanismo que permita establecer que operaciones podrá realizar cada usuario.
El objetivo es evitar que, por accidente o de forma intencionada, un usuario pueda realizar
operaciones que comprometan la integridad y funcionamiento del sistema.
Para este fin, se utiliza un sistema de roles, permisos y usuarios.
Entendemos por usuario a cualquier persona que accede al sistema. Los usuarios se pueden
agrupar en roles en función de las operaciones que se les permite realizar. Es decir, que cada rol
se caracteriza por disponer de una serie concreta de permisos.
Se entiende por permiso la posibilidad de ejecutar determinadas operaciones o no sobre los
diferentes elementos del sistema.
Se pueden crear los roles que se quiera, pero por lo general se suelen definir los siguientes:
Visitante: usuario que simplemente podrá leer o buscar en los contenidos
Usuarios regulares: se le permiten ciertos accesos para su trabajo diario.
Supervisores: Roles que permiten ver lo que hacen ciertos usuarios y autorizar sus transacciones
Editores/Parametrizadores: gestiona a los usuarios y todos los contenidos del sistema.
Administrador: es el responsable técnico y a veces funcional y puede acceder a cualquiera de los
aspectos del sistema, configurando o modificando cualquier parámetro de éste. Este usuario tiene
control total sobre el mismo, por lo que puede realizar cualquier operación de configuración o
mantenimiento sobre este.
Control
“El empleado solo hace lo que el jefe controla”
Controles





Físicos
De acceso
Seguridad de Datos
Comunicaciones
Administrativos
Idealmente deberían ser PREVIOS / EN LA TRANSACCION y POST-TRANSACCION
11
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Seguridad por Controles Físicos






Keys (llaves, tarjetas)
Locks (teclado)
Antropométricas
Voz
Huellas Dactilares
Scanning del Iris
Controles de acceso



Algo que se “conoce”
o Password
Algo que se “tiene”
o Smart card o token
Algo que se “es”
o Firma, voz, huella dactilar, scanneo retina
Actualmente se combinan las 3
Controles Biométricos






Foto (cambia con la edad)
Huella dactilar (modificable)
Geometría de la mano (cambia)
Retina
Voz (resfrió, laringitis, etc.)
Firma (Nunca “sale” igual)
Estrategia Defensiva
12
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Seguridad de Datos



Confidencialidad
Acceso (eyes only)
Integridad del empleado
Comunicación






Formas de Control
Paridad de datos
Disparidad de datos
CRC
Encriptación
Validación
Controles Administrativos








Apropiada selección, capacitación y supervisión de los empleados.
Lealtad a la empresa
Revocación inmediata de privilegios a empleados desvinculados o transferidos.
Modificación periódica de la forma de acceso
Estándares
Separación de funciones
Auditorias periódicas
Oportunidad para los de Ciencias Económicas, en áreas de Auditoria Interna
13
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Controles de Aplicación




Entrada
Procesos
Salida
Son las distintas “validaciones”
AMBIENTE DE CONTROL









El ambiente de control define al conjunto de circunstancias que enmarcan el accionar de una
entidad desde la perspectiva del control interno y que son por lo tanto determinantes del grado en
que los principios de este último imperan sobre las conductas y los procedimientos
organizacionales.
Es, fundamentalmente, consecuencia de la actitud asumida por la alta dirección, la gerencia, y por
carácter reflejo, los demás agentes con relación a la importancia del control interno y su incidencia
sobre las actividades y resultados.
Fija el tono de la organización y, sobre todo, provee disciplina a través de la influencia que ejerce
sobre el comportamiento del personal en su conjunto.
Constituye el andamiaje para el desarrollo de las acciones y de allí deviene su trascendencia, pues
como conjunción de medios, operadores y reglas previamente definidas, traduce la influencia
colectiva de varios factores en el establecimiento, fortalecimiento o debilitamiento de políticas y
procedimientos efectivos en una organización.
Los principales factores del ambiente de control son:
o La filosofía y estilo de la dirección y la gerencia.
o La estructura, el plan organizacional, los reglamentos y los manuales de procedimiento.
o La integridad, los valores éticos, la competencia profesional y el compromiso de todos los
componentes de la organización, así como su adhesión a las políticas y objetivos
establecidos.
o Las formas de asignación de responsabilidades y de administración y desarrollo del
personal.
El grado de documentación de políticas y decisiones, y de formulación de programas que
contengan metas, objetivos e indicadores de rendimiento.
En las organizaciones que lo justifiquen, la existencia de consejos de administración y comités de
auditoría con suficiente grado de independencia y calificación profesional.
El ambiente de control reinante será tan bueno, regular o malo como lo sean los factores que lo
determinan.
El mayor o menor grado de desarrollo y excelencia de éstos hará, en ese mismo orden, a la
fortaleza o debilidad del ambiente que generan y consecuentemente al tono de la organización.
Crear un Ambiente de Control



Controles: Métodos, Políticas, Procedimientos para proteger activos, exactitud, confiabilidad de los
registros y adhesión a las políticas corporativas
Generales
Aplicaciones
14
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI

Organización y Metodos
Control en los Sistemas de Información




Ubicación
El costo del control
Como se controla
Lo hace una persona, un sistema o ambos en conjunto?
Tipos de control




Areas de control: recursos físicos/ información/recursos financieros/ recursos humanos.
Niveles de control: Operaciones y Finanzas/Estructural/ Estratégico.
Responsabilidades del control: Gerentes/ Controller / Empleados en gral.
Controller: ayuda a los empleados de línea en actividades de control, coordinando y recolectando
información necesaria
Pasos del control





Fijar standard
Medir rendimiento
Comparar rendimiento con standard
Determinar acción correctiva
Comparar lo anterior con el ciclo PDCA.
Conceptos De Control En Los Sistemas Computarizados


El control de un sistema computarizado puede expresarse como un plan destinado a asegurar que
solo los datos validos sean aceptados, procesados completa y exactamente y que prevea la
información y los registros necesarios.
Existen varios ambientes de control relativos a una aplicación:
o CONTROL DE PERSONAL.
o CONTROL DE LAS APLICACIONES.
o SEGURIDAD EN LAS INSTALACIONES DE COMPUTO
Ubicación De Los Controles En Un Sistema De Información




Los controles a las aplicaciones comprende tanto los procedimientos automáticos como los
manuales:
Los procedimientos automáticos incluyen la entrada de datos realizada en las áreas usuarias
externas a la de procesamiento de datos, así como los procedimientos computarizados que
controlan el flujo de datos dentro del sistema.
Los procedimientos manuales se aplican en las áreas usuarias y son desarrollados para asegurar
que las transacciones del procesamiento de datos sean correctamente preparados, autorizados y
procesados.
El flujo de transacciones en el sistema de aplicaciones comprende seis pasos:
15
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
o
o
o
o
o




Origen.
Entrada de datos para procesamiento.
Comunicación.
Procesamiento.
Almacenamiento y recuperación.
Salida.
Origen De La Transacción
o Este control es necesario para asegurar que los datos estén completos y sean exactos
antes de ser ingresados a los sistemas computarizados.
o Origen del documento fuente
o Autorización
o Reparación para la entrada del procesamiento de datos
o Retención de documentos fuentes
o Manejo de errores en documentos fuentes.
Entrada De Datos Para Procesamiento
o Este control debe garantizar que al momento de entrar los datos a las aplicaciones, estos
sean completos y exactos. esto se logra con una combinación de controles manuales y
automáticos.

ENTRADA DE DATOS.

VALIDACIÓN DE DATOS.

MANEJO DE ERRORES.

Para desarrollar controles a la entrada de los datos, se debe tener en cuenta:

EL proceso de entrada sea realizado completamente para todos los
datos fuentes recibidos.

Que se permita validación optima de los datos fuente.

Que los procedimientos de entrada permita detectar y corregir errores y
su posterior reproceso.
Comunicación
o Asegurar la integridad de datos mientras son transmitidos por línea de comunicación.
o MENSAJES DE ENTRADA.
o MENSAJES DE TRANSMISIÓN.
o MENSAJES DE RECEPCIÓN.

para desarrollar controles a la comunicación de datos, se debe tener en cuenta:

Asegurar que los controles adecuados para comunicación de datos estén
operando para cada sistema de aplicación y afectan los datos trasmitidos dentro
de la organización y los trasmitidos sobre portadoras comunes.

Verificar que los controles en uso funcionen correctamente.

Identificar y satisfacer los requerimientos de cambio de los controles de
comunicación de datos.
Procesamiento
o Controles para asegurar la integridad de procesamiento y manejo de errores.
o IDENTIFICACIÓN DE TRANSACCIONES
o MANTENIMIENTO DE ARCHIVOS
o REPORTE DE ERRORES Y CORRECCIONES.
o Para desarrollar controles al procesamiento de datos, se debe tener en cuenta:

Verificar que todas las transacciones son convertidas en entradas para proceso

Verificar totales de control significativos
16
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI





Verificar el procesamiento usando técnicas de prueba validas
Verificar que los controles de proceso no puedan ser saltados
Verificar que el principio de separación de funciones es usado en la operación
del computador.
Almacenamiento Y Recuperación
o Estos controles son necesarios para asegurar que datos correctos y completos son
mantenidos correctamente durante periodos de tiempo definidos. la validez y exactitud de
los datos depende únicamente de la funcionalidad de los controles en el procesamiento.
o MANEJO DE ARCHIVOS:
o LIBRERÍAS,
o BIBLIOTECAS,
o BASES DE DATOS,
o ACCESOS A ARCHIVOS,
o MANTENIMIENTO DE ARCHIVOS,
o BACKUPS
o MANEJO DE ERRORES:
o REPORTES Y CORRECCIONES DE ERRORES.
o Para desarrollar controles para el almacenamiento y recuperación, se debe tener en
cuenta:

Se deben proveer facilidades y procedimientos para protección de archivos de
datos y programas contra perdida, destrucción o cambios no autorizados.

Los procedimientos deben permitir máxima facilidad de uso de archivos y
programas

Proveer facilidades y procedimientos de respaldo y reconstrucción de archivos

Proveer procedimientos que permitan la detención de errores, su corrección y
posterior reproceso.
Salida.
o Estos controles aseguran la integridad de los datos desde el fin del procedimiento, hasta
la llegada de los datos al usuario. asegurar que la información procesada incluya datos
autorizados, completos y exactos.
o Balance y conciliación de información.
o Distribución de datos de salida.
o Control de registro de documentos.
o Manejo de errores.
o Para desarrollar controles al proceso de salida, se debe tener en cuenta:

Utilizar los totales de control a la salida de datos.

Control la distribución de los reportes después de que son impresos.

Asegurar que los datos procesados son únicamente los autorizados.

Seguridad De Un Sistema De Información
La seguridad en los sistemas de información puede definirse como la resultante de los siguientes
componentes.
Controles de seguridad física y funcional.

Esta dado por los controles que protegen a los equipos de computo y los datos contra:
17
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI





Robo
Divulgación no autorizada de la información
Modificaciones no autorizadas de la información
Destrucciones no autorizadas de la información
Las técnicas para seguridad incluyen:
o Medios físicos para salvaguardar el ambiente.
o Procedimientos manuales.
o Rutinas de programas
o Seguridad del sistema operacional.
o Políticas de personal.
Control De Exactitud.

La exactitud esta dada por los controles para evitar errores en los datos de entrada y minimizar la
posibilidad de error adicionales durante el procesamiento de los datos.
o Procesos de validación de datos.
o Totales de control.
o Cruce de información de diferentes fuentes.
Controles De Confidencialidad:

Se refiere a los mecanismos necesarios para asegurar que la información se reciba y utilice
únicamente por las personas autorizadas para ello:
o Proceso de identificación de usuarios.
o Definición de control de acceso por opción.
o Registro de pistas de transacciones.
o Software de seguridad.
o Normas o perfiles de acceso.
o Control de acceso a los datos o programas a través de restricciones lógicas.
o Dispositivos de seguridad de terminales.
Localización de los Controles
Control: se define como Control a cualquier medida de protección orientada a asegurar que se
preserve la Confidencialidad, Disponibilidad e Integridad de los Activos de Información. Algunos
ejemplos de controles son:





Segregación de funciones.
Respaldo de información.
Sistemas de detección y extinción de incendio.
Chequeo de acceso a lugar restringido.
Resguardo de material peligroso (identificación por etiquetado, lugar de almacenamiento)
Control Preventivo: su propósito es impedir eventos que afecten la Confidencialidad, Integridad y
Disponibilidad de los Activos de Información. Por ejemplo:





Contraseñas
Lista de control de Acceso
Cortafuegos
Encriptación
Capacitación de los usuarios
18
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Control Recuperativo: está orientado a restaurar rápidamente los servicios y corregir el efecto de los
incidentes de seguridad, así como facilitar su investigación. Por ejemplo:




Respaldo de datos
Soporte 7 x 24
Planes de contingencia
Plan de continuidad del Negocio
Control Detectivo: está diseñado para detectar intentos de penetrar las barreras de seguridad
implementadas, o el uso inapropiado de los activos de información. Por ejemplo:




Auditorías
Monitoreo del uso de recursos
Revisión de registro de eventos o incidentes.
Sistemas de detección de intrusos(IDS)
Delitos Informáticos













Hasta el presente tomamos conocimiento de distintos hechos delictivos cometidos mediante el uso
de sistemas de información automática (informática), mencionándolos como "delitos informáticos".
En realidad, jurídicamente hablando, éstos fueron considerados como delitos comunes.
Ampliando la definición, se dice que para que exista delito es necesario que la acción reprochable
esté prevista por la legislación con anterioridad a su cometido.
El concepto de "delito informático", si bien se entiende como el delito cometido en un ambiente de
computación, se puede decir que es judicialmente "erróneo", dado que la mayoría de los hechos
son estafas, defraudaciones y hasta hurto cometidos con una nueva herramienta humana: la
computadora, y no es posible calificar el delito por el medio usado.
Este nuevo medio que utiliza el hombre ha penetrado en todo el espectro de la vida, y existen
tareas que ya son imposibles de desarrollar sin sistemas o computadoras.
Delitos informáticos son todas aquellas conductas ilícitas susceptibles de ser sancionadas por el
derecho penal, que hacen uso indebido de cualquier medio Informático.
El delito Informático implica actividades criminales que un primer momento los países han tratado
de encuadrar en figuras típicas de carácter tradicional, tales como robo, hurto, fraudes,
falsificaciones, perjuicios, estafa, sabotaje, etc., sin embargo, debe destacarse que el uso indebido
de las computadoras es lo que ha propiciado la necesidad de regulación por parte del derecho.
Fraude puede ser definido como engaño, acción contraria a la verdad o a la rectitud. La definición
de Delito puede ser más compleja. Muchos estudiosos del Derecho Penal han intentado formular
una noción de delito que sirviese para todos los tiempos y en todos los países. Esto no ha sido
posible dada la íntima conexión que existe entre la vida social y la jurídica de cada pueblo y cada
siglo, aquella condiciona a ésta.
El delito es un acto humano, es una acción (acción, inacción u omisión)
Dicho acto humano ha de ser antijurídico, debe lesionar o poner en peligro un interés
jurídicamente protegido.
Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto típico.
El acto ha de ser culpable, imputable a dolo (intención) o a culpa (negligencia), y una acción es
imputable cuando puede ponerse a cargo de una determinada persona
La ejecución u omisión del acto debe estar sancionada por una pena.
Por tanto, un delito es: una acción antijurídica realizada por un ser humano, tipificado, culpable y
sancionado por una pena.
19
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI

Se podría definir el delito informático como toda acción (acción u omisión) culpable realizada por
un ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o
que, por el contrario, produzca un beneficio ilícito a su autor aunque no perjudique de forma directa
o indirecta a la víctima, tipificado por La Ley, que se realiza en el entorno informático y está
sancionado con una pena.
Tipos de delitos informáticos reconocidos por Naciones Unidas
Fraudes cometidos mediante manipulación de computadoras
Manipulación de los datos de entrada

Este tipo de fraude informático conocido también como sustracción de datos, representa el delito
informático más común ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de
conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las
funciones normales de procesamiento de datos en la fase de adquisición de los mismos.
La manipulación de programas

Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener
conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas
existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un
método común utilizado por las personas que tienen conocimientos especializados en
programación informática es el denominado Caballo de Troya, que consiste en insertar
instrucciones de computadora de forma encubierta en un programa informático para que pueda
realizar una función no autorizada al mismo tiempo que su función normal.
Manipulación de los datos de salida

Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es
el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones
para la computadora en la fase de adquisición de datos. Tradicionalmente esos fraudes se hacían
a base de tarjetas bancarias robadas, sin embargo, en la actualidad se usan ampliamente equipo y
programas de computadora especializados para codificar información electrónica falsificada en las
bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito.
Fraude efectuado por manipulación informática

Aprovecha las repeticiones automáticas de los procesos de cómputo. Es una técnica especializada
que se denomina "técnica del salchichón" en la que "rodajas muy finas" apenas perceptibles, de
transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra.
Falsificaciones informáticas.


Como objeto
o Cuando se alteran datos de los documentos almacenados en forma computarizada.
Como instrumentos
o Las computadoras pueden utilizarse también para efectuar falsificaciones de
documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras
computarizadas en color a base de rayos láser surgió una nueva generación de
falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias
de alta resolución, pueden modificar documentos e incluso pueden crear documentos
falsos sin tener que recurrir a un original, y los documentos que producen son de tal
calidad que sólo un experto puede diferenciarlos de los documentos auténticos.
20
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Daños o modificaciones de programas o datos computarizados.
Sabotaje informático

Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con
intención de obstaculizar el funcionamiento normal del sistema. Las técnicas que permiten cometer
sabotajes informáticos son:
Virus

Es una serie de claves programáticas que pueden adherirse a los programas legítimos y
propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por conducto
de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método
del Caballo de Troya.
Gusanos

Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de
procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no
puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno,
mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano
pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que
subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para
que transfiera continuamente dinero a una cuenta ilícita.
Bomba lógica o cronológica

Exige conocimientos especializados ya que requiere la programación de la destrucción o
modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los
gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los
dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial
de daño. Su detonación puede programarse para que cause el máximo de daño y para que tenga
lugar mucho tiempo después de que se haya marchado el delincuente. La bomba lógica puede
utilizarse también como instrumento de extorsión y se puede pedir un rescate a cambio de dar a
conocer el lugar en donde se halla la bomba.
Acceso no autorizado a servicios y sistemas informáticos

Por motivos diversos: desde la simple curiosidad, como en el caso de muchos piratas informáticos
(hackers) hasta el sabotaje o espionaje informático.
Piratas informáticos o hackers

El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones,
recurriendo a uno de los diversos medios que se mencionan a continuación. El delincuente puede
aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir
deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo,
los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con
frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o
contraseñas de mantenimiento que están en el propio sistema.
Phishing:

Este tipo de delito informático se lo conoce como “phishing”, y consiste en el envío de correos
electrónicos, en los cuales el destinatario cree que el remitente se trata de una entidad reconocida
21
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI


y seria (usualmente bancos u organizaciones como el Consejo), en los que se solicita al usuario
que por unos u otros motivos actualice o verifique sus datos de cliente a través, normalmente, de
un enlace a una página que simula ser de la entidad suplantada. Una vez que el usuario remite
sus datos, los estafadores pueden proceder a operar con los mismos.
La intención de estos delincuentes cibernéticos es adquirir información confidencial de forma
fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u
otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o
empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo
electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas
telefónicas.
El envío de un email solicitando el cambio de datos no es la forma habitual de actuar en
organizaciones como nuestro Consejo, por lo que cualquier notificación por este medio que se
reciba se recomienda que se verifique antes de hacer nada poniéndose en contacto con nosotros.
Reproducción no autorizada de programas informáticos de protección legal

Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas
jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones
penales. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas
reproducciones no autorizadas a través de las redes de telecomunicaciones modernas. Al
respecto, consideramos, que la reproducción no autorizada de programas informáticos no es un
delito informático debido a que el bien jurídico a tutelar es la propiedad intelectual.
Conceptos de Delito
Los delitos informáticos presentan las siguientes características principales:









Son conductas criminales de cuello blanco (white collar crime), en tanto que sólo un
determinado número de personas con ciertos conocimientos (en este caso técnicos) puede
llegar a cometerlas.
Son acciones ocupacionales, en cuanto a que muchas veces se realizan cuando el sujeto se
halla trabajando.
Son acciones de oportunidad, ya que se aprovecha una ocasión creada o altamente
intensificada en el mundo de funciones y organizaciones del sistema tecnológico y económico.
Provocan serias pérdidas económicas, ya que casi siempre producen "beneficios" de más de
cinco cifras a aquellos que las realizan.
Ofrecen posibilidades de tiempo y espacio, ya que en milésimas de segundo y sin una
necesaria presencia física pueden llegar a consumarse.
Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de
regulación por parte del Derecho.
Son muy sofisticados y relativamente frecuentes en el ámbito militar.
Presentan grandes dificultades para su comprobación, esto por su mismo carácter técnico.
Tienden a proliferar cada vez más, por lo que requieren una urgente regulación. Por el
momento siguen siendo ilícitos impunes de manera manifiesta ante la ley.
Delitos informáticos Mundialmente Tipificados






Pornografía infantil por Internet u otros medios electrónicos
Violación, apoderamiento y desvío de comunicación electrónica
Intercepción o captación de comunicaciones electrónicas o telecomunicaciones
Acceso o modificación a una base de datos personales
Publicación de una comunicación electrónica (Wikileaks?)
Acceso a un banco de datos personales
22
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI




Revelación de información registrada en un banco de datos personales
Inserción de datos falsos en un archivo de datos personales
Fraude informático
Daño o sabotaje informático
Diferencias con los delitos “reales”




Frecuentemente su tipicidad es poco clara: legalidad
Son potencialmente muy lesivos (proporción medios /resultados): bien jurídico
Suelen ser cometidos a distancia (problemas de jurisdicción): principio de ubicuidad - territorialidad
delitos de expresión
Dificultad probatoria (rastros escasos): formas de cooperación.
Piratería De Software





La comercialización de software pirata es un delito penal reprimido por la ley de Derechos de Autor
11.723, la que por medio de la reciente reforma incluye expresamente al software,
independientemente de la plataforma en la cual dicho programa se ejecuta.
Ya no existe ninguna duda acerca de la protección civil y penal del software por la ley de Derechos
de Autor y la posibilidad de los productores, distribuidores, licenciatarios y derechohabientes de
perseguir penalmente la copia ilegal de sus productos. Las infracciones a esta ley pueden
acarrear a sus responsables penas de hasta 6 años de prisión.
Lo que la ley está protegiendo es el contenido, la obra creada, el derecho de autor; y lo protege en
forma amplia: prohíbe la reproducción o edición, distribución o venta bajo cualquier forma, sin
tener el derecho respectivo para hacerlo, permitiendo luchar contra la apropiación indebida de
software por quienes lucran con la creación ajena.
CASDI, Cámara del Software Digital Interactivo, es una asociación civil sin fines de lucro cuya
actividad está orientada a fortalecer y optimizar las condiciones de nuestro mercado para un mejor
desarrollo del software multimedia. Por ello, ha iniciado una fuerte campaña antipiratería en
defensa de los derechos de propiedad intelectual que incluye también a videoclubes.
Siendo de público conocimiento la existencia de las copias y falsificaciones, es imposible para un
comerciante el pretender escudarse en una supuesta buena fe respecto de la compra y
comercialización de dichos productos.
Leyes de Protección

El software, así como otras tantas obras e invenciones del hombre, forma parte de lo que se llama
"propiedad intelectual", es decir, bienes intangibles que merecen ser protegidos por una ley ya que
responden al ingenio, esfuerzo y trabajo intelectual de su autor, quien posee el derecho a ser
remunerado por dicho esfuerzo, y debe gozar de la seguridad de que su obra, no será utilizada por
otras personas para lucrar con el trabajo ajeno.
23
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI




La Constitución Nacional de la República Argentina reconoce y protege el derecho de los autores e
inventores sobre sus creaciones y obras (artículo 17). Por ser el software una creación, una obra
intelectual como tal, está protegida por la ley 11.723 de la Propiedad Intelectual.
Según el artículo 2 de la ley 11.723, el titular de los derechos sobre una obra tiene las facultades
de disponer de ella, de publicarla, autorizar su reproducción en cualquier forma, etc. Por lo tanto,
todo aquello que signifique una reproducción del software que no cuente con la expresa
autorización del autor, significa una infracción a sus derechos, y constituye un delito a esa ley, la
que especifica que la pena será aquella aplicable al delito de estafa, que es de 1 mes a 6 años de
prisión.
Confirmando una larga posición jurisprudencial y doctrinaria, el software fue incluido expresamente
dentro del alcance de dicha ley en virtud del Decreto 165/94. Así, según lo establecido, la Ley de
Propiedad Intelectual se infringe si se verifica cualquiera de las siguientes conductas:

Copia o distribución de software sin haber adquirido las licencias correspondientes

Utilización del software en más computadoras de las que autoriza la/s licencia/s

Préstamo o renta del software para que éste pueda ser copiado o distribuido

Quitar los medios técnicos aplicados para proteger el software
Esto es así como aquel que emplee software que no esté debidamente licenciado y que no goce
del consentimiento firme y claro de quien es el titular de los derechos, incurre en responsabilidad
civil según la cual nace la obligación de indemnizar, y su actuar debe considerarse delictivo ya que
dicha violación de los derechos está así prescripta en la ley 25.036 que, aclarando definitivamente
cualquier interpretación errónea, asegura en su artículo 1ƒ:
"Modificase el artículo 1ƒ de la ley 11.723 el que quedará redactado de la siguiente
manera: Artículo 1ƒ: A los efectos de la presente ley, las obras científicas, literarias y
artísticas comprenden los escritos de toda naturaleza y extensión, entre ellos los
programas de computación fuente y objeto; las compilaciones de datos o de otros
materiales; las obras dramáticas, composiciones musicales, dramático-musicales; las
cinematográficas...."
24
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Backup

Dado que resulta prácticamente imposible, debido a limitaciones tecnológicas y sobre todo
financieras, almacenar en copias de respaldo todos los datos que posee una organización para su
recuperación y disposición inmediata, es necesario clasificar los datos de acuerdo al grado de
importancia para las funciones básicas de la organización.
De este modo los datos pueden clasificarse de 3 formas:
1.
2.
3.







