Imagen
 
SISTEMAS DE INFORMACIÓN: | HARDWARE Y SOFTWARE COMPONENTES ESCENCIALES DE UN SISTEMA | EL CICLO DE VIDA DE UN SISTEMA INFORMATICO | | RIESGOS INFORMATICOS | SEGURIDAD INFORMÁTICA | COMERCIO ELECTRONICO
 
RIESGOS INFORMATICOS

   
 
Incertidumbre existente por la posible realización de un suceso relacionado con la amenaza de daño respecto a los bienes o servicios informáticos, como equipos informáticos, periféricos, instalaciones, programas de computo, etc.


Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos de control se pueda evaluar el desempeño
del entorno informático.
TIPO DE RIESGOS
1. Riesgo de integridad:
Este tipo abarca todos los riesgos asociados con la autorización, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organización. Estos riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y están presentes en múltiples lugares, y en múltiples momentos en todas las partes de las aplicaciones; no obstante estos riesgos se manifiestan en los siguientes componentes de un sistema:

Interfase del usuario: Los riesgos en esta área generalmente se relacionan con las restricciones, sobre las individualidades de una organización y su autorización de ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una razonable segregación de obligaciones. Otros riesgos en esta área se relacionan a controles que aseguren la validez y completitud de la información introducida dentro de un sistema.
• Procesamiento: Los riesgos en esta área generalmente se relacionan con el adecuado balance de los controles defectivos y preventivos que aseguran que el procesamiento de la información ha sido completado. Esta área de riesgos también abarca los riesgos asociados con la exactitud e integridad de los reportes usados para resumir resultados y tomar decisiones de negocio.
• Procesamiento de errores: Los riesgos en esta área generalmente se relacionan con los métodos que aseguren que cualquier entrada/proceso de información de errores (Excepciones) sean capturados adecuadamente, corregidos y reprocesados con exactitud completamente.
• Administración de cambios: Estos riesgos están asociados con la administración inadecuadas de procesos de cambios de organizaciones que incluyen: Compromisos y entrenamiento de los usuarios a los cambios de los procesos, y la forma de comunicarlos e implementarlos.
• Información: Estos riesgos están asociados con la administración inadecuada de controles, incluyendo la integridad de la seguridad de la información procesada y la administración efectiva de los sistemas de bases de datos y de estructuras de datos.
2. Riesgos de relación:
Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones (Información y datos correctos de una persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones correctas).
 
3 Riesgos de acceso:

Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e información. Estos riesgos abarcan: Los riesgos de segregación inapropiada de trabajo, los riesgos asociados con la integridad de la información de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la información. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la información:
• Administración de la información: El mecanismo provee a los usuarios acceso a la información específica del entorno.
• Entorno de procesamiento: Estos riesgos en esta área están manejados por el acceso inapropiado al entorno de programas e información.
• Redes: En esta área se refiere al acceso inapropiado al entorno de red y su procesamiento.
• Nivel físico: Protección física de dispositivos y un apropiado acceso a ellos.
4. Riesgo de utilidad:
Estos riesgos se enfocan en tres diferentes niveles de riesgo: * Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran. *Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas. *Backups y planes de contingencia controlan desastres en el procesamiento de la información.
5. Riesgos de infraestructura:
Estos riesgos se refieren a que en las organizaciones no existe una estructura información tecnológica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos riesgos están asociados con los procesos de la información tecnológica que definen, desarrollan, mantienen y operan un entorno de procesamiento de información y las aplicaciones asociadas (servicio al cliente, pago de cuentas, etc.
6. Riesgos de seguridad general:
Los estándar IEC 950 proporcionan los requisitos de diseño para lograr una seguridad general y que disminuyen el riesgo:
• Riesgos de choque de eléctrico: Niveles altos de voltaje.
• Riesgos de incendio: Inflamabilidad de materiales.
• Riesgos de niveles inadecuados de energía eléctrica.
• Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas.
• Riesgos mecánicos: Inestabilidad de las piezas eléctricas.
CÓMO SUCEDEN LOS FRAUDES
Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e información. Estos riesgos abarcan: Los riesgos de segregación inapropiada de trabajo, los riesgos asociados con la integridad de la información de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la información. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la información:
• Administración de la información: El mecanismo provee a los usuarios acceso a la información específica del entorno.
• Entorno de procesamiento: Estos riesgos en esta área están manejados por el acceso inapropiado al entorno de programas e información.
• Redes: En esta área se refiere al acceso inapropiado al entorno de red y su procesamiento.
• Nivel físico: Protección física de dispositivos y un apropiado acceso a ellos.
Los fraudes pueden ser perpetuados a travès de los siguientes mètodos:
1. Ingenierìa Social. Consiste en plantear situaciones para conmover o sobornar a quienes pueden proporcionar la información deseada o facilitar la ocurrencia de ilícitos.
2. Puertas Levadizas (Fuga o Escape de Datos). El personal de PED puede construir puertas levadizas (rutinas) en los programas de computador para permitir que los datos entren y salgan sin ser detectados.
Características:
a) Implica la incrustación de instrucciones no autorizada en los programas del computador.
b) Los códigos especiales pueden ser diferentes de los códigos de los registros de entrada. En este caso, puede haber complicidad entre los grabadores de los datos y el programador.
c) En los informes de control de calidad no se dejan evidencias de la utilización de códigos especiales.
d) Los criminales no necesariamente deben estar presentes en el escenario del crimen.
3. Recolección de Basura. Se usa la basura de las aplicaciones de computador, dejada dentro de la instalación o en su periferia después de la ejecución de un trabajo.