Datos críticos: Corresponden a los datos sin los cuales la organización no puede continuar con sus
operaciones.
Datos necesarios: Se encuentran en esta categoría todos los demás datos que son necesarios
para la compañía pero no de forma inmediata ya que las operaciones no se paralizarían sin ellos,
al menos no en el corto plazo.
Datos innecesarios o fuera de respaldo: Son los datos que en el caso de que se pierdan no hay
necesidad de recrearlos.
Una vez identificados los diferentes datos críticos se debe determinar cuanto tiempo puede seguir
operando el negocio sin cada uno de ellos, y así determinar el Tiempo de Recuperación Requerido
para cada dato. En este punto es importante evitar clasificar todos los tipos de datos como que
requieren recuperación inmediata ya que en muchos casos no lo son realmente y esto lleva a un
desperdicio innecesario de recursos. Esto es, cuanto mayor sea la velocidad a la que se necesiten
recuperar los datos, mayor será el costo de la protección.
El backup en cinta es el método tradicional de almacenamiento de datos de respaldo. Mediante
este sistema un dispositivo de almacenamiento en cinta es conectado a un servidor y con la ayuda
de un software especifico se realizan copias de respaldo de los datos del servidor a cinta con una
periodicidad programada. Las cintas son cambiadas por un empleado de la compañía asignado a
tal efecto y las cintas viejas son almacenadas en un deposito fuera de la compañía. Para recuperar
datos, la cinta que los contiene es buscada en el depósito y llevada nuevamente a la organización
donde se procede a la extracción de los archivos.
El avance en las tecnologías de almacenamiento de datos permite hoy en día, y seguramente se
establecerá como estándar en el mediano plazo, la implementación de dispositivos de
almacenamiento ópticos (DVDr) que reemplazaran a la cinta debido a la gran capacidad, creciente
velocidad y cada vez menor costo así también como su alta confiabilidad y duración ya que
prácticamente no se deterioran con el paso del tiempo.
Ventajas: Almacena datos fuera de la compañía para protegerlos contra robos y desastres dentro
de la misma y provee un archivo de datos previos.
Desventajas: El almacenamiento en cinta no es del todo confiable. Además requiere intervención y
monitoreo constante de personas. Por otro lado al estar almacenadas en otro lugar, en el caso de
necesitar recuperar datos en forma urgente, es decir, en el momento, la limitación de la distancia
demora el proceso.
Entre ellas se encuentran los métodos en los que se utilizan RAIDs para replicar los datos
contenidos en un disco primario y almacenarlos en un disco secundario dentro de la organización
copiándolos continuamente, creando de este modo una imagen idéntica de los datos originales. De
esta forma si el dispositivo de almacenamiento principal sufriera algún desperfecto, la organización
podría seguir operando utilizando los datos duplicados en los dispositivos de almacenamiento de
respaldo.
Ventajas: Provee una copia de los datos críticos actuales que pueden estar disponibles en forma
inmediata. También reduce la principal causa de perdida de datos, las fallas del hardware.
25
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI

Desventajas: Se limita a proteger contra fallas del hardware. Si un dato original es borrado o
corrompido, el daño se duplicará en la copia de respaldo y no se podrá revertir.
Replicación Off-Site

Este método utiliza software de replicación y una conexión de red para copiar los datos de un
servidor original a uno ubicado fuera de la organización donde es guardado como copia de
respaldo. Los datos se transmiten vía Internet o una conexión de red privada entre los dos lugares.

Ventajas: Provee una copia de los datos críticos actuales los cuales se almacenan fuera de la
organización, protegiéndolos de daños físicos. Los datos están disponibles en forma inmediata.
También reduce la principal causa de perdida de datos, las fallas del hardware.

Desventajas: El costo del hardware y el software puede ser demasiado elevado y como en la
redundancia de datos si un dato original es borrado o corrompido, el daño se duplicará en la copia
de respaldo y no se podrá revertir.
Servicio de Administración de Backup Online o en la nube



Esta solución combina aspectos del backup en cinta y la replicación off-site brindando una solución
tercerizada. En primer lugar se replican los datos a través de Internet mediante una conexión de
banda ancha, en un servidor que esta ubicado fuera de la organización y que pertenece a quien
brinda el servicio. Los datos del servidor de respaldo son archivados en cinta en intervalos
regulares y son almacenados en lugares seguros. La recuperación de datos puede realizarse en
forma inmediata a través de la misma conexión a internet.
Ventajas: Permite el acceso tanto a datos recientemente copiados como a datos históricos. Los
datos son almacenados off-site, pero pueden ser recuperados en minutos. Los backups se realizan
en forma automática lo cual no permite que se produzcan errores por la intervención de humanos.
Desventajas: Requiere una conexión con un ancho de banda suficiente. Para mas de 20 GB de
datos es necesaria una conexión T1, para las menores alcanza con una DSL. Si se necesita un
ancho de banda superior para usar el servicio, el costo total puede ser muy elevado.
El costo de no hacer backup




Una posibilidad diaria: que ocurra un desastre. Y actualmente, puede ocurrir. Incluso muy
frecuentemente ocurre la pérdida de archivos aislados. El costo de recuperar esos datos puede ser
muy significativo. La pérdida de archivos y datos, implica una gran pérdida de tiempo y también la
pérdida de negocios o clientes en situaciones críticas o si no puede encontrar la información
cuando la necesita.
La mayoría de las personas conocen a alguien que ha perdido los datos. El costo de rehacer los
datos perdidos puede ser muy significativo.
Cuando se pierden datos, de una manera u otra hay formas de recuperarlos. Por ejemplo, la
información que tiene copias en papel, puede ser retipeada. Incluso algunos archivos pueden estar
compilados en otro medio; sin embargo, las actualizaciones realizadas se habrán perdido.
Anualmente, en USA se gastan millones de dólares en rehacer la información perdida. Incluso, hay
empresas especializadas en regenerar archivos y datos dañados desde el medio de
almacenamiento dañado. Este método es costoso en tiempo y dinero, pero afortunadamente
muchas veces se logra recuperar los datos. En otros casos los datos se pierden definitivamente ya
sea porque no hay copias existentes o porque la cantidad de datos perdidos es tanta que es
26
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
imposible recuperarlos. Sólo la imaginación pone límite a las consecuencias posibles de perder
información.

He ahí su red. Archivos dañados o un crash de disco pueden dejar knock out a su red. El tiempo
de baja puede significar cientos o miles de dólares de pérdida. Sin una rutina apropiada de backup
y recuperación, el tiempo perdido puede ser más que grave.
Clasificaciones de Backup
De acuerdo a como se realice el método de backup pueden diferenciarse varias clasificaciones las
cuales no son excluyentes entre si, sino mas bien complementarias.
Según cantidad relativa de datos




Backup completo, diferencial o incremental.
Se pueden combinar de varias formas. Siempre debería guardarse un backup completo off-site.
En un backup completo se almacenan la totalidad de los datos necesarios de una organización.
En un backup diferencial se guardan todos los datos que fueron modificados desde que se realizo
el ultimo backup completo o incremental.

En un backup incremental se guardan todos los datos que fueron modificados desde que se
realizo el ultimo backup haya sido este completo, diferencial o incluso incremental. La ventaja del
backup incremental es que es mas rápido que los demás, pero en el momento de la recuperación
de datos será mas lento el proceso.
Según la periodicidad con que se realiza


Puede ser semanal, diaria, por hora, etc.
La periodicidad con que se realicen las copias de respaldo estará dadas por las necesidades
especificas de cada compañía. Tal vez sea innecesario para una compañía pequeña realizar
backups completos todos los días. Podría, en cambio, realizar backups incrementales diarios y
completos en forma semanal. Sin embargo grandes compañías que manejen grandes volúmenes
de datos en forma diaria tal vez necesiten realizar backups por hora, ya que no pueden permitirse
perder los datos recolectados durante las anteriores 23 horas si realizaran backups diarios.
Según en qué tipo de equipo se realice


Las posibilidades son: servidor o estación de trabajo.
Mientras que una estación de trabajo se maneja por si misma, en un servidor influyen la actividad
de los dispositivos instalados y la red. La diferencia entre ambos esta dada en la en los
requerimientos de performance de los componentes de backup.
Según desde donde se realice.


Puede ser backup local o remoto.
Concierne solamente a lo relacionado con los servidores. Para hacer un backup remoto en una
estación de trabajo es necesario que esta se conecte con un servidor. La cuestión es si se realiza
el backup dentro o fuera del establecimiento. Independientemente de donde se realice el proceso
de backup, las copias de respaldo deben almacenarse off-site.
27
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Políticas de Seguridad


¿Qué son?
o
Normas y procedimientos definidos para asegurar la disponibilidad e integridad de la
información y recursos de una organización
Tipos de políticas
o Política de programa: debe:

crear y definir un programa de seguridad de computación: debe ser claro en
cuanto a qué recursos cubre (hardware, software, personal, información)

establecer direcciones estratégicas de la organización: definición de metas
del programa, como por ejemplo, reducción de errores.

asignar responsabilidades: para implementación del programa

referirse al cumplimiento de la política: requerimientos para establecer el
plan y penalizaciones a aplicar a quienes no cumplan la política.
o Política de asuntos específicos: debe:

Tratar áreas específicas de relevancia para la organización, como por
ejemplo, conectividad a internet o privacidad de correo electrónico.

Ser actualizada con frecuencia, a medida que aparecen cambios en la
tecnología utilizada.

Contener una declaración del asunto: la posición de la organización,
aplicabilidad, roles y responsabilidades, cumplimiento y punto de contacto.
o Política de sistemas específicos: debe:

Enfocarse en decisiones: tomadas por la gerencia para proteger un sistema
en particular, tales como definir hasta dónde se registrará las acciones de
los individuos.

Debe realizarse basada en un análisis técnico

Variar de un sistema a otro: cada sistema necesita objetivos de seguridad
definidos basados en los requerimientos operacionales, ambiente y
aceptación del riesgo por parte de la gerencia.
o Ser expresadas como reglas: quién (por categoría de trabajo, ubicación dentro de la
organización o nombre) puede hacer qué (modificar, borrar) a qué clase específica
de registros de datos y en qué circunstancias.
¿Cómo debe ser la política de seguridad?











Definir la postura del Directorio y de la gerencia con respecto a la necesidad de proteger la
información corporativa.
Rayar la cancha con respecto al uso de los recursos de información.
Definir la base para la estructura de seguridad de la organización.
Ser un documento de apoyo a la gestión de seguridad informática.
Tener larga vigencia, manteniéndose sin grandes cambios en el tiempo
Ser general, sin comprometerse con tecnologías específicas.
Debe abarcar toda la organización
Debe ser clara y evitar confusiones
No debe generar nuevos problemas
Debe permitir clasificar la información en confidencial, uso interno o pública.
Debe identificar claramente funciones específicas de los empleados como: responsables, custodio
o usuario, que permitan proteger la información.
28
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Contraseñas




El 50% de los adultos nunca han cambiado la clave de su PC o de acceso a Internet.
Además, sólo el 10% la modifica mensualmente.
Las razones esgrimidas fueron:
o la falta de interés en recordar una nueva contraseña (el 25%),
o que cambiar de password representa una actividad irritante (aproximadamente el 20%)
o aspectos sentimentales (el 13%).
A pesar de que se recomienda no usar temas clásicos para las contraseñas…
o el 41% de los consultados ha elegido el nombre de su pareja y
o el 25% el de alguno de sus hijos.
Password









Permite una clara y unívoca identificación
La PASSWORD es confidencial
Bloqueo de user-id
Accesos múltiples
Supresión de password
Archivo de password
Expiración de password
Longitud/composición de password
Capacidad de desconexión por tiempo
Strong Password






Letras mayúsculas
Letra minúsculas
Números
Símbolos
A veces: no ingresables por teclado
Ser lo suficientemente largas
o Compuestas por caracteres al azar
o No ser igual a la anterior
o No ser visibles cuando son tecleadas
o No aparecer ‘en claro’ en el equipo o transmisión
o No se permiten más de 3 intentos
o Cambios periódicos
o Período de vigencia
o Se registran intentos fallidos
o La gestión de passwords es confiada a Seguridad Informática
o Las passwords tienden a ser es un mix de todas
Las passwords usuales segun Hackers Chronicle



Fechas de nacimiento
Nombres de autos, perros, novias, clubes
Malas Palabras
29
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI






Connotaciones Sexuales
Mezclas de los anteriores
Según 2600.com solo un 9% de las passwords “hackeadas o descubiertas” no guardaba relacion
con nada de las personas
Si se accede al ambiente del individuo su password está alli (monitores, teclados, calendarios,
fotos, etc.)
Si se accede a su escritura manuscrita se tiene acceso mas facil a su perfil de pensamiento y
actitud (grafologia)
Si se conoce su foto = morfopsicologia
Hackers




Son las componentes claves para comprender a los hackers, pues permiten identificar qué
propósito hay detrás de un intento de intrusión.
Reto: Era la motivación original, dadas las dificultades inherentes. Se asocia frecuentemente con
hackers sin objetivos específicos: personas que invaden sistemas por “diversión”, sin importarles
realmente qué sistemas comprometen.
Codicia: Muy antigua para actos delictivos. Incluye el deseo de ganar dinero, bienes, servicios ó
información. Sus objetivos son sitios que permitan obtener dinero (bancos, comercio electrónico),
software ó información que pueda ser vendida.
Propósito mal intencionado: El objetivo es causar daño: Vandalismo. Buscan de manera activa
formas para dañar a una organización ó sitio específico. Tienden a estar enfocados a propósitos
particulares: denegar servicios, modificar sitios Web ó correo electrónico, etc.
¿Qué queremos proteger?

Activos (recursos que forman parte del sistema):
o Fungibles: Elementos que se consumen con el uso (poco importantes).
o Hardware: Elementos físicos.
o Software: Programas lógicos.
o Datos: Información manejada por el hardware y el software (prioritario).
o Otros: Personas, infraestructuras.
Estereotipos Sociales


Computer Underground
o Hacker
o Cracker
o Pirata Informatico
o Phreakers
o Sneakers
o Lammers
Adictos
o Utilizacion obsesiva de juegos electrónicos
o Obsesion por la tecnología
30
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
o
o
o
o
Exploracion Compulsiva
Adiccion a juegos on-line: banda ancha
Compras compulsivas en linea: (datamining)
Adiccion a las ciber-relaciones
Adiccion ciber-sexual
Diferencias entre hackers, lammers y crackers


La cultura del hacking en nuestros días parece que va en decadencia, debido al gran éxito de otras
grandes corrientes de influencia en la Internet como la Web 2.0 y el boom de los blogs.
Sin embargo, esta cultura “1.0″ aún subsiste y en este post vamos a conocer las diferencias entre
los verdaderos hackers, los molestos lammers y los audaces crackers.
Hackers







Un hacker es una persona com amplios conocimientos de informática, redes, internet y demás
tecnologías asociadas, que aprovecha sus vastos conocimientos sin fines de lucro aparente para
acceder a información clasificada o no pública.
Un hacker se auto describe como una persona normal y que nunca dice o presume de serlo.
Un hacker es capaz de analizar las deficiencias o huecos de seguridad de un sistema o aplicación,
encontrar todas las fallas posibles, así como sus soluciones y generalmente lo comunica por
diversos medios, con el fin de que la comunidad apoye en aumentar la seguridad, o bien, para
beneficiar a la misma.
Individuo que irrumpe en las computadoras.
Los estudios han encontrado que suelen ser:
o Sexo masculino
o Edad entre 16 y 35 años
o Solitarios
o Inteligentes
o Competentes técnicamente
o Tienen conocimientos acerca de las redes y de las computadoras, así como de su
funcionamiento.
o Algunos alcanzan a tener elevados conocimientos sobre los protocolos y sobre como
utilizarlos para que los sistemas actúen de ciertas formas.
Definición inicial de los ingenieros del MIT que hacían alardes de sus conocimientos en
informática.
Entre muchas clasificaciones están las de:
o White Hat (generalmente no delictivos),
o Blak Hat (generalmente es delictivo) y
o Grey Hat (reconvertidos por la empresa).
Lammers

En palabras de un verdadero hacker, un lammer no es más que un intento de hacker o un “hacker
newbie (novato)”, quien con el solo hecho de realizar algún hackeo menor llega a sentirse el más
grande hacker de la historia, y gusta de divulgarlo a los 4 vientos. Generalmente este tipo de
“hackers” (si es que se les puede llamar así), suelen ser adolescentes de entre 10 y 16 años que
se están iniciando en el mundo del hacking y cualquier logro menor lo toman con mucha euforia.
31
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Su más grandes armas son los tutoriales realizados por hackers avanzados, y una vez que logran
realizar dicho tutorial, gustan de presumir su logro diciendo que lo “lograron solos y sin ayuda”.
Crackers



Un cracker puede definirse como un hacker especializado en romper cadenas y keys de seguridad
en aplicaciones informáticas, con el único fin de usar dichas aplicaciones de manera 100%
funcional sin pagar el costo de las respectivas licencias.
Al contrario de un hacker, un cracker analiza las deficiencias o psibles agujeros de seguridad de
un sistema o aplicación, y busca la manera de quebrantarlos buscando su propio beneficio.
Persona que intenta de forma ilegal romper la seguridad de un sistema por diversión o interés.
Script kiddie

Un inexperto, normalmente un adolescente, que usará programas que se descarga de Internet
para atacar sistemas.
Intrusos



Un problema significativo de seguridad para los sistemas en red es el acceso hostil o no
autorizado por parte de usuarios ó de software.
La entrada ilegal de usuarios puede ser mediante acceso no autorizado a un equipo, adquisición
de privilegios ó realizar acciones para las que no ha sido autorizado, mientras que en el caso del
software puede tratarse de virus, gusanos ó caballos de Troya.
Un intruso, generalmente conocido como hacker ó cracker, puede ser clasificado como:
o Suplantador: individuo NO autorizado a usar un computador
o Usuario fraudulento: usuario legítimo que accede a datos, programas ó recursos a los que
no está autorizado. Normalmente es un usuario interno.
o Usuario clandestino: individuo que toma el control de supervisión del sistema y lo usa
para evadir los controles de auditoría y de acceso ó para suprimir información de
auditoría.
Técnicas de intrusión



El objetivo del intruso es obtener acceso a un sistema ó aumentar el rango de privilegios por él
accesibles dentro del sistema, lo cual requiere que adquiera información protegida.
En la mayoría de los casos, la información se encuentra protegida bajo la contraseña de algún
usuario.
El archivo de contraseñas puede ser protegido mediante:
o Cifrado unidireccional: crypt
o Control de acceso: /etc/shadow
Detección de intrusiones



Herramienta usada por el personal de seguridad para proteger una organización de ataques.
Concepto reactivo que intenta identificar a un hacker cuando éste intenta una penetración.
También puede ayudar a la identificación proactiva de las amenazas activas, proporcionando
indicaciones y advertencias de que una amenaza está reuniendo información para un ataque.
32
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Técnicas para detección de intrusos






El funcionamiento típico de las herramientas para detectar intrusos se basa en el análisis
pormenorizado del tráfico de red, el cual, al entrar al analizador, es comparado con firmas de
ataques conocidos o comportamientos sospechosos, como puede ser el escaneo de puertos,
paquetes malformados, etc.
Comúnmente se utiliza un Sistema para Detección de Intrusos (Intrusion Detection System – IDS)
que tiene sensores virtuales (sniffer de red) con los que el núcleo del IDS puede obtener datos
externos sobre el tráfico de red.
Gracias a dichos sensores, el IDS detecta anomalías que pueden ser indicio de la presencia de
ataques o falsas alarmas.
Un IDS no sólo analiza qué tipo de tráfico es, también revisa el contenido y su comportamiento.
Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre
el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.
Integración con firewall



Normalmente el IDS se integra con un firewall.
El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan
conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall.
Al integrarles, se obtiene una herramienta muy poderosa que une la inteligencia del IDS y el poder
de bloqueo del firewall, el punto por donde forzosamente deben pasar los paquetes y donde
pueden ser bloqueados antes de penetrar en la red.
Tipos de IDSs

Existen tres tipos de sistemas de detección de intrusos:
o HIDS (HostIDS): un IDS vigilando un único computador y por tanto su interfaz corre en
modo no promiscuo. La ventaja es que la carga de procesamiento es mucho menor.
o NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la
red. Su interfaz debe funcionar en modo promiscuo, capturando así todo el tráfico de la
red.
o DIDS (DistributedIDS): sistema basado en la arquitectura cliente-servidor, compuesto por
una serie de NIDS (IDS de redes) que actúan como sensores centralizando la información
de posibles ataques en una unidad central que puede almacenar o recuperar los datos de
una base de datos centralizada. La ventaja es que en cada NIDS se puede fijar unas
reglas de control especializándose para cada segmento de red. Es la estructura habitual
en redes privadas virtuales (VPN).
HIDS


Sus sensores pueden determinar diversos tipos de eventos, así como si el ataque tuvo éxito.
Los cinco tipos básicos de sensores son:
o Analizadores de bitácoras (logs): Vigila los archivos apropiados del sistema.
o Sensores basados en firmas: Compara el tráfico de la red con conjuntos de firmas de
eventos de seguridad.
o Analizadores de llamadas al sistema: Revisan las llamadas entre aplicaciones y sistema
operativo.
o Analizadores del comportamiento de la aplicación: Se analiza si la aplicación tiene
permisos para ejecutar la acción.
33
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
Verificadores de la integridad de los archivos: No proporciona identificación de ataque,
expone en detalle los resultados del ataque.
NIDS


Ventajas
o Puede estar completamente oculto en la red de modo que un atacante no sabrá que está
siendo monitoreado.
o Se puede emplear un NIDS simple para monitorear el tráfico en un gran número de
sistemas objetivo potenciales.
o Puede capturar el contenido de todos los paquetes que viajan hacia un sistema objetivo.
Desventajas
o Sólo puede dar alarma si el tráfico coincide con reglas ó firmas previamente configuradas.
o Puede perder tráfico de interés debido a uso de ancho de banda elevado ó de rutas
alternas.
o No puede determinar si el ataque tuvo éxito.
o No puede examinar el tráfico que está cifrado.
o Las redes conmutadas requieren configuraciones especiales para que el NIDS pueda
examinar todo el tráfico.
Virus



Los virus informáticos son una de los principales riesgos de seguridad para los sistemas, ya sea
que estemos hablando de un usuario hogareño (y corporativo) que utiliza su máquina para trabajar
y conectarse a Internet o una empresa con un sistema informático importante que debe mantener
bajo constante vigilancia para evitar pérdidas causadas por los virus.
Un virus se valdrá de cualquier técnica conocida –o poco conocida- para lograr su cometido.
Así, encontraremos virus muy simples que sólo se dedican a presentar mensajes en pantalla y
algunos otros mucho más complejos que intentan ocultar su presencia y atacar en el momento
justo.
HISTORIA






Los virus tienen la misma edad que las computadoras.
En 1949 John Von Neumann, describió programas que se reproducen a sí mismos en su libro
"Teoría y Organización de Autómatas Complicados".
La característica de auto-reproducción y mutación de estos programas, que las hace parecidas a
las de los virus biológicos, parece ser el origen del nombre con que hoy los conocemos.
Se reconoce como antecedente de los virus actuales, un juego creado por programadores de la
empresa AT&T, que desarrollaron la primera versión del sistema operativo Unix en los años 60.
Para entretenerse, y como parte de sus investigaciones, desarrollaron un juego llamado "Core
Wars", que tenía la capacidad de reproducirse cada vez que se ejecutaba.
Este programa tenía instrucciones destinadas a destruir la memoria del rival o impedir su correcto
funcionamiento.
34
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI







Al mismo tiempo, desarrollaron un programa llamado "Reeper", que destruía las copias hechas por
Core Wars (antivirus)
Conscientes de lo peligroso del juego, decidieron mantenerlo en secreto, y no hablar más del
tema.
No se sabe si esta decisión fue por iniciativa propia, o por órdenes superiores.
Por 1989 la cantidad de virus detectados en diferentes lugares sobrepasan los 100, y la epidemia
comienza a crear situaciones graves.
Entre las medidas que se toma, para tratar de detener el avance de los virus, es llevar a los
tribunales a Robert Morís Jr. acusado de ser el creador de un virus que infectó a computadoras del
gobierno y empresas privadas.
Al parecer, este muchacho conoció el programa Core Wars, creado en la AT&T, y lo difundió entre
sus amigos.
Ellos se encargaron de diseminarlo por diferentes medios a redes y equipos.
Al juicio se le dio gran publicidad, pero no detuvo a los creadores de virus.
VIRUS EN LAS REDES



La frecuencia de los virus informáticos y sus altos costos han motivado el desarrollo y adopción de
protecciones de virus servidores de redes.
De hecho actualmente existen mas de 10000 virus en todo el mundo y de acuerdo con encuestas
realizadas.
Las infecciones en distintos países oscilan entre el 35% y el 85% anual.
Virus







Programa “malo”
Un virus es un archivo ejecutable capaz de realizar acciones sin el consentimiento del usuario.
Difícil de rastrear
Se reproduce rápidamente
Puede destruir datos, procesos y equipos
Virus Falsos = Hoax
Un virus puede reproducirse, auto ejecutarse, ocultarse, infectar otros tipos de archivos, cambiar
de forma, residir en memoria, etc.
Malware - Código Malicioso



Noción usual de virus informático establecida en 1984, en la conferencia IFIC/SEC´84 por Fred
Cohen, en paralelismo con los virus biológicos.
“Software maligno capaz de reproducirse a sí mismo“.
Todo código que lleve a cabo acciones nocivas contra un sistema informático.
Quien fabrica los virus…?

Existen algunas teorías acerca de quién o quienes fabrican virus:
o Las empresas de Software.
o Las empresas que fabrican antivirus.
o Estudiantes.
35
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
Personas comunes por “casualidad”
CARACTERÍSTICAS







Residir en Memoria: un programa puede cargarse en la memoria del computador, y desde allí
infectar todos los archivos ejecutables que se usen.
No residentes: solo pueden infectar cuando el programa infectado es ejecutado.
Ocultamiento: Un virus puede esconderse de los antivirus, redirigiendo la lectura del disco hacia
otro sector, o por el tamaño del archivo que infectan, modificando la información para que el
antivirus no detecté que el archivo creció.
Encriptado: este es otro método de ocultamiento, por el cual el virus permanece encriptado hasta
que se ejecuta.
Polimórficos: estos virus tienen la capacidad de mutar cambiando parte de su programación de un
momento a otro.
Ejecutables por evento: se ejecutan cuando un evento sucede en la PC.
Multipartitos: aquellos virus que son capaces de infectar tanto archivos como sectores de booteo.
Generaciones de Virus



Primera Generación
o El mayor objetivo era la de perturbar y burlarse de sus víctimas. Su forma de ataque era
directa y devastadora.
Segunda Generación
o Fue el resultado de la aparición de los programas antivirus. El objetivo pasa de ser la
burla al mayor daño posible, alterando archivos de datos.
Tercera Generación
o Surge la técnica de auto-polimorfismo, la cual apunta a que ninguna parte del código del
virus permanezca estable. Otra característica es la de PMD+ (Principio de mayor daño
potenciado)
Distintos Tipos de Virus




ACSO (Antes de Cargar el Sistema Operativo)
o Son aquellos que se alojan en el sector de booteo y que toman el control del sistema
cuando se prende la computadora.
Bombas Lógicas
o Se copia subrepticiamente en el sistema y permane- cen latentes hasta que un evento
externo la despierta, puede ser una combinación de teclas, una fecha determinada, etc.
o Permanecen camuflados dentro de otros programas y se e activan al producirse un
acontecimiento determinado:

una fecha (Bombas de Tiempo),

una combinación de teclas, o un estilo técnico (Bombas Lógicas).

Si no se produce la condición permanece oculto al usuario.
Gusanos
o Éstos se diferencian de los virus en que no necesitan de un anfitrión para subsistir. Ataca
principalmente en redes.
Caballos de Troya
36
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o



Se camufla como si fuera una aplicación que cumple una función determinada y cuando
se la ejecuta su comportamiento es otro.
EXEVIR
o Atacan fundamentalmente archivos.EXE y cuando éstos se ejecutan, el virus se activa,
se carga en memoria y toma el control del sistema.
Macro-virus
o De reciente aparición afectan archivos de Word, Excel que contienen códigos de macros.
Joke Program
o Es inofensivo.
o Simula las acciones de un virus informático gastando una broma a los usuarios,
haciéndoles creer que están infectados.
Prevención primaria






Utilizar un programa antivirus actualizado en forma semanal, residente en memoria (“centinela”),
configurado para analizar archivos comprimidos, emails y texto plano,
Analizar semanalmente todo el equipo
Configurar un segundo programa antivirus
Utilizar un programa “filtro” tipo MailWasher
En conexiones continuas o prolongadas, utilizar un firewall
o Desactivar la “vista previa” del correo electrónico
o Demarcar la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
o Marcar la opción "Mostrar todos los archivos y carpetas ocultos”*
Recomendaciones en archivos adjuntos:
o Tradicional: nunca abrir archivos adjuntos que envía un desconocido
o Actual: no abrir archivos adjuntos que no hayan sido anunciados y, ante la duda,
consultar con el remitente
o De cualquier manera, no abrir adjuntos sin antes analizarlos por lo menos con dos
antivirus (a veces lo que uno no detecta, lo hace el otro) y verificar la existencia de doble
extensión
o Estar atentos a Alertas de sitios serios; instalar “parches” de seguridad:
Signos y síntomas



En directorios y archivos:
o La cantidad de espacio disponible es cada vez menor.
o Aumento de tamaño de archivos
o Algunos archivos desaparecen del disco (borrados).
o El directorio muestra archivos desconocidos por el usuario.
o Los archivos son sustituidos por caracteres ilegibles.
o Alteración en la indicación de la hora de un archivo.
En la ejecución de aplicaciones:
o Los programas tardan mas tiempo en cargarse o no son operativos.
o Algunas aplicaciones trabajan mas lentamente que lo normal.
o Al abrir un archivo aparecen errores que antes no existían.
o Al solicitar la apertura de un archivo aparecen en el menú drivers que no están instalados.
Funcionamiento del sistema:
o Rendimiento del sistema reducido.
37
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
o
o
o
o
o
o
o
La cantidad de memoria disponible cambia o disminuye continuamente.
Arranque incompleto del sistema o fallo en el arranque.
Escrituras inesperadas en una unidad.
Mensajes de error extraños o no estándar.
Actividad de pantalla no estándar (animaciones, etc.), fluctuaciones de pantalla.
Sectores erróneos en discos.
Cualquier operación extraña que su computadora no realizaba antes y que de un
momento a otro comienza a ejecutar.
Otros errores no justificados.
Como prevenirse…


Nivel Corporativo
o Teniendo una buena política de seguridad, ello implica:

tener software original

evitar el ingreso de discos / pen drives ajenos a la empresa, como es el caso de
los jueguitos.

capacitar al personal sobre los peligros que implica un virus.
Nivel Personal
o Revisación de cada uno de los disquettes que se ingresan en la computadora.
Ataques de los Virus





Interrupción
o Cortar el flujo de comunicaciones
o Cortar el acceso a dispositivos
o Cortar la comunicación entre equipos
o Ocupación de canales
Intercepcion
o Tener acceso a un mensaje
o Leer alguna transmisión
o Acceder al trafico de un canal
Espionaje
o Aprender de algun sistema
o Robar datos
o Key recorders
o Tracking de transacciones
Modificaciones
o Cambiar información
o Alterar programas
o Reordenar archivos
o Cambiar localización de los datos
Destrucción
o Romper programas
o Inutilizar equipos
o Sobrecargar los equipos
38
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI


o Atacar hardware
Integridad
o Que existan varios valores de los datos
o Alteración de registros
o Modificar los back-ups
Generacion
o Creación de nuevos objetos dentro del sistema.
o Su detección es difícil: delitos de falsificación.
o Ejemplos:

Añadir transacciones en red.

Añadir registros en base de datos.
Acciones varias.




Fraude:
o Acto deliberado de manipulación de datos perjudicando a una persona física o jurídica
que sufre de esta forma una pérdida económica.
o El autor del delito logra de esta forma un beneficio normalmente económico.
Sabotaje:
o Acción con la que se desea perjudicara una empresa entorpeciendo deliberadamente su
marcha, averiando sus equipos, herramientas, programas, etc.
o El autor no logra normalmente con ello beneficios económicos pero pone en jaque mate a
la organización.
Chantaje:
o Acción que consiste en exigir una cantidad de dinero a cambio de no dar a conocer
información privilegiada o confidencial y que puede afectar gravemente a la empresa, por
lo general a su imagen corporativa.
Mascarada:
o Utilización de una clave por una persona no autorizada y que accede al sistema
suplantando una identidad.
o De esta forma el intruso se hace dueño de la información, documentación y datos de
otros usuarios con los que puede, por ejemplo, chantajear a la organización.
Virus y Gusanos


Virus:
o
o
o
Código diseñado para introducirse en un programa, modificar o destruir datos.
Se copia automáticamente a otros programas para seguir su ciclo de vida.
Es común que se expanda a través de plantillas, las macros de aplicaciones y archivos
ejecutables.
Gusanos:
o Virus que se activa y transmite a través de la red.
o Tiene como finalidad su multiplicación hasta agotar el espacio en disco o RAM.
o Suele ser uno de los ataques más dañinos porque normalmente produce un colapso en la
red como ya estamos acostumbrados.
39
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Caballos de Troya y Spam


Caballos de Troya:
o Virus que entra al computador y posteriormente actúa de forma similar a este hecho de la
mitología griega.
o Así, parece ser una cosa o programa inofensivo cuando en realidad está haciendo otra y
expandiéndose.
o Puede ser muy peligroso cuando es un programador de la propia empresa quien lo instala
en un programa.
Spam:
o El spam o correo no deseado, si bien no puede considerarse propiamente como un
ataque, provoca hoy en día pérdidas muy importantes en empresas y muchos dolores de
cabeza.
Puertas traseras (Backdoors)




Mecanismos para circunvalar los mecanismos de autentificación.
Frecuentemente utilizado por programadores durante el desarrollo de aplicaciones.
Aceptables en esta fase, pero extremadamente peligroso tras la implantación del sistema.
¿Siempre es un olvido eliminar las puertas traseras?
Superzapping




Procedimientos o herramientas que evitan ciertos controles del sistema operativo, para ser
utilizadas en caso de necesidad extrema.
`superzap': Antigua herramienta de emergencia para realizar tareas administrativas.
No es una puerta trasera, ya que todo el mundo conoce su existencia.
Vulnerabilidad grave: alto riesgo y alto impacto.
Técnicas salami



Desvío de pequeñas cantidades de recursos de una gran fuente.
Especialmente críticos en bancos o en entornos que manejen datos económicos (por ejemplo,
sueldos).
Round down, redondeo hacia abajo, es el caso mas habitual.
Denial of Service (Denegación de Servicio)





Tipos de Ataques ser remite solo a los ataques Denial of Services primeros o conocidos como
ataques de un solo PC. Sin ayuda especializada de otros PC.
Ataques Distributed Denial of Services son ataques que cuentan con ayuda de otos PC. O sea que
se utilizan muchos PC como centro de cómputos.
Detección y Prevención cuenta de cómo detectar los ataques o formas de prevenir que lleguen
estos, un caso en el que todos pensamos es en los firewall, y si esta es una forma de prevenir
ataques pero también hay otras formas.
Solución distribuida (Intel) mecanismo de protección de servidores sobre ataques de tipos denial of
services.
Que es dejar fuera de servicio?
o Dejar fuera de servicio es hacer que el servidor provoque un falla y por lo tanto se caiga
(se cuelgue) y deba reiniciarse o que el servidor diga que esta en un estado correcto pero
40
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI

no pueda atender mas clientes porque tiene una sobrecarga de peticiones. Esto también
se considera un ataque de tipo Denial of Service, o sea la idea general o la intención
general es dejar al servidor por algún motivo con bajos recurso para poder prestar su
servicio.
o Algunos de estos ataques o tipos de ataques se hacen en combinación, y Sebastián les
va a contar un ejemplo de ataques combinados.
Después están los ataques Distribuidos de Denial of Service que estos son los ataques en los que
los atacantes no están identificados por el servidor atacado porqué?, Porque los que los que
atacan realmente al servidor son otras maquinas y el atacante solo usa a estas maquinas y las
coordina para que el ataque sea mas fuerte, de esta forma no hay servidor potente que no tenga
problema, estoy teniendo un poder de computo mucho mas mayor...
o Ping of death

Consiste en enviar un paquete ICMP de gran tamaño.

Cuando se recibe, se reconstruye, pero debido a su gran tamaño provoca un
desbordamiento de buffer.

Fue el precursor de los ataques de tipo DoS.
o ICMP Flood

Consiste en “inundar” de paquetes ICMP al host
víctima.

Los paquetes enviados son paquetes ICMP
falseados que provocan que la
víctima corte las
conexiones actuales.
o Smurf y Fraggle

Los ataques Smurf consisten en enviar paquetes ICMP a las direcciones
broadcast de la red con la dirección IP de la víctima. Las direcciones broadcast
responden luego a la dirección IP de la víctima saturándolo.

Los ataques Fraggle son iguales a los ataques Smurf, pero se envían paquetes
UDP.

Los enrutadores suelen no responderse a los paquetes broadcast ICMP y UDP
originados fuera de la red como forma de prevención de éste tipo de ataques.
o SYN Flood

Consiste en enviar un paquete SYN al servidor y no responder al paquete
SYNACK enviado por éste.

El servidor espera un tiempo (corto) para la respuesta del SYNACK.

Si se mantiene éste tipo de actividad por mucho tiempo, y si se envía una gran
cantidad de paquetes SYN, hace que el servidor se ralentice o se paralice
completamente.

Ataque muy potente, pues no se necesita un gran poder de cómputo por parte
del atacante.
o UDP Flood

Consiste en enviar grandes cantidades de paquetes UDP contra la víctima.

Los paquetes UDP enviados suelen tener la dirección IP del emisor falseada (IP
Spoofing) para enmascarar su origen.
o Connection Flood

Se basa en que prácticamente todos los proveedores de Internet tienen un tope
de conexiones máximo.

Si el atacante establece el tope de conexiones soportadas, monopoliza la
capacidad del servidor, y si no realiza ninguna actividad sobre éstas, lo deja
inactivo.
o Net Flood
41
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI

o
o
o
o
o
o
o
Consiste en enviar grandes cantidades de solicitudes de conexión, evitando que
las conexiones de los demás usuarios puedan llevarse a cabo.

Suele ir acompañado de IP Spoofing, para ocultar la dirección real del atacante.
SUPERNUKE o WINNUKE

Son ataques a equipos Windows que escuchan peticiones por los puertos 137 a
139.
ICMP Nuke:

Consiste en el envío de paquetes ICMP maliciosos provocando que se corten las
conexiones de la víctima.
OoB Nuke (Out of Band):

Provoca una caída del sistema enviando un paquete UDP malicioso al puerto
139. Esto se debe a un bug en Windows 3.x, 9x y NT.
Teardrop

Los ataques de tipo Teardrop se basan en errores de implementación de
algunas colas IP que no vuelven a recomponer correctamente los fragmentos de
paquetes, haciendo que el sistema se cuelgue.

Son ataques especialmente peligrosos, ya que existen varios tipos de
implementaciones que explotan ésta debilidad. Las más conocidas son Newtear,
Bonk y Boink.
Mail bombing

Consisten en enviar grandes cantidades de correo basura a una casilla
determinada, provocando que ésta se sature y no pueda recibir más emails.

No es considerado del todo como un ataque DoS, pues no están encaminados a
saturar ningún sistema.
Denegación de Servicios Distribuidos

Consiste en realizar un ataque DOS desde múltiples maquinas al mismo tiempo
por un atacante.

Aumenta la efectividad del ataque

Utilización de una red de máquinas cómplices

Distribución con arquitectura cliente / servidor
Utilización de cientos o miles de máquinas en un Ataque

Firewalls analizan los paquetes que entran en la red y bloqueando aquellos que
no cumplen el criterio de seguridad predefinido.

Sin embargo los firewalls tienen un éxito limitado en contra de los ataques de
denegación de servicio (DoS). Aunque algunas herramientas de ataques
distribuidos DoS usan puertos específicos, la mayoría de ellas no lo hace. Si el
firewall autentica cada conexión (mediante una aplicación proxy) puede haber
posibilidades de bloquear los ataques, pero en la práctica los firewalls que hacen
esto último son escasos.

Una limitación adicional importante de las actuales soluciones IDS es la poca
habilidad para atrapar datos de intrusos de la red y redirigirlos a un lugar seguro
para elaborar el análisis pertinente.

Esto puede ser la clave para descubrir patrones de comportamiento de los
intrusos y tenerlos en cuenta para futuros ataques. Más aún, la tendencia actual
de las organizaciones a instalar sistemas antivirus en servidores y firewalls
contribuye a la latencia de la red.
42
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Consecuencias Virus - ComputerWorld
CICLO DE VIDA DE UN VIRUS







CREACIÓN
GESTACIÓN
REPRODUCCIÓN
ACTIVACIÓN
DESCUBRIMIENTO
ASIMILACIÓN
ERRADICACIÓN
¿Similar a un virus“humano”?

Los virus informáticos tienen un ciclo de vida, que empieza cuando son creados y termina cuando
son erradicados completamente. El siguiente resumen describe cada etapa:

Creación:
o
o


hasta unos años atrás, crear un virus requería del conocimiento del lenguaje de
programación assembler. Hoy en día, cualquiera con un poco de conocimiento en
programación puede crear un virus. Generalmente, los creadores de los virus, son
personas maliciosas que desean causar daño a las computadoras.
Gestación:
o Luego de que el virus es creado, el programador hace copias asegurándose de que
se diseminen. Generalmente esto se logra infectando un programa popular y luego
enviándolo a algún BBS o distribuyendo copias en oficinas, colegios u otras
organizaciones.
Reproducción:
o Los virus se reproducen naturalmente. Un virus bien diseñado se reproducirá por un
largo tiempo antes de activarse, lo cual permite que se disemine por todos lados.
43
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI




Activación:
o
Los virus que contienen rutinas dañinas, se activarán bajo ciertas condiciones, por
ejemplo, en determinada fecha o cuando el usuario haga algo determinado. Los virus
sin rutina dañina no se activan, pero causan daño al robar espacio en el disco.
Descubrimiento:
o Esta fase por lo general viene después de la activación. Cuando se detecta y se aísla
un virus, se envía al International Security Association en Washington D.C, para ser
documentado y distribuido a los encargados de desarrollar los productos antivirus. El
descubrimiento, normalmente ocurre por lo menos un año antes de que el virus se
convierta en una amenaza para la comunidad informática.
Asimilación:
o En este punto, quienes desarrollan los productos antivirus, modifican su programa
para que éste pueda detectar los nuevos virus. Esto puede tomar de un día a seis
meses, dependiendo de quien lo desarrolle y el tipo de virus.
Erradicación:
o Si suficiente cantidad de usuarios instalan una protección antivirus actualizada,
puede erradicarse cualquier virus. Hasta ahora, ningún virus ha desaparecido
completamente, pero algunos han dejado de ser una amenaza.
Tipos de Virus
La mayoría de los virus informáticos se dividen en cuatro clases:




Virus de Arranque

Hasta mediados de 1990, los virus de arranque eran los más populares, y se diseminaban en
el mundo de 16-bits del DOS vía disquete. Este tipo de virus infecta el sector de arranque de
un disquete y se disemina en el disco rígido del usuario, el cual también puede infectar el
registro maestro de arranque (MBR). Una vez que el MBR o sector de arranque esté
infectado, el virus intenta infectar cada disquete que se inserta y se usa en la computadora.