La basura o deshechos del computador contiene cosas como listados de programas, listados con información o reportes y documentación de los sistemas.

Los códigos correctos para accesar los archivos o las terminales, pueden ser obtenidos por los criminales usando los datos residuales que se dejan en la basura.
4. Ir a Cuestas para tener Acceso no Autorizado. es un paseo que se da el perpetrador con la gente influyente y que es aprovechado para realizar sus hazañas de prestidigitador (tramposo) conducente a abrir las líneas de comunicación, abrir las puertas del centro de cómputo, lograr acceso a las terminales y otras proezas para violar la seguridad de los sistemas computarizados.

Esta técnica varía desde trampas muy simples hasta tretas electrónicas complejas.
es un paseo que se da el perpetrador con la gente influyente y que es aprovechado para realizar sus hazañas de prestidigitador (tramposo) conducente a abrir las líneas de comunicación, abrir las puertas del centro de cómputo, lograr acceso a las terminales y otras proezas para violar la seguridad de los sistemas computarizados.

Esta técnica varía desde trampas muy simples hasta tretas electrónicas complejas.
5. La Técnica del Caballo de Troya. Consiste en insertar una rutina fraudulenta que se activa cuando cierta condición o una fecha ocurre.Estas rutinas pueden ser introducidas preferiblemente adicionando un cambio no autorizado en el momento de implantar un cambio autorizado.
6. Técnica del Taladro.Consiste en la utilización de una computadora casera para llamar con diferentes códigos hasta que uno de resultado.

Puede ser utilizada para descubrir las contraseñas de acceso a terminales. En USA, Pepsi Cola Co. se vio seriamente abochornada cuando cuatro chicos de 14 años descubrieron los códigos de seguridad de una de sus computadoras en Canadá y ordenaron para sí cajas gratis de bebidas gaseosas.
7. Agujeros del Sistema Operativo o Trampas-Puerta.Trampas-Puerta son deficiencias en los sistemas operacionales. Como en “Alicia en el País de las Maravillas”, existen muchos agujeros que permiten caer en el país de las maravillas.

El uso de unas cuantas instrucciones de control son suficientes para cometer fraudes, sin necesidad de que el perpetrador sea un experto en programación. Basta con que el System Programmer sea suficiente experto y puede aprovechar esos agujeros para introducir instrucciones adicionales malintencionadas.
8. Superzapping.Utilización de programas de acceso universal de algunos computadores (una especie de llave maestra) para pasar por sobre todos los controles normales y permitir el acceso a todos los archivos de datos.

Esta técnica es especialmente peligrosa porque, en manos diestras, no deja rastros o indicios. Puede ser utilizada para manipular directamente los archivos maestros.
9. Manipulación de Transacciones.

Es el método más frecuentemente utilizado, consiste en cambiar la información antes o durante la entrada al computador.

Puede ser perpetrado por cualquier por cualquier persona que tenga acceso al proceso de crear, registrar, transportar, codificar, examinar o convertir la información que entra al computador. Se comete agregando transacciones no autorizadas, alterando transacciones, no procesando transacciones o combinando varios métodos.

Manipulación: maniobra o manejo destinado a engañar.


Intercepción de Líneas de Comunicación de Datos.

Se intervienen los circuitos de comunicación entre:

a. Terminales y concentradores.
b. Terminales y computadores
c. Computadores y computadores

La intercepción de comunicaciones por teléfono, microondas o satélite, es técnicamente posible.

El uso de hardware de criptografía es un método efectivo para evitar este tipo de penetración.
TÉCNICAS UTILIZADAS PARA PERPETRAR LOS FRAUDES
Fraude relacionado con la entrada de datos

Segregacion de funciones en las areas de usuarios y entre usuarios y personal.
Conciliaciones independientes
Autorizacion de cambios en los datos existentes
Controles al acceso a los archivos de datos
Lista y revision periodica de los datos existentes


Fraude relacionado con los programas

Autorizacion y prueba de los cambios en los programas
Acceso restringido a las librerias del sistema que contienen programas de vida
Uso de programas especiales de utilidad para comparar las versiones cambiadas de los programas, para asegurarse de que solo se han hecho las modificaciones autorizadas.
Reducir la dependencia del personal de los sistemas clave.


Fraude relacionado con la salida de datos

Segregacion de funciones en las areas de los usuarios
Conciliaciones independientes
Buenos controles de custodia sobre la papeleria importante
Buenos controles de acceso
BIBLIOGRAFIA
Seminario – taller
Diseño de controles internos para sistemas
De información
Modulo v
Diseño de controles para la prevención de delitos con el computador
INFOGRAFIA
www.basc-costarica.com
http://www.monografias.com