Los virus de arranque trabajan de la siguiente manera: se ocultan en el primer sector de un
disco y se cargan en la memoria antes de que los archivos del sistema se carguen. Esto les
permite tomar total control de las interrupciones del SO y así, pueden diseminarse y causar
daño. Estos virus, generalmente reemplazan los contenidos del MBR o sector de arranque
con su propio contenido y mueven el sector a otra área en el disco. La erradicación de un
virus de arranque puede hacerse inicializando la máquina desde un disquete sin infectar, o
encontrando el sector de arranque original y reemplazándolo en el lugar correcto del disco.
Virus de Archivo

Los virus que infectan archivos, también conocidos como parásitos, operan en la memoria y
generalmente infectan archivos ejecutables que tienen las siguientes extensiones: *.EXE,
*.DRV, *.DLL, *.BIN, *.OVL, *.SYS. Estos se activan cada vez que el archivo infectado es
ejecutado y pueden permanecer en la memoria mucho tiempo después de que hayan sido
activados. Existen miles de virus diferentes que infectan archivos.
Virus Multi-partes

Los virus multi-parte comparten las características de los virus de arranque y los de archivo.
Virus Macro

De acuerdo con la International Security Association, los virus macro forman el 80% de todos
los virus y son los que más rápidamente han crecido en toda la historia de las computadoras.
A diferencia de otros tipos de virus, los virus macro no son exclusivos de ningún sistema
44
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI

operativo y se diseminan fácilmente a través de archivos adjuntos de e-mail, disquetes,
bajadas de Internet, transferencia de archivos y aplicaciones compartidas.
Los virus macro son, sin embargo, aplicaciones específicas. Infectan las utilidades macro que
acompañan ciertas aplicaciones como el Microsoft Word y Excel, lo que significa que un Word
virus macro no puede infectar un documento Excel y vice versa. En cambio, los virus macro
viajan entre archivos en las aplicaciones y pueden, eventualmente, infectar miles de archivos.
o
Software Antivirus








Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, los
antivirus han evolucionado hacia programas más avanzados que no sólo buscan detectar un Virus
informáticos, sino bloquearlo para prevenir una infección por los mismos, así como actualmente ya
son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc.
Identificación “heurística” del posible virus
El funcionamiento de un antivirus varía de uno a otro, aunque su comportamiento normal se basa
en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o
vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y hacia una
computadora.
Es un programa o conjunto de ellos, capaz de identificar archivos que alojan un virus informático,
con capacidad para desinfectarlos y eliminarlos.
Principales antivirus: McAfee, Norton, AVG, Panda, etc.
Detectar y eliminar virus
Proteger de los virus en memoria
Eliminar los virus insertos en discos, archivos y redes
Spyware


Son aplicaciones cuyo propósito es el envío de datos del sistema donde están instaladas,
mediante la utilización secreta de la conexión a la red, a un lugar exterior, el cual por lo general
resulta ser una empresa de publicidad de Internet. Estas acciones son llevadas a cabo,
obviamente, sin el conocimiento del usuario
También conocidos como Adware (Advertissing Supported Software
o Información enviada dependiendo del spyware:
o Número de conexiones
o Duración de las conexiones
o Sistema operativo utilizado
o Paginas visitadas
o Tiempo de estancia en las mismas
o Banners sobre los que se pulsa
o Descargas de archivos efectuadas
o Dirección de correo electrónico
o Número de dirección IP
o DNS de la dirección que efectúa la conexión, es decir, ISP y área del país
o Número de teléfono al que se realiza la conexión y contraseña de la misma, si ésta última
esta guardada
45
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
Listado de todo el software instalado, extraído del registro
¿Para qué se utiliza la información recolectada?




Lo que se conoce es que esa información es comercializada por la compañía que la adquiere e
incluso, en ocasiones, es transmitida a otras empresas similares, con motivos publicitarios. Pero a
final de cuentas no se sabe a dónde finalmente va a parar esa información.
El spyware se utiliza en muchas de las aplicaciones shareware, freeware, y sobre todo en las
aplicaciones gratuitas que incorporan publicidad.
Pueden estar totalmente ocultos en la aplicación, sin ninguna sospecha de su presencia o pueden
estar incluidos dentro de uno de los tantos banners publicitarios que acompañan las herramientas
libres.
Generalmente, cuando se instala la aplicación, se instala junto con él un enlace dinámico de
librerías (archivos.dll), la cual se instala automáticamente en la carpeta System de Windows,
cuando se instalan los programas que lo incorporan. (Ej: Programas espía tipo Aureate, difundidos
por la empresa Radiate).
¿Quién creó los Spyware?




Se desconocen los primeros creadores.
Fueron descubiertos en enero de 2000 por Steve Gibson, un experto en seguridad que detectó un
programa desconocido intentando utilizar su conexión a Internet.
Algunas de las principales compañías desarrolladoras de aplicaciones que incluyen spyware son:
Radiate, Real Networks, Netscape, Doubleclick, Mattel y Comet Systems.
Los programas que permiten compartir archivos van de la mano con los spyware. Por ej:
Audiogalaxy y KaZaa, se han aliado a empresas de marketing para incluir en su instalación la
incorporación de los archivos espía.
Efectividad


El alcance de su objetivo principal tiene al menos el 99% de efectividad siempre y cuando el
usuario tenga conexión a Internet. No necesariamente la conexión tiene que estar abierta. Algunos
spyware son capaces de activarse solos sin que el usuario esté navegando.
La única forma en que puede anularse la efectividad del spyware es bloqueándolo.
¿COMO BLOQUEAR UN SPYWARE?

Se pueden utilizar algunas aplicaciones que buscan en el disco duro la presencia de este tipo de
software y los desinstalan. Además, algunos eliminan cookies de compañías de las cuales se sabe
que violan la privacidad de los usuarios.
Criptografía


La Criptografía es la técnica que permite modificar un mensaje a través del uso de un sistema de
codificación de textos.
Gracias a la criptografía el mensaje resulta ilegible y, por tanto, podemos enviar información a
través de la red con la seguridad de que el mensaje no será visto por terceros.
46
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Conceptos








En la jerga de la criptografía, la información original que debe protegerse se denomina texto
en claro.
El cifrado es el proceso de convertir el texto plano en un galimatías ilegible, denominado texto
cifrado o criptograma.
Por lo general, la aplicación concreta del algoritmo de cifrado (también llamado cifra) se basa
en la existencia de una clave: información secreta que adapta el algoritmo de cifrado para
cada uso distinto.
Las dos técnicas básicas de cifrado en la criptografía clásica son:
o la sustitución, que supone el cambio de significado de los elementos básicos del
mensaje -las letras, los dígitos o los símbolos- y
o la transposición: que supone una reordenación de las mismas;
La gran mayoría de las cifras clásicas son combinaciones de estas dos operaciones básicas.
El descifrado es el proceso inverso que recupera el texto plano a partir del criptograma y la
clave.
El protocolo criptográfico especifica los detalles de cómo se utilizan los algoritmos y las claves
(y otras operaciones primitivas) para conseguir el efecto deseado.
El conjunto de protocolos, algoritmos de cifrado, procesos de gestión de claves y actuaciones
de los usuarios, en su globalidad es lo que constituyen un criptosistema, que es con lo que el
usuario final trabaja e interactúa.
Términos










Texto original (plaintext): La información se encuentra en su forma original. Conocido también
como texto simple (cleartext).
Texto cifrado (ciphertext): La información después que ha sido ofuscada por el algoritmo de
encriptación.
Algoritmo: Método de manipulación utilizado para cambiar el texto original a texto cifrado.
Clave: Datos de entrada al algoritmo para que transforme el texto original a cifrado.
Encriptación: Proceso de realizar el cambio de texto original al cifrado.
Desciframiento: Proceso de efectuar el cambio del texto cifrado al original.
Criptografía: Arte de encubrir la información mediante el uso de encriptación.
Criptógrafo: Individuo que practica la Criptografía.
Análisis criptográfico: Arte de analizar algoritmos criptográficos con la intención de identificar
debilidades.
Analista criptográfico: Individuo que utiliza análisis criptográfico para identificar y utilizar las
debilidades en los algoritmos criptográficos.
Tipos de Claves




CLAVE SIMETRICA.- Uso de una única clave para encriptar y desencriptar un mensaje
CLAVE ASIMETRICA.- Utilización de un par de claves. Lo que una clave encripta, la otra
clave lo desencripta y viceversa.
LA CLAVE PRIVADA.- Queda dentro del ámbito del emisor
LA CLAVE PUBLICA.- Es la que se da a conocer a terceros
Ataques en contra de la encriptación

Los sistemas de encriptación pueden ser atacados de tres maneras:
47
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
o
o
A través de las debilidades en el algoritmo.
Mediante la fuerza bruta en contra de la clave.
Por medio de las debilidades en el sistema de entorno.
Códigos de sustitución




Reemplaza ó cambia elementos en el texto por otros.
Es simple, y funciona bien mientras que el remitente y el receptor usen el mismo esquema de
sustitución: la clave es el “libro de códigos” usado para los reemplazos.
Puede ser descifrado empleando análisis de la frecuencia de los códigos presentes en el mensaje
cifrado.
El precursor, la clave numérica M-U-R-C-I-E-L-A-G-O que equivale a 0-1-2-3-4-5-6-7-8-9
Libretas de un único uso







Las libretas de un único uso (one-time pads - OTP) constituyen el único sistema de encriptación
teóricamente indescifrable.
Una OTP es una lista de números en orden completamente aleatorio que se emplea para codificar
un mensaje.
Sólo debe utilizarse una vez.
Si los números en la OTP son verdaderamente aleatorios y la OTP es mas larga que el mensaje,
el texto cifrado no proporciona ningún mecanismo para recuperar la clave original.
Si las libretas no son verdaderamente aleatorias, surgen patrones que pueden emplearse para
realizar un análisis de frecuencias.
Si las OTP se utilizan mas de una vez, pueden ser analizadas y descifradas.
Su uso no es viable generalmente en entornos con abundante tráfico.
“Pretty Good Privacity” - PGP





Privacidad bastante buena o PGP es un programa cuya finalidad es proteger la información
distribuida a través de Internet mediante el uso de criptografía de clave pública, así como facilitar
la autenticación de documentos gracias a firmas digitales.
Puede proporcionar un gran nivel de seguridad. Es más, observadores informados creen que ni
siquiera las agencias del gobierno estadounidense como la NSA son capaces de descifrar
directamente mensajes generados adecuadamente con PGP.
PGP es más fácil de utilizar que muchos otros criptosistemas, pero como ocurre siempre en el
campo de la criptografía, su implementación y su utilización influyen muchísimo en la seguridad
lograda.
Existe la posibilidad de que haya errores en la implementación, y si se utiliza descuidadamente es
posible desproteger fácilmente un archivo de texto protegido. Cualquier criptosistema puede ser
inseguro, independientemente de lo bueno que sea su diseño.
A diferencia de protocolos de seguridad como SSL, que sólo protege los datos en tránsito (es
decir, mientras se transmiten a través de la red), PGP también puede utilizarse para proteger datos
almacenados en discos, copias de seguridad, etc.
ESTEGANOGRAFIA

Es la técnica del ocultamiento de mensajes.
48
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI








Mediante la esteganografía se pueden incluir mensajes dentro de una archivo gráfico, sea un
dibujo, una foto o un archivo de audio.
Generalmente se esconden en archivos de extensión BMP, GIF o JPG o en archivos de audio con
extensión WAV.
El programa S-tool 4.0 nos permite utilizar esta técnica
Rama de la criptología que trata sobre la ocultación de mensajes, para evitar que se perciba la
existencia del mismo.
Es el arte y ciencia de escribir mensajes secretos de tal forma que nadie fuera de quien lo envía y
quien lo recibe sabe de su existencia; en contraste con la criptografía, en donde la existencia del
mensaje es clara, pero el contenido del mensaje está oculto.
Por lo general un mensaje de este tipo parece ser otra cosa, como una lista de compras, un
artículo, una foto, etc.
Los mensajes en la esteganografía muchas veces son cifrados primero por medios tradicionales,
para posteriormente ser ocultados por ejemplo en un texto que pueda contener dicho mensaje
cifrado, resultando el mensaje esteganográfico.
Un texto puede ser manipulado en el tamaño de letra, espaciado, tipo y otras características para
ocultar un mensaje, sólo el que lo recibe, quien sabe la técnica usada, puede extraer el mensaje y
luego descifrarlo.
Ingeniería social










La definición políticamente correcta de las técnicas de ingeniería social dice que se trata de
combinar conocimientos de psicología, engaños y fallas en los procesos para obtener accesos no
autorizados a información confidencial, sin necesidad de aplicar estudios avanzados de tecnología.
Es decir, que en vez de vulnerar una aplicación para ganar un acceso, se trata directamente de
conseguir el nombre de usuario y el password por otros medios.
Se puede decir que las técnicas de ingeniería social descansan, en su base, sobre la forma en que
los seres humanos toman decisiones.
En la jerga del hacking, se dice que la ingeniería social trabaja sobre las “vulnerabilidades de las
personas”.
Si no es necesario poseer conocimientos avanzados de tecnología, se amplía muchísimo el rango
posible de atacantes.
De hecho, para alguien que se dedica a realizar fraudes más tradicionales, estas técnicas poseen
una baja barrera de entrada a la vez que representan una gran oportunidad y un riesgo menor
debido al vacío legal existente en este tipo de delitos.
Además, cuando se realiza una acción de engaño sobre una persona,¿dónde queda registrado?
Acertó: en ningún lado! Es decir que este tipo de ataques, son prácticamente indetectables. Y esta
es la principal razón por la cual prácticamente no existen estadísticas al respecto!
Adicionalmente, se suele decir que si uno quiere evitar el robo de una determinada información, en
el peor de los casos, con dejar el servidor desconectado o aislado de Internet, es suficiente.
Si no se cuentan con los controles adecuados, el hacker podría hacerse pasar por empleado de la
empresa (o de un tercero con permiso de acceso), llegar hasta el servidor, copiar la información
manualmente y salir.
Agunas de las técnicas empleadas:
o Phishing: engaño a través de páginas web falsas o de correos electrónicos que
recolectan información confidencial de las personas para realizar fraudes.
49
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o






Quid pro quo: técnica a través de la cual el atacante ayuda a su interlocutor a cambio
de solicitarle datos confidenciales. La versión más conocida de este ataque es
aquella en la que el atacante se hace pasar por un empleado del helpdesk de la
empresa para obtener nombres de usuarios y contraseñas de las personas que
contacta.
o Phone phishing: engaño a través de comunicaciones telefónicas, donde el atacante
típicamente utilizar un IVR falso (como si fuera el contestador de una empresa
legítima) para engañar y obtener información.
o Baiting: abuso de la curiosidad humana para lograr que un medio infectado sea
utilizado dentro de la organización y de esa manera instalar software ilegal que
permita luego acceder a la información confidencial.
o Thrashing: se trata de obtener datos confidenciales revisando los documentos y
demás elementos que fueron arrojados a la basura, tanto de una organización como
de un empleado en particular. Resúmenes de tarjetas de crédito, informes, nóminas
de empleados, reportes de logística, contratos en borrador y casi cualquier tipo de
información es susceptible de ser hallada a través de esta técnica.
o Pretexting: se trata de crear un engaño a partir de contar con determinadas piezas de
información verdadera, que induzcan a la víctima a confiar en el atacante y revelar
información confidencial. La información de base para realizar el ataque en general
no es importante para el atacante, cuyo objetivo verdadero es otro, pero ayuda a
crear el escenario para que el engaño sea efectivo.
Aclaración: en este caso puntual, cuando hablamos de “algunas de las técnicas empleadas”, es
importante recalcar la literalidad de la frase. Y es que sencillamente no existe una documentación
completa de las técnicas de ingeniería social utilizadas porque al depender del ingenio humano y
de la situación particular de cada ataque, es posible crear engaños nuevos todo el tiempo.
Después de haber visto en la edición anterior algunas de las técnicas de Ingeniería social que se
utilizan actualmente, alguien podría pensar que si estos tipos de ataques no están tan difundidos
es porque no representan tanto peligro. Y allí puede aparecer la pregunta¿Por qué comenzar a
hablar ahora de Ingeniera social?
Es que estamos en una época en la cual la Ingeniera social está viviendo un verdadero auge,
alentada por algunos factores como: crecimiento tecnológico sin procesos, movilidad y
conectividad, y redes sociales.
Cuando hablamos de “crecimiento tecnológico sin procesos”, nos referimos a un doble efecto que
podemos encontrar en las organizaciones. En primer lugar, durante los últimos tres años la
mayoría de las empresas han realizado —en mayor o menor medida— inversiones en tecnología
relacionada a la seguridad, por lo cual existe una peligrosa sensación de seguridad que sin duda
dejar lugar para el aprovechamiento de actividades maliciosas, simplemente porque la tecnología
no alcanza por sí sola para ofrecer seguridad, y mucho menos ante escenarios de ataque de
Ingenieria social.
En segundo lugar, las implementaciones tecnológicas que se realizaron no fueron acompañadas
por un esfuerzo similar en las áreas de procesos y procedimientos, que son justamente las
principales armas frente a la Ingenieria social (junto con la concientización). Es decir, que si
sumamos una falsa sensación de seguridad junto con la falta de controles adecuados,
encontramos un terreno propicio para el desarrollo de estas técnicas.
Lo cierto es que es mucho más difícil implementar procesos que tecnología, y no porque las
tecnologías sean sencillas ni mucho menos! Tengamos en cuenta que si tomamos como
referencia la principal norma internacional relacionada a la seguridad de la información, es decir la
ISO 27000, realizar una implementación de los lineamientos de la norma en una organización
50
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI








promedio toma entre 2 y 3 años, considerando que luego de la implementación y a través del
sistema de mejora continua, se irán mejorando los controles y procesos hasta alcanzar una
madurez hasta dentro de otros 2 o 3 años posteriores. Adicionalmente, implementar este tipo de
normas requiere apoyo y participación de toda la organización, lo cual ya de por sí representa un
reto muy difícil de alcanzar.
Respecto a la conectividad y la movilidad, sin duda que muchas veces van a favor de las técnicas
orientadas al engaño, ya que ahora ni siquiera es necesario ingresar a la empresa para acceder a
la información, porque los usuarios la llevan consigo todo el tiempo! Desde algo tan sencillo
(comparado con vulnerar un sistema informático) como robar la PDA de un Gerente para sustraer
datos, hasta la instalación de accesos Wi-Fi falsos para obtener información de forma ilegal,
existen gran variedad de técnicas que combinan algún tipo de conocimiento técnico con otro tipo
de tácticas.
Más allá de la falta de concientización que hace tiempo se advierte en relación con las tecnologías
móviles, gracias a lo cual es muy difícil encontrar que existan controles implementados para este
tipo de tecnologías, las técnicas de Ingeniería social pueden ser efectivas incluso en contextos
donde a nivel tecnológico se han tomado los recaudos mínimos necesarios.
Adicionalmente, el auge de las redes sociales sin duda está dando mucho impulso al surgimiento
de nuevas formas de ataque, relacionadas con la Ingeniería social.
Lo cierto es que existen técnicas, como el cross-side scripting, a través de las cuales es posible
obtener datos privados de la persona sin siquiera necesitar su usuario y contraseña, a través de un
engaño. En general, los ataques realizados a las redes sociales se realizan sobre la base de que
las aplicaciones no son vulnerables, y se trata de plantear un escenario de engaño que por sí solo
no genera el ataque, sino que sirve de base para la realización de la intrusión propiamente dicha, o
la obtención de información que permita luego ganar un acceso no autorizado.
Incluso, sin necesidad de violar una restricción de seguridad, las redes sociales son muchas veces
fuente de información para producir luego otros ataques. Tengamos en cuenta que hay empresas
que comenzaron a utilizar información disponible en Facebook o en LinkedIN (por nombrar
solamente a algunas fuentes) para incorporarla a sus procesos de selección de personal. Y
entonces¿por qué no podría encontrar un hacker allí mismo información valiosa para sus
propósitos?
Datos tales como cuándo una persona está de viaje y dónde, quiénes son sus conocidos, dónde
se desempeñó laboralmente y con quiénes, a qué lugares suele concurrir, y quiénes son sus
familiares, entre otros, son generalmente fáciles de conseguir a través de redes sociales. Sin duda,
esto representa una gran tentación para quien se dedica a realizar ilícitos relacionados al fraude.
En definitiva, y si bien es cierto que no existe tal cosa como un grado de seguridad total o de
riesgo cero, también frente a estos escenarios es posible tomar ciertos recaudos que eleven el
nivel de protección de la información.
Para las organizaciones, las recomendaciones generales son:

Concientizar permanentemente a los empleados, clientes y proveedores acerca de los riesgos
inherentes a las distintas actividades.

Implementar, controlar y mejorar políticas y procedimientos específicos para la seguridad de la
información en todas las áreas de la empresa.

Utilizar la información de los elementos de control tecnológico para medir posibles brechas de
seguridad asociadas a la Ingeniería social.

Contar con apoyo externo especializado para realizar auditorías y análisis de riesgo periódicos
que incluyan tanto a la infraestructura tecnológica como a los procesos y procedimientos.
51
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI




Ser extremadamente cuidadoso con la información pública que se almacena en redes
sociales.
No llevar información confidencial fuera de la empresa (siempre debería ser posible acceder
en forma remota).
Habilitar las conexiones Wi-Fi en las PDAs y notebooks solamente cuando se las está
utilizando.
Participar de todas las actividades de concientización que se ofrecen tanto en la propia
organización como a través de medios especializados en seguridad de la información.
Seguridad Informática

Es el conjunto de medidas preventivas, de detección y corrección destinadas a proteger la
integridad, confidencialidad y disponibilidad de los recursos informáticos.
¿Qué es Seguridad Informática?



Confidencialidad, asegurar que la información es entregada de forma autorizada a quien la
requiere. ACCESOS
Integridad, asegurar que la información es modificada en forma apropiada y por el personal
facultado para dicho efecto. Previene modificaciones no autorizadas a la información y a los
sistemas.
Disponibilidad, asegurar que la información y los sistemas brindan oportunamente los servicios
para los que fueron destinados.
RIESGOS O AMENAZAS
52
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Autenticación


Autenticación, en su forma más básica, es simplemente el proceso de verificar la identidad de
alguien.
La identificación debe darse por al menos dos de las siguientes cosas:
o Algo que el usuario conozca (una contraseña)
o Algo que el usuario tenga (una tarjeta magnética)
o Algo que sea una propiedad intrínseca del usuario (la huella dactilar, el iris, la retina, la
voz)
Autenticación por Contraseñas o Passwords








Las contraseñas o passwords son elementos utilizados para la autenticación sirven para acceder a
los sistemas que utilizamos según nuestro ROL o funcion.
Es un secreto compartido únicamente entre el sistema y uno.
Recomendaciones para contraseñas (password).
Asigna contraseñas Fáciles de Recordar, pero Difíciles de Adivinar
Utiliza caracteres combinados, tanto numéricos (0-9) como alfabéticos (A-Z, a-z)
Cambia tus contraseñas con frecuencia y ante la sospecha de que alguien más la conoce
Ser cuidadoso al digitar tu contraseña. No permitas que otras personas lo vean
Prueba usando la letra inicial de cada palabra de una frase que no te olvidarás
o (Pablo Neruda 20 poemas de amor y una canción desesperada = PN2pdayucd)
Control de Acceso

El control de acceso es el mecanismo de seguridad a través del cual se otorgan los privilegios
que requieres para realizar tus actividades diarias en los sistemas de Información. Consta de
tres elementos: Autenticación, Autorización y Monitoreo
Control de Acceso





Si tienes personal a tu cargo
Periódicamente realice la certificación de sus permisos según el ROL o funciones.
Si el personal a su cargo cambió de funciones, solicita el cambio de ROL
Si el personal a su cargo cambio de sector
Recomendaciones
o No utilices la clave de otro usuario
o No prestes tu clave a otra persona.
o Recuerda que todo lo que se opere en el sistema con su clave, quedará registrado, y será
su responsabilidad.
o No permitas que otras personas que hayan trabajado en su área conserven los permisos
erróneos
Medios en donde reside la información

Papel: documentos impresos, anotaciones, resúmenes de cuentas, informes oficiales, planillas
e informes de trabajo, documentación de clientes, firma de clientes, comunicaciones internas,
manuales. Mapas y planos.
53
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI




Equipos informáticos: bases de datos, sistemas aplicativos, PCs, computadoras portátiles,
Intranet, Internet.
Comunicación: telefonía por cable, telefonía móvil, fax, transmisiones satelitales, video
conferencias.
Soportes magnéticos: diskettes, discos compactos. cintas magnéticas, dispositivos USB de
almcenamiento, MP3, MP4, chips.
Personas:
Conocimiento, habilidades, aptitudes intelectuales. Memoria, sobre información vista,
escuchada o analizada.
La importancia de la protección


¿Es Importante para mi?
o Si, pues debo proteger mi identidad, privacidad para que no sean utilizados por
terceros en forma inadecuada.
¿Es Importante para mi organización?
o Para poder proteger los recursos de la organización. Como la información,
comunicación, etc.
o Una amenaza directa a la seguridad de nuestros sistemas, significaría una amenaza
directa a nuestros negocios.
o Posee información privada de terceros.
¿Sabe cuáles son las Responsabilidades?












Preservar la Seguridad de la información que manejas en el desempeño diario de tus actividades.
Leer en Intranet las comunicaciones de Seguridad para mantenerte actualizado sobre debilidades
o advertencias en seguridad informática.
Revisar periódicamente los privilegios de acceso a cada sistema, del personal a tu cargo conforme
a sus funciones y responsabilidades.
Hacer buen uso del hardware y software que tienes en tu computadora.
Evitar la divulgación de información confidencial, tal como: información de clientes, negocios y
sistemas.
Leer, comprender y alinearte con al Código de Conducta.
Reportar al área de Seguridad informática cualquier evento que ponga en riesgo la
confidencialidad de la información, tales como virus, código malicioso o fuga de información.
Realizar actividades de trabajo exclusivamente con los equipos asignados.
No utilizar equipos personales para trabajar con la información de tu empresa.
Utilizar las instalaciones de la organización exclusivamente para realizar trabajos relacionados a
tus funciones y responsabilidades. No para fines personales.
Practicar las recomendaciones de SEGURIDAD
Trabajar en lo posible sobre los servidores. La información allí contenida se resguarda
periódicamente, según lo indicado por el responsable de la información
Recomendaciones de Seguridad

Antivirus
54
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o







El antivirus corporativo debe mantenerse actualizado. No lo desactives bajo ningún
concepto.
Cuidados de tu PC (desktop/laptop)
o No dejes nunca una sesión abierta cuando abandones tu lugar
o Cuando viajes, nunca la dejes fuera de tu vista
o No dejes tu computadora encendida
o Cuando vayas a utilizar por un tiempo prolongado, apágala y/o utiliza el protector de
pantalla con contraseña
Correo electrónico de dudosa procedencia
o Elimina los correos de dudosa procedencia. Puede ser de riesgo por no conocer al
remitente o porque tenga archivos adjuntos que pueden contener virus o código malicioso
Software legal
o Utiliza solamente las aplicaciones permitidas por HSnn. El uso de software no permitido
puede poner en riesgo la información y/o tener consecuencias legales
Uso de Internet
o Obtén la autorización correspondiente para el acceso a Internet
o Utiliza Internet para fines relacionados con tus funciones y responsabilidades del área de
negocio a la que perteneces
Cuida tu entorno de trabajo
o Mantener el escritorio limpio de notas, formularios, informes, diskettes o dispositivos USB
o Cerrar con llave. si es posible, los escritorios, puertas y armarios
o Retira de la impresora los documentos que mandas a imprimir
Destrucción de la información
o Ya sea en papel o medio magnético, destruye la información que ya no es útil según su
nivel de criticidad
Implementación de nuevos sistemas.
o Implementación de UAT en los que S.I. deba dar su aprobación.
o Detección de accesos no autorizados a sistemas y recursos.
o Consultas sobre virus.
o Altas, Bajas y Modificaciones de usuarios.
Seguridad Informática




Una falla de seguridad en los sistemas de información puede poner la empresa
La seguridad no es un asunto de especialistas, es un asunto de cada uno.
La seguridad informática es un reflejo para adquirir gestos muy simples pero tan importantes como
cerrar con llave su casa cuando sale.
Políticas
o Procedimientos Técnicos
o Medidas para prevenir los accesos no autorizados
o Alteración de datos
o Robo
o Daño Físico a los SI
Recomendaciones de Seguridad.



Políticas de seguridad precisas y claras
Compromiso del Management
Pensamiento Proactivo - 6 meses
55
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI









Utilizar en lo posible estándares abiertos de proveedores
Aplicable a todas las arquitecturas
Actualizar periódicamente el sistema operativo y los programas mas frecuentes que utilizamos en
Internet
Configurar adecuadamente los programas que utilizamos para navegar por Internet
No ingresar a sitios desconocidos o dudosos y menos bajar programas de dichos sitios
Instalar programas o dispositivos “cortafuegos” (firewall)
Utilizar contraseñas “robustas” y cambiarlas periódicamente
Manténgase informado sobre virus, gusanos y troyanos (novedades, nuevos virus, como operan,
alertas, anuncios críticos, etc.) en sitios serios.
Reglas básicas cuando trabajamos en computadoras ajenas:
o No efectuar operaciones delicadas como bancarias o comerciales
o En Hotmail, tildar la opción “No recordar mi dirección de correo electrónico en futuros
inicios de sesión”
o En Hotmail, No elegir la opción “Iniciar sesión automáticamente”
o En Yahoo no tildar la opción “Recordar mi identidad en esta computadora”
o En Yahoo, Seleccionar el modo seguro de envio de datos (en Hotmail esto es automático)
o Cerrar totalmente la sesión de correo (En hotmail seleccionar “Cerrar sesión” y en Yahoo
“Salir” y luego “Salir por completo de Yahoo”)
o Al iniciar una sesión de chat, no seleccionar “Recordar mi nombre y contraseña en este
equipo”
o Asegurarse de seleccionar la opción “Cerrar sesión” al finalizar dado que con solo cerrar
la ventana, la sesión continúa abierta.
o Eliminar todos los archivos que se bajan al finalizar la sesión.
Check list de Seguridad


Puntos principales de vulnerabilidad
o La entrada
o En los modelos (los programas con virus)
o En la salida (robada o copiada)
o El hardware puede fallar
o Las telecomunicaciones pueden fallar
o Los delitos
o Controles Básicos:

Administrativos

Control del personal

tener un plan estratégico

Seguros
Plan de contingencias ante desastres
o Plan de prevención
o Plan de contención
o Plan de recuperación
o Plan de funcionamiento
o Estrategias alternativas

Back up propio

Back-up compartido

Servicio de emrgencia del proveedor

Back-up parcial
56
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI





Controles de entrada

Passwords
Formatos de pantalla
o Verificación
o Totales de control
o Dígito verificador
o Verificación de consistencia de campos y caracteres
o Control de procesamiento
o Verificación de límite o racionalidad
o Pruebas aritméticas
o Verificación de secuencia
o Registros de errores y de transacciones
Control de Base de Datos
o Físicos
o Lógicos
o Controles de salida
o control de la documentación de sistemas
o control de los equipos
o Controles de seguridad

Peligros

Fallas

Fraudes

Incendios

Sabotajes
Desastres naturales
o Objetivos de los controles
o Disuadir
o Detectar
o Minimizar
o Investigar
o Recuperar
o Técnicas físicas

De acceso

Ubicación física

Protección física

Técnicas Lógicas
Integridad
o Aislamiento
o Privilegio de acceso
o Encriptado
o Identificación
o Matriz de peligros y controles
o Mezcla óptima
57
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Seguridad Física
Seguridad física




De nada sirve una implementación de seguridad informática, si la seguridad física no es buena
Garantiza la integridad de los activos humanos, lógicos y material de un CPD.
No están claras los límites, dominios y responsabilidades de los tres tipos de seguridad que a los
usuarios les interesa: seguridad lógica, seguridad física y seguridad de las comunicaciones
Se deben tener medidas para atender los riesgos de fallos, local o general.
Medidas

Antes
o
o
o
o
o
o
o
o
o
o
o
o
o
o
Obtener y mantener un nivel adecuado de seguridad física sobre los activos
Los contratos de seguros pueden compensar en mayor o menor medida las pérdidas,
gastos o responsabilidades que se puedan derivar una vez detectado y corregido el Fallo.
El nivel adecuado de seguridad física, o grado de seguridad, es un conjunto de acciones
utilizadas para evitar el fallo, o aminorar las consecuencias.
Es un concepto general, no solo informático, en las que las personas hagan uso particular
o profesional de los entornos físicos.
Ubicación del edificio
Ubicación del CPD
Compartimentación
Elementos de construcción
Potencia eléctrica
Sistemas contra incendios
Control de accesos
Selección del personal
Seguridad de los medios
Medidas de protección
58
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI


o Duplicación de los medios
Durante
o Desastre: es cualquier evento, que cuando ocurre, tiene la capacidad de interrumpir e
normal proceso de una empresa.
o Se debe contar con los medios para afrontarlo cuando éste ocurra.
o Los medios quedan definidos en el Plan de recuperación de desastres, junto con el
centro alternativo de proceso de datos, constituyen el Plan de Contingencia.
o Plan de contingencia inexcusablemente debe:

Realizar un análisis de riesgos de sistemas críticos

Establecer un período crítico de recuperación

Realizar un análisis de las aplicaciones críticas estableciendo prioridades de
proceso.

Establecer prioridades de procesos por días del año de las aplicaciones y orden
de los procesos

Establecer objetivos de recuperación que determinen el período de tiempo
(horas, dias, semanas) entre la declaración del desastre y el momento en que el
centro alternativo puede procesar las aplicaciones críticas.

Designar, entre los distintos tipos existentes, un centro alternativo de proceso
de datos.

Asegurar la capacidad de las comunicaciones

Asegurar la capacidad de los servicios de Back-up
Despues
o De la gama de seguros pueden darse:

Centro de proceso y equipamiento

Reconstrucción de medios de software

Gastos extra (continuidad de las operaciones y permite compensar la ejecución
del plan de contingencia)

Interrupción del negocio (cubre pérdidas de beneficios netos causados por la
caida de sistemas)
o Documentos y registros valiosos
o Errores y omisiones
o Cobertura de fidelidad
o Transporte de medios
o Contratos con proveedores y de mantenimiento
Áreas de la seguridad física

Edificio:
o Debe encargarse a peritos especializados
o Las áreas en que el auditor chequea directamente:

Organigrama de la empresa

Dependencias orgánicas, funcionales y jeráraquicas.

Separación de funciones y rotación del personal

Da la primera y más amplia visión del Centro de Proceso
o Auditoria Interna

Personal, planes de auditoria, historia de auditorias físicas
o Administración de la seguridad

Director o responsable de la seguridad integral
59
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
o

Responsable de la seguridad informática

Administradores de redes

Administradores de Base de datos

Responsables de la seguridad activa y pasiva del entorno físico
Normas, procedimientos y planes existentes

Centro de proceso de datos e instalaciones

Entorno en donde se encuentra el CPD

Sala de Host

Sala de operadores

Sala de impresoras

Cámara acorazada

Oficinas

Almacenes

Instalaciones eléctricas

Aire acondicionado
Equipos y comunicaciones

Host, terminales, computadores personales, equipos de almacenamiento masivo
de datos, impresoras, medios y sistemas de telecomunicaciones.

Seguridad física del personal

Accesos seguros

Salidas seguras

Medios y rutas de evacuación, extinción de incendios, sistemas de bloqueos de
puertas y ventanas

Normas y políticas emitidas y distribuidas al personal referente al uso de las
instalaciones por el personal
Auditoría Física


Debieran estar accesibles:
o Políticas, normas y planes de seguridad
o Auditorías anteriores, generales o parciales
o Contratos de seguros, de proveedores y de mantenimiento
o Actas e informes de técnicos y consultores
o Informes de accesos y visitas
o Informes sobre pruebas de evacuación
o Políticas del personal
o Inventarios de soportes (back-ups, procedimientos de archivos, controles de salida y
recuperación de soporte, control de copias, etc.)
Técnicas:
o Observación de las instalaciones, sistemas, cumplimiento de normas y procedimientos,
etc. (tanto de espectador como actor)
o Revisión analítica de:

Documentación sobre construcción y preinstalaciones

Documentación sobre seguridad física

Políticas y normas de actividad de sala

Normas y procedimientos sobre seguridad física de los datos

Contratos de seguros y de mantenimiento

Entrevistas con directivos y personal fijo o temporal (no es interrogatorio)
60
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI



Consultas a técnicos y peritos que formen parte de la plantilla o independientes
Herramientas:
o Cuaderno de campo/ grabadora de audio
o Máquina fotográfica / cámara de video
o Su uso debe ser discreto y con autorización
Fases de una Auditoria Fisica considerando la metodología de ISACA (Information Systems Audit
and Control Association)
o Fase 1 Alcance de la Auditoría
o Fase 2 Adquisición de Información general
o Fase 3 Administración y Planificación
o Fase 4 Plan de auditoría
o Fase 5 Resultados de las Pruebas
o Fase 6 Conclusiones y Comentarios
o Fase 7 Borrador del Informe
o Fase 8 Discusión con los Responsables de Area
o Fase 9 Informe Final

Informe – anexo al informe – carpeta de evidencias
o Fase 10 Seguimiento de las modificaciones acordadas
Domotica
Domótica es la incorporación de tecnologia de control a una vivienda, un edificio o una industria en
particular.
Los beneficios al implementar Domótica son múltiples, y en general se suman nuevos todos los dias.






Ahorro energético.
Ampliación de la red de comunicaciones.
Seguridad a nivel personal y patrimonial.
Asistencia Remota.
Gestion Remota via medios convencionales (teléfono, radio, internet, tablet, consola juegos,
etc.)
Mejor Calidad de Vida y Mejores rendimientos en procesos de negocios y productivos.
Aplicaciones de la Domótica


Dentro de la amplia gama de aplicaciones se destancan:
o Programación y sectorizacion de la climatización.
o Racionalización de consumo energetico:.
o Reduccion de costos relacionados a tarifas.
o Aumento de la seguridad y menores riesgos de exposicion.
Usos mas destacados
o Automatización del apagado/ encendido en cada punto de luz.
o Regulación de la iluminación según el nivel de luminosidad ambiente.
o Automatización de todos los distintos sistemas/ instalaciones / equipos dotándolos de
control eficiente y de fácil manejo.
o Integración del portero al teléfono, o del videoportero al televisor.
o Detección de un posible intruso.
61
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
o
o
o
o
o
o
Simulación de presencia.
Detección de conatos de incendio, fugas de gas, escapes de agua.
Alerta médica. Teleasistencia.
Cerramiento de persianas puntual y seguro.
control remoto.
Transmisión de alarmas.
Intercomunicaciones.
Plan de Recupero de Desastres








Business Continuity Plan (BCP)
o Suministra procedimientos para sostener las operaciones esenciales de negocio mientras
se recupera de una interrupción significante.
o Direcciona los procesos de negocio y la tecnología que los soporta.
Business Recovery (or Resumption) Plan (BRP)
o Suministra procedimientos para recuperación de las operaciones de negocio
inmediatamente después de un desastre.
o Direcciona los procesos de negocio; La TI está direccionada sólo al soporte para los
procesos de negocio.
Continuity Of Operations Plan (COOP)
o Suministra procedimientos y capacidades para sostener lo esencial de una organización,
funciones estratégicas en un sitio alterno por más de 30 días.
o Direcciona el conjunto de operaciones de la organización definidas como mas críticas.
Continuity of Support Plan / IT Contingency Plan
o Suministra procedimientos y capacidades para recuperar grandes aplicaciones o
sistemas de soporte general.
o Losmismo que el plan de contingencia de TI; se centra en la interrupción de los sistemas
de TI; no se centra en los procesos del negocio.
Crisis Communications Plan
o Proporciona los procedimientos para comunicarse con el personal y con el público en
general.
o Direcciona las comunicaciones con el personal y el publico; no se centra en la TI
Cyber Incident Response Plan
o Suministra estrategias para detectar, responder, y limitar las consecuencias de incidentes
de seguridad que afectan la continuidad.
o Se centra sobre respuestas de seguridad de la información a incidentes que afectan los
sistemas y / o las redes.
Disaster Recovery Plan (DRP)
o Suministra procedimientos detallados para facilitar la recuperación de operaciones en un
sitio alterno.
o A menudo centrado en la TI; limitado a interrupciones mayores con efectos a largo plazo.
Occupant Emergency Plan (OEP)
o Suministra procedimientos coordinados para minimizar las perdidas de vidas o daños a la
propiedad en respuesta a amenazas físicas.
o Se centra en el personal y las instalaciones; no esta diseñada para procesos de negocio
o funcionalidad de los sistemas de TI.
62
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
BAU = Business as Usual = Giro Habitual de los negocios / procesos de la organización.
Disaster Recovery Planning









Hacer funcionar la empresa despues del desastre
Proteger activos
Primera recuperación
Demostrar que el plan sirve
El plan debe ser auditado
El plan debe identificar todas las aplicaciones criticas.
El plan debe ser realizable!
Personas ON CALL – Al llamado de telefono
Personas ON SITE – En el lugar de recupero
Quienes pueden provocar (sin querer… o queriendo) desastres…





Hackers
Creackers
Phrakers
Ex empleados
Personal actual de sistemas
Plan de Contingencia

Plan de Contingencia del Negocio es mayor al Plan de Contingencia Tecnológica
63
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Desarrollo de Planes de Continuidad del Negocio





Definición del Proyecto
Analisis del impacto en el Negocio
Selección de estrategias
Desarrollo de planes
Pruebas y Mantenimiento
Análisis del Impacto en el Negocio









Análisis de riesgo
Operacional
Físico
Evaluación del Impacto
Financiero
Intangibles (imagen, reputación, legal, salud pública, etc)
Identificación de Procesos y Aplicativos Críticos (métodos alternativos)
Asignación de RTO´s (Recovery Time Objetives)
Evaluación de coberturas de seguros y contratos
Selección de Estrategias





Identificación de recursos
Evaluación de backups
RTO´s – Recovery Time Objectives
Solución Interna vs. Externa
Ventajas y Desventajas
Desarrollo de Planes

Planes de Emergencia
64
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI


Plan de Sistemas
Planes por Unidad de Negocios
Métodos: Pruebas y Mantenimiento


Política de Mantenimiento
Plan de Pruebas
Como auditar un Plan de Continuidad de Negocios






Toma de conciencia y Educación
Análisis de impacto en el negocio
Estrategias de Recuperación Tecnología y Negocios.
Desarrollo y documentación del Plan
Mantenimiento del Plan
Pruebas del Plan
PLAN DE CONTINGENCIA
La organización debe estar preparada para la ocurrencia de hechos accidentales, desastres naturales
o actos intencionales que pongan en peligro su normal operatoria.
Siempre se debe asegurar el COB (continuity of business). Las principales causas de la falta de
prevención son:




“No nos puede pasar a nosotros”
Apatía en los cargos jerárquicos
Desconocimiento de cómo preparar un plan
Difícil cuantificación de beneficios
Se deben analizar todos los riesgos, establecer los recursos críticos, elaborar un proyecto, desarrollar
el plan y realizar las pruebas pertinentes




Fase de emergencia: si se produce algún hecho grave, se debe establecer el ambiente de
reconstrucción y recuperación y minimizar los daños ocurridos (las medidas de prevención serán
fundamentales para evitar daños graves).
Fase de enlace: se deben brindar alternativas de procesamiento para mantener la capacidad
operativa y se deben facilitar las tareas de recuperación del ambiente.
Fase de back-up: es necesario continuar operando con el procesamiento alternativo proveyendo
los sets de copias de resguardo necesarios para ello.
Fase de recupero: se debe restaurar totalmente el SI a su normal funcionamiento, discontinuando
la operación con el procesamiento alternativo y convirtiendo las operaciones y archivos del modo
de enlace al modo normal
Control Interno








Normas y procedimientos
Existentes en el ente
Incorporados en su estructura organizativa
Preventivos
Establecidos para alcanzar los objetivos del ente
Que *actualmente* se realizan...
Característica o Condición Controlada
Actividad qué se controla
65
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI






Sensor
Elemento de Medición
Grupo de Control o Comparación
Parámetros “normales” de comparación
Grupo Activante
Acciones directivas, restrictivas o correctivas
El Control interno


Cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores
o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus
objetivos.
Los controles cuando se diseñen, desarrollen e implanten han de ser al menos completos, simples,
fiables, revisables, adecuados y rentables. Respecto a esto último será preciso analizar el costeriesgo de su implantación.
Controles Preventivos

Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida
los accesos no autorizados al sistema.
Controles Detectivos

Controles detectivos: cuando fallan los preventivos, para tratar de conocer cuanto antes el evento.
Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para
detectar errores u omisiones, etc.
Controles Correctivos

Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias. Por
ejemplo, la recuperación de un archivo dañado a partir de las copias de seguridad.
COSO

C ommittee Of Sponsoring Organizations (of the Treadway Commission)
En 1992, el Committee of Sponsoring Organizations of the Treadway Commission (COSO)
desarrolló un modelo para evaluar controles internos.
Este modelo ha sido adoptado y es generalmente aceptado como marco de trabajo para control
interno. Además, es ampliamente reconocido como el estándar definitivo con el cual pueden las
organizaciones medir la efectividad de sus sistemas de control interno.

Establecer una definición común del CONTROL INTERNO: “Marco de Referencia”
Proporcionar el “marco” para que cualquier tipo de organización pueda evaluar sus SISTEMAS DE
CONTROL y decidir cómo mejorarlos
66
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Ayudar a la dirección de las Empresas a mejorar el CONTROL DE LAS ACTIVIDADES de sus
organizaciones
Definición de Control Interno



¿Qué es Control Interno?
o Es un proceso efectuado por la Dirección, la alta gerencia y el resto del personal
¿Para qué?
o Para proporcionar un grado de seguridad razonable en cuanto a la consecución de
objetivos
¿En qué niveles? (3 Objetivos del Control Interno)
o Eficacia y Eficiencia en las Operaciones
o Confiabilidad de la Información Financiera
o Cumplimiento con las leyes y normas que sean aplicables
Eficacia y Eficiencia en las Operaciones




EFICACIA: Capacidad de alcanzar las metas y/o resultados propuestos.
EFICIENCIA: Capacidad de producir el máximo de resultados con el mínimo de recursos, energía
y tiempo. Se refiere básicamente a los objetivos empresariales:
Rendimiento y rentabilidad
Salvaguarda de los recursos
Confiabilidad de la Información Financiera


Elaboración y publicación de Estados Financieros confiables, estados contables intermedios y toda
otra información que deba ser publicada.
Abarca también la información de gestión de uso interno.
Cumplimiento con las leyes y normas que sean aplicables


Cumplimiento con aquellas leyes y normas a las cuales está sujeta la organización.
De esta forma logra evitar:
o Efectos perjudiciales para la reputación de la organización.
o Contingencias.
o Otros eventos de pérdidas y demás consecuencias negativas.
Los cinco Componentes del Control Interno




Ambiente de control
Análisis de Riesgo
Actividades de Control
Información y Comunicaciones
Ambiente de control




Un adecuado Ambiente de Control se verifica por medio de 7 aspectos:
Integridad y valores éticos
Compromiso de competencia profesional
Filosofía de dirección y el estilo de gestión
67
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI




Estructura Organizacional
Asignación de autoridad y responsabilidad
Políticas y Prácticas de Recursos Humanos
Consejo de Administración / Comité de Auditoría
Análisis de Riesgos





Un adecuado Análisis de Riesgo se verifica por medio de 4 aspectos:
Objetivos Organizacionales Globales
Objetivos Asignados a cada Actividad
Identificación de Riesgos
Administración del Riesgo y Cambio
Actividades de control








COSO reconoce los siguientes tipos de Actividades de Control:
Análisis efectuados por la dirección
Administración directa de funciones por actividades
Proceso de información
Controles físicos contra los registros
Indicadores de rendimiento
Segregación de funciones
Políticas y procedimientos
Información





Evaluación adecuada de los mecanismos de información:
La información interna y externa provee a la Dirección los reportes necesarios para el
establecimiento de objetivos organizacionales
Es proporcionada información a las personas adecuadas con suficiente detalle y oportunidad para
cumplir con sus responsabilidades
Los Sistemas de Información están basados en un “plan estratégico” (vinculados a la estrategia
global de la organización)
Apoyo de la dirección al desarrollo de los sistemas de información necesarios (aporte de los
recursos adecuados, tanto humanos como financieros)
Comunicación






Evaluación adecuada de los mecanismos de comunicación:
La Comunicación al personal, es eficaz en la descripción de sus funciones y responsabilidades con
respecto al control Interno.
El establecimiento de canales de comunicación para la denuncia de posibles actos indebidos.
La Alta Dirección es receptiva a sugerencias de los empleados.
La comunicación a través de toda la empresa es efectiva.
Seguimiento oportuno y adecuado de la dirección de la información obtenida de clientes,
proveedores, organismos de control y otros terceros.
Monitoreo y Supervisión



EVALUACION DE LA SUPERVISIÓN y MONITOREO
Supervisión Continua:
¿En qué medida obtiene el personal -al realizar sus actividades habituales- evidencia del buen
funcionamiento del sistema de control interno?
68
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI














¿En qué medida las comunicaciones de 3ros. corroboran la información generada internamente o
advierten problemas?
Comparaciones periódicas de importes registrados contra los activos físicos.
Receptividad ante las recomendaciones de auditores internos y externos.
Grado de comprensión del personal sobre los códigos de ética y conducta (ver si se hacen
encuestas periódicas).
Eficacia de las actividades de Auditoría Interna.
Evaluación periódica puntual:
Alcance y frecuencia
El proceso de evaluación¿es el ideal? (si se hace bien)
La metodología para evaluar el sistema de controles internos¿es lógica y adecuada?
Adecuación de las muestras, son significativas y como está la calidad de la documentación
examinada.
La comunicación de las deficiencias:
Mecanismos para recoger y comunicar cualquier deficiencia detectada en el control interno.
Los procedimientos de comunicación son los ideales.
Las acciones de seguimiento y mejora continua del sistema de Controles Internos son las
correctas.
Preguntas de Ejecutivos que siguen sin respuestas



¿Cuánta confianza puedo tener en que la información que recibo refleja completamente la posición
frente al riesgo de la compañía?
¿Cómo sé si mi capacidad de manejo de riesgos es efectiva?
¿Qué puedo hacer para mejorar cuando encuentro un problema?
Ley SOX









La Ley Sarbanes-Oxley (SOX) fue establecida en el año 2002 por el Congreso de los Estados
Unidos de América, como respuesta al gran número de escándalos financieros y contables
relacionados con algunas de las más importantes y prominentes compañías en este país: Enron,
World Com, etc.
Dichos escándalos repercutieron negativamente sobre la confianza depositada, por parte de los
accionistas y el Estado en los procesos contables y las prácticas de reporte financiero de las
compañías públicas.
Es de hacer notar que esta ley, en principio, alcanzó únicamente a a aquellas compañías inscritas
en el Security Exchange Comision (SEC) de EEUU.
La Ley Sarbanes–Oxley tiene por objeto principal la protección del accionista mediante la
prevención del fraude financiero y el aseguramiento de que la información presentada en los
mercados sea precisa, completa, fiable, comprensible y se presente en plazo.
La Ley aumentó las responsabilidades corporativas respecto de la emisión de informes financieros
de compañías públicas:
Responsabilidad penal para Ejecutivos.
Establece fuertes reformas en materia de gobiernos corporativos.
Mayores restricciones a los auditores en materia de independencia.
Es una ley severa en materia reglamentaria para la exposición contable, las auditorias, los
balances y para los directores de las empresas.
Aunque incide sobre las empresas estadounidenses, las subsidiarias locales también deben
ajustarse a la nueva normativa.
69
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI










Incluso, empresas no alcanzadas han aplicado ciertos criterios y procedimientos implícitos en la
ley buscando alcanzar máximos niveles de control.
Esto es así a pesar de que la aplicación de la SOX acarrea altos costos para las empresas, ya que
su implementación en el largo plazo puede redundar en beneficios al intensificar la compañía el
nivel de control
Las TI y el Control Interno constituyen un marco integral para el control y prevención de fraudes
financieros.
El marco de control interno sugerido, para cumplir con los lineamientos establecidos por la Ley
SOX, es el diseñado por el Comité of Sponsoring Organization of Treadway Comision (COSO).
A comienzos de los años 90, el Comité junto con la asesoría de Pricewaterhouse Coopers, realizó
un estudio extensivo sobre controles internos, cuyo resultado fue el marco de control interno
COSO.
La Ley SOX indica que la conservación y disponibilidad de los documentos en formato digital no
pueden ser modificados por un período de 10 años, lo que implica tres puntos esenciales:
almacenamiento, aplicaciones y políticas y procedimientos.
El primero de ellos debe considerar accesibilidad y capacidad de búsqueda para el manejo de
datos, con opciones de cinta, disco óptico y magnético para conservar la información.
Las aplicaciones deben contar con especificaciones como protección de documentos, clasificación
en línea y capacidad de auditorías.
En lo que respecta a procedimientos, se definen las opciones de cómo los datos serán movidos y
almacenados, además de cómo y cuándo está autorizado el personal de TI para tener acceso y
modificarlo y en qué tiempo se pueden destruir.
Para un buen cumplimiento de la ley se necesitan algunos factores como:
o estructura documentada del control interno;
o mayor transparencia en la eficacia de los controles;
o monitoreo electrónico continuo de las acciones de mejoramiento;
o desarrollo de controles documentados coherentes que se puedan aprovechar en las
múltiples unidades empresariales; y
o procesos acelerados y racionalizados.
o En otras palabras, las empresas se están dando cuenta de que las leyes reglamentarias
simplemente significan utilizar buenas prácticas de seguridad.
Normas de control interno a tener en cuenta en los sistemas interactivos





Los sistemas interactivos integrados requieren especiales medidas de seguridad por la posibilidad
de actualizar archivos y tablas desde distintas terminales y por diversos empleados.
Medidas que se recomiendan:
No puede haber baja física de los registros
o Los sistemas no deben permitir en ningún caso eliminación de registros. Cuando se
lo quiera dar de baja se le colocara un signo, pero la baja física se hará con medidas
de seguridad.
En ningún archivo se puede modificar los campos valores
o Toda modificación debe hacerse mediante un nuevo registro. La diferencia entre el
original y el nuevo nos dará el valor al cual se desea llegar. Se exige un nuevo
registro para dejar constancia de la modificación
Archivos protegidos - doble seguridad
70
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o









Para los archivos de información confidencial además de la password, es necesario
crear un archivo donde queden registrado los cambios de contraseña y archivos que
se actualizan en orden correlativo.
Cambio periódico de las contraseñas
o La contraseña debe ser cambiada periódicamente ya que su uso continuo deteriora
el control
Control de aplicación de pagos recibidos
o Debe arbitrarse un control mecánico por proceso y con intervención de otro sector
como elemental norma de control interno
Control del ingreso de datos
o Diariamente debe establecerse listados de control de las operaciones ingresadas, en
cantidad, tipos de registros para cruzar con los totales acumulados en los archivos.
Control de archivos al inicio y al final del día
o El sistema debe prever al final del día o de cada proceso el control del acumulado de
los archivos en cantidad, tipo de registros y valores.
Ciclos de retención y back up
o Es necesario grabar todas las novedades que actualizan archivos en otro archivo
lógico, para poder reprocesar ante emergencias.
Archivos en lugar físico distinto
o Es común para los procesos en lotes. Siempre es necesario que un ciclo de
retención se encuentre físicamente en otro edificio, en prevención de incendios, etc.
Control y actualización de tablas
o Las tablas que contiene porcentajes, condiciones de bonificación, descuentos,
recargos, intereses, comisiones, etc. Necesitan especiales medidas de seguridad en
un sistema interactivo, ya que su modificación permitirá cometer fraudes, en
procesos supuestamente normales.
Control actualización archivos con condiciones especiales
o Cuando un archivo como el de clientes, tiene condiciones diferentes para cada uno
de ellos, además de exigirles todos los controles, deben tener un numero correlativo
de modificación de cada registro individual de cliente.
Listados de Control de Condiciones Especiales
o Cuando el sistema de opción a que el usuario en lagunas operaciones modifique
condiciones que figuran en tablas o archivos esas operaciones deben ser listadas
para el conforme de la respectiva gerencia. Estos listados de excepción deben ser
numerados y contener el código de usuario y fecha donde se realizo la modificación
A fin de minimizar errores, desastres, delitos por computadoras y violaciones de la seguridad, es
preciso incorporar controles.

Controles: todos los métodos, las políticas y los procedimientos que cuidan la seguridad de los
activos de la organización, la exactitud y fiabilidad de sus registros, y el cumplimiento operativo de
las normas gerenciales.


El control de un SI debe ser una parte integral de su diseño.
Los sistemas de computación se controlan mediante una combinación de controles generales y
controles de aplicación
Controles generales: controles amplios que establecen un marco dentro del cual se controla el
diseño, la seguridad y el uso de los programas de computadora en toda una organización.
Controles de aplicación: controles específicos, exclusivos para cada aplicación computarizada.


71
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Controles generales
Cuidan el funcionamiento eficaz de los procedimientos programados y se ejercen sobre toda las áreas
de aplicación.






Controles de implementación: auditoria que se hace al proceso de desarrollo de sistemas de
diversos puntos, para asegurar que se le maneje y controle debidamente.
Controles de Software: monitorean el uso del software de sistemas y evitan el acceso no
autorizado a los programas de aplicación y al software de sistemas.
Controles de Hardware: cuidan que el hardware este protegido físicamente, y detectan fallos en el
funcionamiento de los equipos. Lo primero importante para asegurar que sólo personas
autorizadas tengan acceso al equipo. Las computadoras necesitan protección especial contra
incendios y extremos de temperatura y humedad. Las organizaciones que dependen críticamente
de sus computadoras también deben tomar medidas para contar con respaldos de emergencia en
caso de faltar la electricidad. Verificaciones de paridad que detecten el mal funcionamiento del
equipo responsable del alterar bits dentro de bytes durante el procesamiento.
Controles de operaciones de computación: procedimientos que cuidan que los procedimientos
programados se apliquen en forma congruente y correcta al almacenamiento y procesamiento de
datos. Esto incluye, además, controles sobre la preparación de trabajos para procesarse en
computadoras, sobre el software de operaciones y sobre los procedimientos de respaldo y
recuperación, en caso de que el procesamiento termine anormalmente. También incluyen
procedimientos manuales, diseñados para prevenir y detectar errores.
Controles de seguridad de los datos: garantizan que los valiosos archivos de datos de negocios
grabados en discos o cintas no sufran accesos no autorizados, alteraciones o destrucción. Tales
controles sobre los archivos de datos se requieren cuando éstos se están usando y cuando se
tienen almacenados. Es más fácil controlar los archivos de datos en los sistemas por lotes, ya que
el acceso está limitado a operadores que corren las tareas por lotes. Sin embargo, los sistemas en
línea y en tiempo real son vulnerables en diversos puntos. Varios niveles de seguridad: las
terminales pueden ser físicamente restringidas; el software puede incluir el uso de palabras de
acceso asignada a personas autorizadas.
Controles administrativos: son normas, reglas, procedimientos y disciplinas de control
formalizados, para asegurar que los controles generales y de aplicación de la organización se
apliquen y cumplan debidamente. Los controles administrativos más importantes son:

Segregación de funciones: principio de control interno que divide responsabilidades y
asigna tareas a las personas, de modo que las funciones no se traslapen y se minimice
el riesgo de errores y la manipulación fraudulenta de los activos de la organización.

Políticas y procedimientos por escrito: establecen normas formales para controlar la
operación de los SI. Los procedimientos se deben formalizar por escrito y deben ser
autorizados por el nivel gerencial apropiado. Es preciso especificar claramente las
obligaciones y las responsabilidades.

Supervisión: del personal que participa en los procedimientos de control. Mediante la
supervisión se detectan las debilidades, corrigen errores y desviaciones.
Controles de aplicación


Son específicos dentro de cada aplicación de computadora individual. Incluyen procedimientos
automatizados y manuales que aseguran que la aplicación sólo procesará datos autorizados, y
que lo hará de forma correcta y cabal. Los controles de cada aplicación deben abarcar toda la
sucesión de pasos de procesamiento.
Controles de entrada: verifican la exactitud e integridad de los datos cuando entran en el sistema.
Son controles específicos para:
72
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o


autorizar las entradas; se deben autorizar, registrar y monitorear correctamente
durante el flujo de documentos frente a la computadora.
o convertir datos; las entradas deben convertirse debidamente en transacciones
computarizadas, sin introducir errores al transcribirlas de una forma a otra.
o Establecer totales de control: es un tipo de control de entrada que consiste en contar
las transacciones o los campos de cantidades antes del procesamiento para efectuar
comparaciones y conciliaciones posteriormente.
o Realizar verificaciones de edición: rutinas para verificar los datos de entrada y
corregir errores antes del procesamiento.
Controles de procesamiento: determinan si los datos están completos y son correctos durante la
actualización. Los principales son:
o totales de control de serie: procedimiento para controlar el grado de actualización por
computadora generando totales de control que concilian los totales antes y después
del procesamiento.
o Cotejo por computadora: control de procesamiento que compara los datos de entrada
con información guardada en archivos maestros.
Controles de salida: medidas que aseguran que los resultados del procesamiento computarizado
sean correctos, estén completos y se distribuyan debidamente. Los más comunes son:
o
o
o
cotejar los totales producidos con los totales de entrada y de procesamiento
revisión de los registros de procesamiento para determinar que todos los trabajos
fueron procesados adecuadamente.
procedimientos y documentación formales que especifican a los destinatarios
autorizados de los informes, los cheques u otros documentos críticos producidos.
Auditoría de Sistemas




La auditoría en sistemas es el monitoreo, revisión y evaluación de todos los controles que la empresa posee o
debiera poseer para el procesamiento de su información en forma segura y consistente.
Esto incluye el control de los equipos de cómputo y su utilización, así como el de las personas que los operan.
La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo,
de un sistema o procedimiento específico, sino los sistemas de información en general desde sus
entradas, procedimientos, controles, archivos, seguridad y obtención de información.
La auditoría es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de
una sección, un organismo, una entidad, etc.
El control interno y el auditor de sistemas

DIFERENCIAS
o Análisis de los controles en el día a día.
o Informa a la Dirección del Departamento de Informática.
o Sólo personal interno.
o El alcance de sus funciones es únicamente
o sobre el Departamento de Informática
o Análisis de un momento informático determinado.
o Informa a la Dirección General de la Organización.
73
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
o

Personal interno y/o externo.
Tiene cobertura sobre todos los componentes de los sistemas de información de la
Organización.
SIMILITUDES
o Personal interno.
o Conocimientos especializados en Tecnología de la Información.
o Verificación del cumplimiento de controles internos, normativa y procedimientos
establecidos por la Dirección de Informática y la Dirección General para los sistemas de
información.
Auditoría Externa Vs. Auditoría Interna









Se aclara, dado que para los profesionales de ciencias económicas puede llevar a confusión el
término de auditoría de sistemas.
Auditoría Interna
o Se realiza con recursos materiales y personas pertenecientes a la empresa.
o Son empleados remunerados económicamente.
o Existe por decisión de la empresa.
Auditoría Externa
o Es realizada por personas ajenas a la empresa auditada.
o Siempre es remunerada.
o Se presupone mayor distanciamiento entre auditores y auditados.
La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la
empresa auditada.
Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna
existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier
momento.
Por otro lado, la auditoría externa es realizada por personas ajenas a la empresa auditada; y es
siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al
mayor distanciamiento entre auditores y auditados.
La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto
de la auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales.
La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando revisiones
globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos
planes y se habitúan a las Auditorías, especialmente cuando las consecuencias de las
recomendaciones habidas benefician su trabajo.
La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier
contenido o matiz “político” ajeno a la propia estrategia y política general de la empresa.
Auditoria de los Sistemas de Información
74
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Dos enfoques de la auditoria de SI


El enfoque tradicional de la auditoria.
o Limitado a los controles contables internos.
o No se enfocaba a las actividades claves.
o Sólo interesaba al personal financiero.
En la actualidad.
o Los SI intervienen en todas las actividades.
o El auditor moderno evalúa riesgos y comprueba controles.
o Demuestra conocimientos informáticos.
Focos de los Tipos de Auditoria



Operativa
o Examinar la gestión de un ente, evaluando la eficiencia de los resultados
Interna
o Medir y evaluar la confiabilidad y eficacia de las actividades de control de los sistemas
Externa
o Emitir opinión sobre la razonabilidad de la información contable
o Independencia del Auditor
¿Qué es la Auditoria de Sistemas?

La revisión y evaluación de todos (o algunos) de los aspectos de los sistemas de procesamiento
de la información, incluidos los procedimientos no automáticos relacionados con ellos y las
interfaces correspondientes
75
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI


Es realizada para verificar el funcionamiento y la distribución de los controles en los procesos de
información de una empresa, organización o cualquier sistema que utilice medios de información.
Puede ser realizada por un equipo interno o externo, principalmente para encontrar fallas en el
sistema analizado que permitan optimizar, homogenizar, acercar, y proteger los procesos
informáticos, ya que el flujo de la información se facilita en cuanto se automatiza reduciendo el
error humano.
¿Qué se revisa y evalúa?











Control de modificación en las aplicaciones
Fraudes
Cambios en los programas
Revisión de:
o Comunicaciones
o Entrada de datos
o Bases de datos
o Métodos de procesamiento
o Salidas de Información (derechos y privilegios)
Evaluación de la Seguridad Informática
Evaluación de los planes de contingencia
Back-ups, planes de recupero
Opinión de la utilización de los recursos tecnológicos
Resguardo y protección de activos
Idealmente, ser consultados en el desarrollo de nuevos sistemas
Evaluación de controles
Etapas de una Auditoria



Planificación
o Conocer el ente
o 1:N (Extractivas) / N:1 (Concentradoras) / T (Combinatorias)
o Regulaciones que lo afectan (AFIP, BCRA, SAFJP, SOX, corporativas)
o Evaluar riesgos
o Inherente / de Control / de Detección
o Determinar enfoque (áreas / ciclos)
o Determinar programas de trabajo
o Alcance, naturaleza y oportunidad
Ejecución
o Aplicación de los procedimientos
o Pruebas de Controles
o Pruebas Sustantivas
o Papeles de Trabajo
o En general, obtener elementos de juicio respecto del objeto auditado
Conclusión
o Seguimiento de puntos pendientes
o Elaborar informes y borradores de discusión
o Acordar recomendaciones (cuando las hubiere)
76
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
Elaborar Informe final
Planificación de auditoría:
En la planificación de auditorías debe considerarse el cumplimiento o realización de los siguientes
aspectos (debe cubrir los siguientes aspectos)



Comprender el negocio: a través de recorrer instalaciones, leer sobre esa industria o sus
informes financieros, entrevistas, revisión de informes de auditorías previas, revisión de los
planes estratégicos a largo plazo.
Definir los riesgos de auditoría y materialidad (impacto total para la entidad NO basado en lo
monetario) significa definir el alcance del trabajo para acotar el riesgo
El riesgo de exposición o riesgo de auditoría debe ser el criterio clave para seleccionar las
aplicaciones a auditar.
o Para determinar la prioridad de las aplicaciones a auditar considerar en el sig.
Orden: los activos controlados por el sistema, el impacto sobre la toma de
decisiones, la importancia de los archivos utilizados, el costo de procesamiento.
o Para establecer prioridades a las auditorias en un plan de auditoría considerar: las
observaciones de auditorías previas, el lapso desde la última auditoría y los cambios
a los procedimientos auditados
o 3. Riesgo del negocio: se refiere a identificar riesgos por ej. De naturaleza financiera,
normativa, de controles que pueden afectar la continuidad del negocio a largo plazo.
Si bien el auditor debe tener presente este riesgo mientras lleva a cabo la auditoria,
debe interesarse principalmente en los riesgos de control y de auditoría.
o 4.Evaluacion de riesgos: el objeto de esto es identificar las áreas de alto riesgo que
deben ser evaluadas y así permitir la adecuada asignación de recursos para la
auditoria, para que la auditoria constituya un valor agregado orientando sus
actividades a las áreas de alto riesgo
o Para hacer la evaluación de riesgos:

Matriz de riesgos

Establecer factores de riesgo. Ej. Complejidad, riesgo de falla de las
aplicaciones, procedimientos de control

Por cada aplicación o trabajo sujeto a la evaluación de riesgo: asignar el
factor de ponderación que le corresponde a los factores de riesgo
definidos

Asignar a cada factor de riesgo un valor por ej. En escala de 1 a 5
 Obtener el valor de riesgo asociado con cada aplicación o trabajo
sujeto a la evaluación

A partir de juicios de valor por ej. Perspectivas históricas, clima
comercial, etc.
Para todas las aplicaciones, verificar el cumplimiento de los objetivos básicos de control
interno que son:





Cumplimiento de políticas de la empresa, en un segundo término ver
que estén documentados, distribuidos y aprobados
Cumplimiento de exigencias legales
Salvaguardia de los activos
Proceso confiable
Eficiencia de las operaciones
77
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
A partir de los objetivos básicos de control interno definidos anteriormente que deben
existir para todas las aplicaciones, verificar que existan procedimientos que den
cumplimiento a los mismos, por ej.: accesos restringidos a la información, las
transacciones son autorizadas, no se ingresan transacciones duplicadas, se informan las
transacciones rechazadas y las duplicadas, se hacen back-up de los archivos, los
cambios a los programas son aprobados y probados.
o Comprensión de los objetivos generales de auditoría para la auditoria de sistemas de
información. Un ejemplo de objetivo general de auditoría puede ser Evaluar el control
interno en un área o Verificar que el inventario este expresado correctamente
o Definir los objetivos específicos de las auditorias de sistemas.
o objetivo de auditoría (meta): verificar que el sistema contable registra las
transacciones correctamente
o Objetivo de control (como): las transacciones son ingresadas exactamente
o Objetivo especifico de control de SI: existencia de validaciones en el ingreso
para detectar cuentas contables erróneas
o Evaluación de la existencia de procedimientos generales de control (políticas y
procedimientos) establecidos por la gerencia para dar garantía que se alcanzaron
objetivos particulares. Deben existir los siguientes procedimientos de control:




o
Políticas y procedimientos de seguridad lógica para asegurar la autorización
de actividades y transacciones
Rastro de auditoría de transacciones, es decir, políticas respecto al uso y
registro de documentos para asegurar la registración correcta de
Transacciones
Procedimientos para asegurar el acceso restringido a las instalaciones, a los
activos y a su uso
Políticas de seguridad física para todos los centros de cómputos
Analizar el conjunto de procedimientos de control específicos de SI que deben existir
para dar cumplimiento a los procedimientos generales de control mencionados
anteriormente. Por ej. El acceso restringido a los activos (procedimiento general de
control) puede ser traducido como acceso restringido a programas, datos y equipos
(procedimientos específicos de control). Considerar la evaluación de los siguientes
procedimientos de control de SI:






De organización general. En el caso que el auditor efectúe un análisis de los
costos de capacitación e instalación de hardware y software, el principal
interés es identificar los ítems del nuevo soft y hard en los cuales el personal
debería ser capacitado. Los costos de instalación, capacitación e impuestos
son parte de la capitalización del nuevo soft y hard
Metodologías de desarrollo
Acceso a la información y programas
De operaciones. En el caso de planificar una revisión de las operaciones del
centro de cómputos el auditor 1ero. Deberá recopilar información sobre los
procedimientos de asignación de recursos del computador (schedulling) lo
cual ayudara luego a desarrollar un plan y presupuesto de auditoria
De control de calidad
De soporte técnico
78
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
Ejecución de los procedimientos generales de auditorías. Son:








o
Evaluación anual de riesgos y planificación general de auditoria
Planificación de auditorías individuales
Obtención o comprensión del área o tema a auditar
Evaluación del área o tema a auditar
Realización de pruebas de cumplimiento
Realización de pruebas sustantivas
Generación del informe
Seguimiento
Ejecución de los procedimientos propios de auditoría de SI. Si bien son los mismos
enunciados anteriormente, se aplican técnicas propias de la materia como evaluación de
la documentación técnica y entrevistas con personal técnico para comprender el tema a
auditar, utilizar software de auditoría para hacer pruebas sustantivas y utilizar técnicas de
diagramación para documentar. Estos procedimientos deben ser considerados para poder
planificar las pruebas de auditoría por ej.
Evaluar periódicamente los criterios utilizados para planificar a corto plazo y anualmente
con el objeto de considerar las tecnologías cambiantes, mejoras en las técnicas de
evaluación, etc.
Las planificaciones deben ser aprobadas por el comité de auditoría y comunicada a los
niveles gerenciales involucrados
Considerar en la planificación la existencia de exigencias como normativas u otros temas
que deben ser considerados al momento de planificar el trabajo. Por ej. Implantaciones de
sistemas o fechas límites de proyectos, tecnologías actuales y futuras, limitaciones de
recursos de SI
Al efectuar la planificación considerar las áreas vulnerables a delitos informático, y la
naturaleza de los mismos en el caso que hayan ocurrido
Considerar en la planificación los objetivos de la Gerencia. Para con la auditoria. Estos se
esbozan en las cartas de auditoría. Estas son:
o
o
o
o
o


Carta fundamental: delinea la autoridad, responsabilidad y alcance de la función
de auditoría. Debe estar aprobada por el nivel gerencial más alto
Carta fundamental del proyecto: identifica los objetivos de las auditorias
individuales, cronogramas, costos, áreas involucradas e informes
La gerencia de auditoría decidirá auditar alrededor del computador generalmente cuando
no disponga de recursos técnicos para auditar el sistema que genera la información que se
audita., ya que las auditorias a través del computador comprenden el ciclo completo de
procesamiento el input, el proceso y el output incluyendo los procedimientos manuales
asociados al input y la verificación del output
La Gerencia de auditoría asignara al personal más especializado cuando se requiera una
revisión de la administración de los recursos de SI y se utilicen herramientas para el
monitoreo del rendimiento del hardware y software
Desarrollar el programa de auditoría (procedimientos de auditoría para alcanzar los objetivos
planificados).
Componentes que debe incluir el programa de auditoria

El tema y área a ser auditada
79
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI










El objetivo de auditoría (meta definida durante la planificación)
El alcance (sistema yo áreas yo temas que se van a revisar)
La planificación previa donde se definen los recursos, fuentes de información para realizar el
trabajo (por ej. papeles de auditorías anteriores, políticas, normas y procedimientos, etc.), el
lugar físico a auditar, la actualización de los programas de auditoría existentes
Recopilación de los datos
Identificación de las personas a ser entrevistadas
Identificación de políticas y normas del departamento
procedimientos para probar y verificar los controles
procedimientos para evaluar los resultados de las pruebas
procedimientos de comunicación con la gerencia
Generación del informe
o Procedimientos de seguimiento: incluye la evaluación y prueba de las operaciones,
controles razonabilidad de las políticas y procedimientos
Debe incluir la realización de pruebas de cumplimiento y sustantivas


La evaluación de controles es para determinar la confianza de los controles ya sean
automáticos o manuales.
El auditor debe preparar en forma rutinaria programas formales de auditoría de
procedimientos de prueba ya que esto permite estructurar la planificación, guiar a los
ayudantes en los procedimientos planificados y proveer documentación de la revisión








Pruebas de cumplimiento: es para probar que los controles funcionan como lo
describe la persona o la documentación y que funcionan de tal manera que cumplen
con las políticas de la gerencia. Permiten evaluar la efectividad de las políticas o
procedimientos de control para prevenir o detectar errores en los sistemas y
operaciones.
Se realizan con el objeto de comprender la estructura de control, los resultados
obtenidos son utilizados para determinar la naturaleza, tiempos y extensión de las
pruebas sustantivas.
Son ejemplos de pruebas de conformidad: la observación de prácticas de seguridad,
la inspección de documentos por ej. Ver las solicitudes de usuarios para determinar
si las modificaciones a programas están aprobadas, etc.
No son pruebas de cumplimiento el examen de los manuales de sistemas para
determinar que los procedimientos existentes son satisfactorios, el examen de
flujogramas de sistemas para poder entender una aplicación, el examen del
organigrama para ver que la segregación de funciones es adecuada
Las técnicas para efectuar pruebas de control son: observación, inspección, re
ejecución de una política o procedimiento, preguntas
Prueba sustantiva: se efectúan para sustentar la adecuación de los controles. Es
para determinar la exactitud de algo en función a la cantidad, valor. Determinan la
validez de las transacciones. Por ej. La confirmación de los balances de cuentas de
un cliente, de los inventarios de cintas, de inventarios de equipos, análisis de
estadísticas de utilización de recursos del computador, análisis de informes de
excepción por violaciones a la seguridad
Las técnicas para efectuar pruebas sustantivas son: análisis como comparaciones,
cálculo, razonamiento, re ejecuciones por ej. A través del desarrollo de un programa
La forma más eficiente para revisar la integridad de los datos es:
80
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
o
o
o


Revisar el sistema a fin de entender el flujo de información
Identificar los datos y fuentes de datos a probar
Establecer las pruebas
Diseñar las pruebas
Debe incluir la identificación de la existencia de los controles claves (preventivos,
detectives y correctivos) y la prueba de los controles básicos y disciplinarios incluidos en
dichos controles claves
Debe incluir la existencia y documentación de evidencia de auditoría competente y
suficiente para respaldar los hallazgos de la auditoria.
El grado de confiabilidad de la evidencia lo da:

Si quien entrega la información es independiente al área auditada o es externo a la
empresa

La idoneidad en el tema (calificación) de la persona que entrega la evidencia y si el
auditor realmente comprende lo que está evaluando

es objetiva es decir que no exige juicios
Asignación de los recursos de auditoria



Comprensión del perfil de los recursos humanos disponibles para realizar las auditorias
correctamente. Los auditores pueden tener antecedentes como analistas,
programadores, auditores contables, con pocas experiencia hasta CISA's.
Considerar las posibles restricciones que pueden limitar la disponibilidad del personal
por ej. Vacaciones, asistencia a curso, soporte a la auditoría contable, falta de
conocimiento, etc. Estas restricciones pueden evitarse con una planificación adecuada
A fin de realizar planificaciones adecuadas el auditor debe estar familiarizado con las
técnicas de administración de proyectos que incluyen:




hacer un plan detallado con las estimaciones para cada tarea de auditoría (ver punto
G1.11) considerando la disponibilidad del personal. Equilibrar la asignación de
tareas en función de los recursos-destrezas disponibles
establecer algún sistema que permita regularmente ir comparando el avance de los
proyectos con lo planificado
Hacer correcciones al plan por ej. Cambios en las asignaciones o a la planificación
en el caso que se detecte que es necesario
Capacitación constante de los auditores tanto en nuevas técnicas de auditoría como
nuevas tecnologías
Técnicas de recopilación de evidencia



Revisión de la estructura de la organización (organigrama): permite ver si hay
segregación de funciones.
Revisión de las normas para documentar sistemas aunque se realice en forma
automática y no sobre papel por ej. Con herramientas CASE. Las normas deben requerir
mínimamente la documentación de los siguientes aspectos:
o Documentación que indica la aprobación del inicio del sistema
o Especificaciones funcionales sobre el diseño global
o Documentación sobre los cambios a programas realizados
o Manuales de usuario
Revisión de la documentación de sistemas
81
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI









Entrevistas al personal: se pueden utilizar formularios de entrevista con el cuestionario o
listas de control. Las entrevistas deben documentarse con notas
Observación de los empleados realizando las operaciones. Este método da mayor
seguridad en cuanto a verificar la eficiencia y eficacia del trabajo
El auditor debe documentar su comprensión del ambiente de SI, de un sistema, etc.
utilizando flujogramas o narrativas, etc.
Luego de haber comprendido y documentado el sistema, etc., el auditor debe identificar
los controles claves y efectuar pruebas de cumplimiento de los mismos para ver si
funcionan. Los resultados derivaran en pruebas de cumplimiento más extensas o
sustantivas.
Selección de la muestra para efectuar pruebas. Se realiza muestreo cuando no se puede
probar el 100%.
Utilización de técnicas asistidas por computador (CAAT) para obtener evidencia de
diferentes tipos como ser funcionamiento de programas, parametrización de un software,
etc. (ver punto I)
Pueden ir desde preguntas, observaciones, confirmación y re-ejecución (por ej. un
recálcalo)
Cabe aclarar que los diagramas de sistemas, manuales de procedimientos y políticas
son herramientas útiles para lograr una comprensión de la estructura de control interno.
Por otro lado los diseños de registro y archivos, los listados de programas fuentes son
útiles en la etapa de testeo detallado de la estructura de control interno.
Evaluación de fortalezas y debilidades
Existen técnicas para analizar la evidencia pero la técnica a utilizar depende de la evidencia que
se examine. El auditor puede analizar debilidades basándose en:



Tendencias estadísticas en términos de tasas globales
Comparaciones con otros periodos
Análisis de regresión: permite analizar una variedad de datos y determinar si constituyen
una tendencia
Como parte del proceso de evaluar las fortalezas y debilidades, deben cumplimentarse
siguientes aspectos:






los
Evaluar los controles existentes para verificar que se cumplen los objetivos de control
definidos en la planificación. Se puede armar una matriz donde en cada columna se colocan
los errores conocidos que pueden presentarse en el área y en cada fila los controles que
pueden prevenir, detectar o corregir dichos errores. Se completa la matriz y quedan en
evidencia las áreas en que los controles son débiles o inexistentes
Determinar que material es apropiado para evaluar el cumplimiento de los objetivos de control
Considerar la existencia de controles compensatorios es decir controles que compensan las
debilidades de control detectadas en un área.
Un control compensatorio es un control fuerte que respalda o balancea a uno débil. El
propósito también es balancear controles manuales con automatizados
Un control compensatorio puede ser un log de computación que registra las acciones o
inacciones de una persona durante su acceso al sistema o archivos, si sucede algo anormal el
log puede utilizarse para rastrearla.
Los controles redundantes son 2 controles fuertes tanto 1 como el otro es adecuado pero
ambos se complementan
82
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI



Evaluar la interrelación de los controles, debido a que para lograr un objetivo de control
normalmente no basta con que solo un control se adecuado.
Evaluar las fortalezas y debilidades de los controles y determinar si las operaciones son
eficientes, eficaces y están bien controladas es decir que satisfacen los objetivos de control.
Determinar que observaciones son materiales para los distintos niveles gerenciales e
informarlos. Regla: es mejor informar demasiados ítems que muy pocos.
Generar el informe de auditoría.





Estructura que debe tener el informe: objetivo, alcance, periodo cubierto, tareas realizadas,
conclusión global sobre la adecuación de los procedimientos revisados y sus controles,
detallar las observaciones, sus recomendaciones, tiempos estimados de implementación que
sustentan la conclusión global e incluir las respuestas de la gerencia a las observaciones
realizadas con el plan de implementación que propongan (acciones correctivas a tomar y
cuando se implementaran)
Criterios de inclusión de las observaciones en distintos niveles de informe de auditoría:
depende de las directivas de la gerencia sin embargo la decisión final de que incluir u omitir es
del auditor quien debe ejercer su independencia
Al efectuar el seguimiento de implantación de las recomendaciones considerar la importancia
de las debilidades en la estructura de control interno
Comunicar el informe a la gerencia superior y al comité de auditoría. Comunicar los temas sin
restricciones. Puede haber ocasiones en que las observaciones deban ser comunicadas de
inmediato por ej. Si el auditor tiene la certeza que se han realizado actos ilegales, errores o
irregularidades
Existen técnicas de exposición: que sea de fácil lectura, breve y comprensible. Además
pueden utilizarse transparencias, diapositivas, etc.
En el caso de auditorías externas pueden 4 tipos de informes:




Sin salvedades: implican que no hay problemas materiales, los estados contables
cumplen con los principios de contabilidad
Con salvedades: no hay problemas materiales, los estados contables cumplen con los
principios de contabilidad, pero hay situaciones que si bien no afectan materialmente
deben ser informadas
Opinión adversa: los estados contables no cumplen con los principios de contabilidad.
Estos informes son los mínimos.
Renuncia de opinión: cuando la situación financiera es precaria y puede llevar a la
disolución de la empresa o cuando el alcance de la auditoria es tan limitado que no
puede generarse un informe. Este tipo de informes también puede ser generado por la
auditoría interna
Seguimiento para verificar que la gerencia ha implementado las
recomendaciones
Los auditores deben tener un programa de seguimiento y los resultados del seguimiento deben
ser informados a los niveles gerenciales correspondientes.
Código de ética profesional
Los miembros de la EDPAA y los CISA deben:

Apoyar que se establezcan y cumplan normas, procedimientos y controles para los
sistemas
83
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI









Cumplir con las normas de auditoría de sistemas
Actuar en interés de sus empleadores
Mantener la confiabilidad de la información
Cumplir con su tarea en forma independiente es decir evitar toda situación que
comprometa o parezca comprometer su objetividad e independencia.
Mantenerse capacitado a través de cursos
Documentar el material sobre el cual basa sus conclusiones
Informar a los involucrados el resultado de la auditoria
Apoyar a todos en general en comprender lo que es la auditoria y sistemas
Mantener conducta y carácter en sus actividades personales y profesionales
Normas profesionales sobre auditoria de sistema de la EDPAF (estándares
generales para auditoria de sistemas).
Tratan la independencia, capacidad técnica, realización del trabajo e generación de informes.











Actitud y apariencia: significa ser independiente del auditado en actitud y apariencia
(independencia)
Relación en la organización: auditoria debe ser independiente del área que se audita
(independencia)
Auditoria debe ser además independiente en la participación del proceso de desarrollo de
sistemas, no puede tomar decisiones dentro del equipo del proyecto. El auditor debe ayudar a
disminuir el riesgo en el desarrollo de un sistema es decir factores que tengan implicancias
financieras como el costo, el valor del sistema para la organización y los beneficios que
provea el sistema
La independencia debe ser valorada continuamente por el auditor y el gerente de auditoría, es
decir que deben considerarse aspectos como responsabilidades y asignación de trabajos
anteriores, cambios en la relación personal, intereses financieros.
El gerente de auditoría de sistemas debería establecer políticas y procedimientos para motivar
al staff por ej. Calificación del personal en cuanto a carácter, inteligencia, criterio, motivación
Cumplir con el Código de ética profesional
Destrezas y conocimiento: el auditor debe ser técnicamente competente para hacer la
auditoria
Educación profesional permanente. Inicialmente es mejor dedicar tiempo a la capacitación de
los auditores en la manera de realizar el trabajo ya que con el tiempo la calidad del trabajo de
auditoría mejora
Planificación y supervisión: las auditorias deben ser planificadas y supervisadas para asegurar
que se alcanzan los objetivos de auditoría. Realizar la evaluación de riesgos (realización de
tareas)
Exigencia de evidencia: obtener evidencia y documentar para respaldar los hallazgos. Los
tipos de evidencia que el auditor puede utilizar son física, documental, representaciones y
análisis, por ej. los resultado de la extracción de información, registros de transacciones,
listados de programas, logs, cálculos, razonamiento, comparaciones, las proyecciones que
son parte de los cálculos, facturas (realización de tareas)
Cuidado profesional en todas las tareas realizadas incluyendo el cumplimiento de estas
normas. Por ej. El auditor no debería aceptar las declaraciones del analista desde su punto de
vista sino que debe verificar personalmente los controles ya sea analizando la documentación,
testeando su existencia o ambos esto se debe a que el auditor debe ser consciente de la
posibilidad de que otras personas hayan cometido errores, irregularidades o actos ilegales
84
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI




(realización de tareas).
Los errores son involuntarios, equivocaciones, mala aplicación de una política, mientras que
las irregularidades es una falsificación, alteración de registros, aprobación indebida de
transacciones, tomar ventaja de una posición laboral, etc.
Los gerentes se encuentran en mejor posición para ocultar transacciones de manera que
puedan producir una irregularidad material como fraude, la gerencia pudo obviar los
procedimientos de control. Los operadores, bibliotecarios tienen el potencial para realizar
irregularidades materiales.
Generar un informe de auditoría que indique la extensión de la tarea es decir objetivo, periodo
analizado y tareas realizadas (generación de informes)
Generar un informe de los hallazgos y conclusiones: es decir de las observaciones y la
conclusión general.
TECNICAS CAAT (procesos especializados de auditoría asistida por computador)


Se pueden usar para evaluar controles de tecnología informática, de aplicaciones, para hacer
pruebas sustantivas y para la administración de la auditoria
Ejemplos de técnicas CAAT existentes y su uso (tipos de técnicas de auditoría asistidas por
computador)
o Generadores de datos de prueba: este software genera transacciones y datos de
acuerdo con criterios específicos por ej. Rango de valores, etc., con ellos se verificar
la lógica de programas, es decir se compara la salida obtenida con los resultados
esperados
o Sistemas expertos: aplicaciones desarrolladas para contener los procesos de toma
de decisiones de expertos en un determinado campo.
o Utilitarios: por ej. Para ver los parámetros seteados para un software determinado
(evaluar los controles en la operación del computador, controles en el sistema
operativos por ej. PARMLIB), generadores de reportes sobre la estructura de la base
de datos, red de teleprocesamiento, para ver como está configurado el sistema de
seguridad (evaluar los controles de acceso), para analizar el log del sistema.
o Son provistos por proveedores tanto de hardware como software y permiten
manipular información por ej. Para seleccionar e informar datos
o Paquetes de bibliotecas: para verificar la integridad de bibliotecas ante cambios a
programas por ej. Para comparar programas fuentes, objetos (evaluar los controles
en la implementación y mantenimiento)
o Instalación de pruebas integradas (ITF): para procesar datos de prueba en un
sistema de aplicación en producción Permite probar una aplicación en forma
continua.
o Por lo general representan un conjunto de entidades ficticias como departamentos,
clientes y productos. Los informes obtenidos se verifican para confirmar que el
procesamiento es correcto.
o Este mecanismo presenta ciertos riesgos por lo cual es necesario asegurarse que no
se alteran los datos y los totales reales de producción, es decir que no quedan
efectos residuales como resultado de las pruebas realizadas.
o Rutinas de auditoría Instantáneas: se integran en distintos puntos del sistema para
capturar la imagen de la transacción cuando pasa por dicho punto. Permiten tomar la
fotografía de una transacción a medida que recorre el sistema y evaluar los procesos
que se aplican a los datos en distintas etapas del procesamiento.
o Ídem anterior pero la información recopilada se guarda en un archivo especial que
será revisado por los auditores
o Software de auditoría: puede ser especializado (desarrollado por el auditor
especialmente para un determinado negocio o aplicación) o generalizado (para usar
sobre cualquier aplicación por ej. ACL, AUDITPACK).
85
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
o
o
o
o
o
o
o
o
o
o
Son módulos pre-escritos que permiten recuperar información (query), muestreo de
registros, sumarizar, etc.
Tanto el software de auditoría especializado como el generalizado normalmente se
utilizan para verificar la integridad de los datos de un archivo. En el caso del
especializado también puede utilizarse para hace una simulación paralela es decir
que el auditor desarrolla rutinas que simulan total o parcialmente partes del sistema y
luego se investigan las diferencias entre los resultados reales y los de la simulación.
La simulación en paralelo permite al auditor verificar controles y procedimientos
críticos y complejos de programas por ej. Cálculos de intereses y depreciación de
cuentas.
El software de auditoría corre en forma independiente a los programas en producción
y son adecuados para el muestreo de transacciones y su monitoreo discontinuo en
sistemas complejos
La técnica de datos de prueba es para probar situaciones preconcebidas.
El software de auditoría genérico se puede utilizar para:

probar la exactitud de los cálculos, puede ser realizada sobre una muestra o
sobre el archivo completo

Comparar datos de diferentes archivos para asegurar su sincronización

Para determinar la antigüedad de los datos (secuenciamiento) u obtener
resumen de datos (realizar totalizaciones de archivo)

Para identificar condiciones de excepción que no son probables que ocurran
y generar con ellas un informes de excepción para su posterior examen
Software para la administración de la auditoria: por ej. El MSPROJECT que permite
mejorar la administración y seguimiento de los proyectos, el FLOWCHART para
documentación y como ayuda a comprender un flujo de operaciones
Software como VAMVIEW y CONSUL RACF para evaluar los controles en la
seguridad de archivos, programas
Software para el tracing y debugging de programas
transferencia de información hacia y desde un mainframe (uploading y downloading)
para realizar un análisis más detallado de transacciones seleccionadas.
En las PC´s se puede desarrollar software para analizar dichas transacciones cuando
el volumen de las mismas es suficientemente pequeño, pero hay que asegurarse de
la integridad de dichos datos en la PC para que los resultados sean confiables.
CASE: son paquetes de software que ayudan en el desarrollo de todas las fases de
un sistema es decir análisis, diseño, programación y documentación.
Ventajas:



Disminuyen el riesgo de auditoría porque permite una cobertura más amplia (tomar como muestra
todo el universo) mejorando la oportunidad de identificar excepciones, debilidades de control
interno
Independencia del auditado
Ahorro de tiempo en el transcurso del tiempo por pueden ser reutilizadas en las futuras auditorias
Antes de desarrollar o adquirir CAAT considerar:





La facilidad de utilización
La capacitación de quienes deberán usarla
La complejidad de codificación y mantenimiento
Requisitos de instalación (PCs, etc.)
esfuerzo para llevar la información fuente al CAAT
Conservar la siguiente documentación de las CAAT (supervisión de auditoría):



flujogramas de programas
Listado del programa
Diseño de archivos y registros con descripción del contenido y campos
86
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI




Requisitos de input y ejemplos
Instrucciones para operar el programa
Referencia cruzada al programa de auditoría y al procedimiento de auditoría que cumple
Deben utilizarse copias de los archivos de producción en un ambiente que asegure que no van a
ser manipulados
Similitudes entre la Auditoria de Sistemas y la tradicional




No se requieren nuevas normas de auditoría.
Los elementos básicos de un buen sistema de control interno siguen siendo los mismos
adecuada segregación de funciones.
El estudio y la evaluación del control interno se efectúan para:
o respaldar una opinión
o determinar la base, oportunidad y extensión de las pruebas de auditoría.
Diferencias entre la Auditoria de Sistemas y la tradicional





Se establecen algunos nuevos procedimientos de auditoría.
Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable.
Una diferencia significativa es que en algunos procesos se usan programas.
Sistemas manuales = evaluación transacciones
Sistemas informáticos = evaluación control interno
Tipos de auditoría

Pueden ser de distinta índole:
o Auditoría de seguridad interna. Se contrasta el nivel de seguridad y privacidad de las
redes locales y corporativas de carácter interno
o Auditoría de seguridad perimetral. El perímetro de la red local o corporativa es estudiado
y se analiza el grado de seguridad que ofrece en las entradas exteriores
o Test de intrusión. Método mediante el cual se intenta acceder a los sistemas para
comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento
fundamental para la auditoría perimetral.
o Análisis forense. El análisis forense es una metodología de estudio ideal para el análisis
posterior de incidentes, mediante la que se trata de reconstruir cómo se ha penetrado en
el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la
falta de operatividad del sistema se denomina análisis post-mortem.
o Auditoría de páginas Web. Entendida como el análisis externo de la Web, comprobando
vulnerabilidades como la inyección de código SQL, Verificación de existencia y anulación
de posibilidades de Cross Site Scripting (XSS), etc.
o Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones, páginas
Web, así como de cualquier tipo de aplicación, independientemente del lenguaje
empleado y revisar las fortalezas y debilidades de control y de operaciones de un
aplicativo
o
De controles generales: revisar la estructura, políticas, procedimientos operativos y
ambiente de control
o Del Centro de cómputos: revisar las operaciones del centro de cómputos
o De la Seguridad: revisar el acceso lógico, físico y controles del ambiente
o De recuperación de desastres: revisar políticas y procedimientos para la planificación de
contingencias
87
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
o
Del sistema operativo: revisar políticas y procedimientos para desarrollar, adquirir y
mantener sistemas operativos
Del ciclo de vida del desarrollo de sistema (SDLC): revisar la metodología y
procedimientos para el desarrollo, adquisición y mantenimiento de sistemas
¿Cómo se audita un sistema?


Pruebas
o De cumplimiento de Controles

Determinar si el sistema se comporta como se espera que lo haga

Gestión del ente
Sustantivas

Obtener evidencias que permitan opinar sobre:

Integridad

razonabilidad y

validez

de lo producido por el sistema de Información
El riesgo de auditoria



Riesgo inherente:
o un error puede ser material si se combina con otros errores encontrados en la auditoria y
no existen controles compensatorios.
o Es el riesgo propio del negocio, riesgo de que haya un error sin considerar la efectividad
del control interno. Riesgo de ocurrencia de un error
Riesgo de control:
o el sistema de control interno no puede detectar o evitar un error material en forma
oportuna. Riesgo de ocurrencia de un error
Riesgo de detección:
o el auditor concluye que no existen errores materiales y hay. Riesgo de no detectar un
error
Sistema De Control Interno
La estructura del control interno consiste en políticas y procedimientos para dar garantía que los
objetivos serán alcanzados. Es para prevenir o detectar errores o fraudes en los estados contables
(exactitud y confiabilidad de la información), para salvaguardar los activos de la empresa, para
asegurar el cumplimiento de leyes y proporcionar una base para medir hasta qué punto las
operaciones y objetivos de la gerencia se están logrando
Componentes:



Controles contables: orientados a contabilizar las operaciones. Se refieren a la salvaguardia de los
activos y confiabilidad de los registros contables. Por lo tanto la auditoría contable tiene como
objetivo evaluar la exactitud de los estados contables
Controles operativos: orientados a garantizar que las operaciones y funciones diarias satisfacen
los objetivos del negocio. Por lo tanto la auditoria operativa tiene como propósito evaluar la
estructura de control interno, muchas de las auditorias de sistemas son de carácter operativo
Controles administrativos: orientados a que se dé cumplimiento a las políticas del negocio y a los
controles operativos para garantizar la eficiencia operativa en un área.
88
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
C2.Los tipos de control interno son: controles disciplinarios y controles básicos

Controles básicos: por ej. Controles de autorización, totalidad, exactitud, procedimientos de
backup y recuperación, conciliación de totales de control, controles de acceso y seguridad,
procedimientos programados, controles en el mantenimiento de programas, en la implementación,
en las operaciones

Controles disciplinarios: por ej. Segregación de tareas, supervisión, custodia. Aseguran el
cumplimiento de los controles básicos
Pruebas de Cumplimiento de Controles











WALKTHROUGH
Seguir a través del sistema
Se ve el detalle en cada paso
CAJA BLANCA
POR FUERA DEL SISTEMA
SE VEN CHECK-POINTS
CAJA NEGRA
Solo se conocen cosas específicas
Entradas
Salidas
Algunos procesos (resultado de ellos)
CLASIFICACION DE CONTROLES CLAVES
Controles Preventivos:


Evitan o reducen que se produzcan errores, omisiones, actos maliciosos. Guían para que las
cosas se hagan como se deben. Generalmente son pasivos es decir que no toman una acción
física.
Ejemplos:
o Definición de responsabilidades
o Confiabilidad en el personal
o Entrenamiento
o Capacitación o percepción de la seguridad
o Personal competente
o Separación de tareas
89
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
Rotación de tareas
Estandarización
Autorización
Redundancia
Diseño de formularios
Utilización de UserId o tarjetas
Uso de password
Cambio periódico de contraseña
Terminales que se desactivan luego de 3 intentos no autorizados
Formularios pre numerados
Mascaras de entrada
Cancelación de documentos
Archivo de documentos fuentes
Políticas, Estándares y Procedimientos documentados
Software de control de acceso
Terminales que se desactivan luego de 3 intentos no autorizados
Utilización de tarjetas de identificación de empleados
Controles detectivos:
Detectan que se han producido errores, omisiones, actos maliciosos e informan su aparición.
Monitorean el proceso, registran los problemas y sus causas, determinan si el control preventivo
funciona. Actúan a posteriori que se produce la transacción.

Ejemplos:
o Registro histórico (log) de violaciones de acceso (grabación y examen del log). Es un
control detectivo pero no es un control de aplicación detectivo.
o Las pistas de auditoría si bien son controles detectives no es el propósito primario de
los controles detectivo
o Remito de movimientos
o Numeración de lotes
o Totales de control
o Cuenta de transacciones
o Control de secuencia
o Digito verificador
o Registro de fecha y hora
o Control de validez
o Listado de control
o Reconciliación
o Archivo de pendiente
o Totales de pendientes
o Controles cruzados
o Rotulación de cintas y discos
o Verificación de autorizaciones
o Capacitación o percepción de la seguridad (también puede ser detectivo porque
permite identificar posibles violaciones)
Controles correctivos:
90
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
Corrigen errores, omisiones o actos maliciosos que se hayan detectado por ej. Ante el ingreso de una
fecha errónea el sistema la corrige colocando la fecha del sistema. Reprocesan luego que fue
corregido a través de los mismos o aun más severos controles, registran las acciones tomadas y
cuestan más que los otros







Listado de discrepancias
Pistas de auditoría (se tienen en cuenta una vez que ha ocurrido el problema)
Estadística de origen de errores
Corrección automática de errores
Respaldo operativo
Recuperación
El plan de recuperación de desastres documentado
El mejor control es el que evita problemas (controles preventivos), luego le siguen los que identifican un
problema ya que permiten tomar medidas de investigación y corrección (controles detectives) y por
último los controles para corregir un problema (controles correctivos o de recuperabilidad)
Pruebas Sustantivas







Obtener evidencia Física, Documental y Verbal de los elementos auditados
Criterios de comparación, confirmación y razonabilidad
Utilizando programas que ayuden a la tarea cuando sea posible, tales como Software Específico:
ACL, Cognos, Clementine
Pistas de Auditoria (si fuesen inalterables) de las BD de los sistemas en uso
Las pruebas de cumplimiento y sustantivas son complementarias entre sí
A menor confianza por parte del auditor en el control interno, mayor será cantidad y calidad de
pruebas sustantivas que deberá desarrollar
A mayor riesgo en el ente auditado, mayor alcance y naturaleza de las pruebas sustantivas a
realizar
Esquema de auditoria

En síntesis, un modelo sencillo de auditoría consiste en dos partes:
o Recolector de datos de auditoria
o Analizador de esos datos

Una posible aproximación a un esquema básico de auditoría utilizando
herramientas.

Fundamentalmente, utilizado en Sistemas de detección de intrusos:
91
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
El proceso de la auditoria de sistemas de información











Definición del alcance y objetivo.
Se fija qué se va a auditar, en qué entorno y ante quién se va a responder.
Planificación de la auditoria.
Definición del método y constitución del equipo de trabajo.
Recolección de la evidencia, construyendo una base sobre la que practicar las pruebas
necesarias.
Debe ser suficiente, fiable, relevante y útil para alcanzar los objetivos fijados.
Evaluación de la evidencia, mediante pruebas específicamente diseñadas para ello, ya sean
substantivas o de cumplimiento.
Formulación de un juicio profesional sobre cómo la información evaluada concuerda con la
realidad, tal y como el auditor percibe la realidad en ese momento.
Comunicar los resultados. Hallazgos y recomendaciones. Informe de auditoría.
Facilitar la implantación de los controles
Los servicios de auditoría constan de:
o Enumeración de redes, topologías y protocolos.
o Identificación de sistemas y dispositivos.
o Identificación de los sistemas operativos instalados.
o Análisis de servicios y aplicaciones.
o Detección, comprobación y evaluación de vulnerabilidades.
o Medidas específicas de corrección.
o Recomendaciones sobre implantación de medidas preventivas.
Pistas y Registros de Auditoria


Son una serie de registros de computador sobre las actividades del sistema operativo, de procesos
o aplicaciones y/o de usuarios del sistema. [NIST96].
Se generan por un subsistema que monitoriza las actividades del sistema, pudiendo ser utilizadas
en una gran variedad de funciones, sobre todo dentro del ámbito de la seguridad informática,
donde combinadas con herramientas y procedimientos adecuados, las pistas de auditoría pueden
proporcionar un medio de ayudar a cumplir algunos objetivos, como por ejemplo:
o Responsabilidad individual. Seguimiento de la traza de las acciones del usuario.
o Reconstrucción de eventos. Investigaciones de cómo, cuándo y quién ha realizado las
operaciones una vez finalizadas.
o Detección de intrusiones. Bien en tiempo real mediante un examen automático o
mediante procesos Batch
92
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
o









Identificación de problemas.
Además del punto anterior mediante su examen pueden detectarse otra serie de
problemas en el sistema.
En cuanto al contenido, la misma publicación señala que una Pista de Auditoria debe incluir
suficiente información para establecer qué eventos han ocurrido y quién o qué los ha
desencadenado.
La definición del alcance y contenidos de las pistas de auditoría debe ser hecho con cuidado,
balanceando las necesidades de seguridad con posibles niveles de prestaciones, privacidad u
otros costos.
En general, un registro deberá especificar:
o Tipo de Evento.
o El tipo de evento y su resultado, como por ejemplo: Intentos fallidos de autenticación de
usuario, cambios de perfiles de seguridad de usuarios o de aplicaciones, eventos
relevantes de seguridad
o Cuándo ha ocurrido el evento. Fecha y hora en la que se produjo el evento.
o Identificador de Usuario asociado con el evento.
o Programa o Comando usado para iniciar el evento.
Registros nativos: Los sistemas operativos multiusuario incluyen software que recoge información
sobre la actividad de los usuarios (accounting).
La ventaja de utilizar esta información es que no se necesita un software adicional de recopilación
de datos.
La desventaja es que estos informes pueden no contener la información necesaria ó no contenerla
de una manera conveniente.
Registros específicos para la detección: Se puede implementar una herramienta que contenga
sólo la información requerida por el IDS.
Las ventajas están en independencia del vendedor y portabilidad a diversos sistemas.
La desventaja es el costo de procesamiento adicional involucrado.
Pistas de Auditoría en entornos de red


Security Criteria for Distributed Systems:
Creado por el Institute for Defense Analysis en 1995 para sistemas distribuidos, definía varios tipos
de eventos que necesitaban ser auditados y los agrupaba en seis categorías:
o Política de administración y control de accesos
o Política de Integridad y Confidencialidad de datos
o Política no discrecional (Non-discretionary Policy Events)
o Política de Disponibilidad
o Política Criptográfica
o Dependientes y por defecto (Default and Dependent Events)
o La norma dice que para cada evento debe REGISTRARSE:

Fecha y hora,

información del tema del atributo,

identificación del host genera el registro de auditoría,

clase de evento e

identificador del evento dentro de la clase y resultado del evento (éxito o fallo).
93
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
COBIT
La misión del COBIT: buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto
internacional de objetivos de control de tecnologías de la información, generalmente aceptadas, para el
uso diario por parte de gestores de negocio y auditores.







Un Resumen Ejecutivo, el cual consiste en una síntesis ejecutiva que proporciona a la alta
gerencia entendimiento y conciencia sobre los conceptos clave y principios del COBIT.
Un Marco Referencial, el cual proporciona a la alta gerencia un entendimiento más detallado de los
conceptos clave y principios del COBIT, e identifica los cuatro dominios de COBIT describiendo en
detalle, además, los 34 objetivos de control de alto nivel e identificando los requerimientos de
negocio para la información y los recursos de las Tecnologías de la Información que son
impactados en forma primaria por cada objetivo de control.
Los Objetivos de Control, los cuales contienen declaraciones de los resultados deseados o
propósitos a ser alcanzados mediante la implementación de 302 objetivos de control detallados y
específicos a través de los 34 procesos de las Tecnologías de la Información.
Las Guías de Auditoria, las cuales contienen los pasos de auditoría correspondientes a cada uno
de los 34 objetivos de control de TI de alto nivel para proporcionar asistencia a los auditores de
sistemas en la revisión de los procesos de TI con respecto a los 302 objetivos detallados de
control recomendados para proporcionar a la gerencia certeza o unas recomendaciones
Conjunto de Herramientas de Implementación, el cual proporciona las lecciones aprendidas por
organizaciones que han aplicado COBIT rápida y exitosamente en sus ambientes de trabajo.
Este conjunto de herramientas de implementación incluye la Síntesis Ejecutiva, proporcionando a
la alta gerencia conciencia y entendimiento del COBIT.
También incluye una guía de implementación con dos útiles herramientas:
o Diagnóstico de la Conciencia de la Gerencia y el Diagnóstico de Control de TI, para
proporcionar asistencia en el análisis del ambiente de control en TI de una organización.
o También se incluyen varios casos de estudio que detallan como organizaciones en todo
el mundo han implementado COBIT exitosamente.
94
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
Adicionalmente, se incluyen respuestas a las 25 preguntas más frecuentes acerca del
COBIT, así como varias presentaciones para distintos niveles jerárquicos y audiencias
dentro de las organizaciones;
SELECCION DE MUESTRAS PARA EFECTUAR PRUEBAS
Enfoques que puede utilizar el auditor para determinar el tamaño de la muestra y los criterios de
selección:


Estadístico o de muestreo: a través de este método el auditor decide el número de ítems
(cantidad) o tamaño que debe tener la muestra para representar el universo (precisión) y en qué
porcentaje la muestra representa al universo (veracidad). Este enfoque permite que el auditor
cuantifique la probabilidad de error de que la muestra no sea suficientemente representativa.
Para armar una muestra verdadera, cada miembro del universo tiene igual oportunidad de ser
escogido y cada miembro de la muestra debe ser escogido
Conceptos estadísticos:

Coeficiente de confianza: % de probabilidad en que la muestra representa al
universo. Cuanto más grande es este % más grande es la muestra si los controles
internos son fuertes reducir el coeficiente de confiabilidad

Nivel de riesgo o probabilidad de error en la muestra seleccionada es 1- confianza

Precisión de la muestra: es la diferencia entre el tamaño de la muestra y el
universo.

Cuanto más grande es la diferencia o precisión más pequeña es la muestra y
mayor el riesgo que algo no sea detectado

Mediana de la muestra: es el tamaño promedio de la muestra. Tiene distribución
normal. Para el cálculo se usan los valores de la muestra y el tamaño de la muestra

Desvío estándar de la muestra: mide la distribución de los valores de la muestra
respecto de la mediana. Para el cálculo se usan los valores de la muestra, la
mediana de la muestra y el tamaño de la muestra
Métodos que pueden utilizarse en el muestreo estadístico:


De Atributos o estimativo: determina el valor de presencia o ausencia (ocurrencia) de un
atributo que en este caso será un control o un conjunto de controles.
o Es muy útil para realizar pruebas de cumplimiento por ej. Para determinar la cantidad
de ocurrencia del atributo Firma en los formularios de pasaje a producción.
o La precisión se expresa en %
o Solo en el muestreo de atributos puede establecerse la Tasa de Error es decir el
porcentaje de errores que esperan detectarse en la muestra. Cuanto más grande se
defina más grande deberá ser la muestra
o Si en una muestra el auditor encuentra 2 errores para determinar si están o no dentro
de los márgenes de aceptabilidad, solo puede lograrse estableciendo primero la tasa
de error en la muestra.
De Variables o de estimación media o de estimación dólar: se utiliza para determinar el valor
(en la unidad de medida que quiera por ej. dólares, cantidad) por ej. De errores que aparecen
en una muestra.
o Sirve particularmente para las pruebas sustantivas. Por ej. Para ver la cantidad de
módulos objetos erróneos en la biblioteca de objetos de producción
95
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
La precisión se expresa en cantidad o en valores

Solo en el muestreo de variables puede establecerse el Desvío Standard del
Universo. Cuanto más grande es el desvío estándar más grande debe ser el
Pasos que deben cumplirse para hacer pruebas por muestreo:





Objetivo de la prueba
Universo a muestrear
Selección del método de muestreo
Calculo del tamaño de la muestra
Se utiliza el coeficiente de confiabilidad y la precisión promedio. En el muestreo por
atributos se usa además la tasa de error y en el muestreo de variables se usa
además la desviación estándar del universo

Selección de la muestra

Evaluación de la muestra
La razón más importante para utilizar el muestreo estadístico es que los resultados
pueden ser utilizados para proyectar tasas de error para todo el universo

No estadístico o por juicio: se utiliza el criterio en función a ítems que se consideran riesgosos,
materiales, etc. Para determinar el tamaño que debe tener la muestra y los ítems que se
seleccionaran
Auditemos un Sistema...
Ejemplo de auditoría de sistemas en un Sistema de Liquidación de haberes:
preguntas a realizar (se)

Pruebas de Cumplimiento
o ¿Quién liquida los haberes es distinto de..
o Quién los autoriza...?
o Quién efectúa las acreditaciones de sueldos...?
o Quién efectúa el pago de cargas sociales...?
o Quién autoriza los aumentos de sueldo...?
96
EXTRACTOS DEL LIBRO TECNOLOGÍA APLICADA A LA INFORMACIÓN DE ANÍBAL MAZZA FRAQUELLI
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
Quién efectúa el cálculo de las comisiones de venta...?
¿Qué periodicidad tienen estos cambios?
¿Hay procedimientos establecidos en cuanto a los límites de firma para pagos y
gastos?¿Están actualizados?
¿Quedan pistas de auditoría de los movimientos efectuados?
¿Se efectúan cálculos manuales que se ingresen en forma directa a la liquidación?
¿Hay una política establecida para el pago de horas extra y premios?
¿Quién controla el presentismo/ausentismo y por qué método?
¿El sistema de Liq. Haberes recibe y emite información por medio de interfaces?
Son interfaces de “texto”
¿Se realizan provisiones en función a montos determinados por el sistema?
¿En forma manual o automática?
¿Son realizadas por personas distintas?
¿Existe una línea de reemplazos con motivos de licencias vacacionales del personal que
liquida los haberes?
Al utilizar el sistema ¿el usuario debe identificarse con usuario/contraseña?
¿Que mecanismo de seguridad de contraseña hay en funcionamiento?
¿Expira la sesión de trabajo de un usuario luego de un determinado tiempo de
inactividad?
¿Existe un procedimiento para dar de baja en el acceso a los sistemas al personal
desvinculado?

Pruebas Sustantivas
o Buscar legajos y cajas ahorro duplicados
o Comparar retenciones practicadas y su ingreso
o Conceptos inusuales de pago y descuento
o Horas de entrada/salida de reloj vs. horas extra
o Revisar la autorización de las horas extra
o Revisar el pago de haberes por trabajos en días feriados
o Control de días por examen y enfermedad
o Recalcular importes determinados
o Determinar provisiones
o Determinar comisiones pendientes de ex-vendedores

La fortaleza de las pruebas de cumplimiento influenciará la naturaleza y alcance de las pruebas
sustantivas
Hoy en día, es “económico” realizar pruebas de “caja blanca” aún para auditores externos
Paulatinamente, “cae” la necesidad de efectuar “muestras”, debido a SW de datamining
Las normas técnicas de auditoría NO varían por el uso de herramientas tecnológicas – RT 7
La normativa profesional, expone QUE debe hacerse, pero no COMO.




97
Descargar