Auditoría Informática

Tema :Auditoría, Fraude y Robos

Informáticos

Docente: Lic. Lesbia Valerio

Integrantes: Bladimir Amador Maykel Centeno

Lunes 07 de Mayo de 2012

• Acción contraria a la verdad y a la rectitud, que perjudica a la persona contra quien se cometeFraud

e

• Delito que se comete apoderándose con ánimo de lucro de una cosa mueble ajena, empleándose violencia o intimidación sobre las personas, o fuerza en las cosas

Robo

Definiciones

Fraude informático

• Cualquier cambio no autorizado y malicioso de datos o informaciones contenidos en un sistema informático

Robo

informático

• Delito contra el patrimonio, consistente en el apoderamiento de bienes ajenos usando sistemas informáticos

Definiciones

Empresas y Clientes

Victimas

Según el tipo de persona:

Personal Interno Ex-empleados Vándalos Mercenarios Curiosos

Clasificación de atacantes

Según el tipo de ataque:

Hacker Cracker Crasher Peacker Phishers Sniffers

Clasificación de atacantes

Según el objetivo:

Dinero Información confidencial Beneficios Personales Daño Accidente

Clasificación de atacantes

Ataquesorganizativos

Datos restringidos

Infracciones accidentales

de la seguridad

Ataquesautomatizados

Hackers

Virus, caballos de Troya

y gusanos

DOSErrores de conexión

Denegación de servicio (DoS)

Sniffing: la habilidad de un agresor de escuchar a escondidas las comunicaciones entre los hosts de la red

Spam, Redirectors, Trashing, Spoofing, etc…

Pharming: método utilizado para enviar a la victima a una página web que no es la original solicitada.

Phishing: tipo de engaño diseñado con la finalidad de robar la identidad al usuario, generalmente se utiliza el correo electrónico

Skimming: Robo de la información que contiene una tarjera de crédito

Ingeniería Social: El arte o ciencia de hacer que la gente haga lo que queremos

El arte o ciencia de hacer que la gente haga lo que queremos (GENERAR CONFIANZA).

Es la forma de fraude informático más alto.

El deseo natural del hombre de ayudar lo hace vulnerable.

Nunca pude pensar en una buena contraseña. ¿Qué utiliza

usted?

Ah, también ejecuto una red. ¿Cómo configura sus firewalls?

Ingeniería Social

Phisher se prepara para atacar

Phisher envía mail fraudulento a victimas

Víctima sigue indicaciones de phisher

Víctima compromete información confidencial

Información confidencial es enviada al Phisher

Phisher utiliza la información para suplantar a víctima

Phishing

Nueva modalidad: Phishing por teléfono o SMS

¿Como afectan los ataques informáticos?

Sé precavido con los mensajes de correo electrónico en los que se te pide que indiques tus datos personales

Lee con atención los mensajes de correo electrónico que parezcan sospechosos.

Protege la contraseña de su correo.

Toma medidas.

Ayuda a identificar nuevos fraudes.

¿Como defendernos?

Políticas, procedimientos y concienciaPolíticas, procedimientos y conciencia

Seguridad físicaSeguridad física

Fortalecer el sistema operativo, autenticación

Oficina principal, oficina sucursal, socio de negocios. Firewall

Protecciones, seguros, dispositivos de seguimiento

Marketing, Ventas, Finanzas, Encriptar datos de red

Seguridad de programas y servicios

Encriptación

Documentos de seguridad, educación del usuario

Perímetro

Red interna

Host

Aplicación

Datos

AUDITORIA INFORMÁTICA RELACIONADA CON EL DELITO

Es importante establecer claramente cual es el papel que juega el auditor informático en relación con la detección y minimización de la ocurrencia de delitos informáticos dentro de la organización a que presta sus servicios. Para lograr establecer dicho rol se debe examinar la actuación del auditor frente a la ocurrencia de delitos, estrategias para evitarlos, recomendaciones adecuadas, conocimientos requeridos

Rol del auditor informático El rol del auditor informático solamente está basado en la

verificación de controles, evaluación del riesgo de fraudes, diseño y desarrollo de exámenes que sean apropiados a la naturaleza de la auditoría asignada y que deben razonablemente detectar:

Irregularidades que puedan tener un impacto sobre el área auditada o sobre toda la organización. 

Debilidades en los controles internos que podrían resultar en la falta de prevención o detección de irregularidades. 

La auditoria consiste en verificar que todas las tareas que se realicen en las áreas de cómputo se hagan conforme a la normatividad, que todas las actividades se realicen adecuadamente y que los controles sean cumplidos, etc.

Detección de delitos El auditor informático al detectar irregularidades  en el

transcurso de sus revisiones que le indiquen la ocurrencia de un delito informático, deberá realizar lo siguiente:

Determinar si se considera la situación un delito realmente.

Establecer pruebas claras y precisas.

Determinar los vacíos de la seguridad existentes y que permitieron el delito.

Informar a la autoridad correspondiente dentro de la organización.

Informar a autoridades regulatorias cuando es un requerimiento legal.

Es importante mencionar que el auditor debe manejar con discreción la situación y con el mayor profesionalismo posible, evitando su divulgación al público o a empleados que no tienen nada que ver. De no manejarse adecuadamente el delito, podría tener algunos efectos negativos en la organización, tales como:

Se puede generar una desconfianza de los empleados hacia el sistema.

Se pueden generar más delitos al mostrar las debilidades encontradas.

Se puede perder la confianza de los clientes, proveedores e inversionistas hacia la empresa.

Se pueden perder empleados clave de la administración, aún cuando no estén involucrados en la irregularidad debido a que la confianza en la administración y el futuro de la organización puede estar en riesgo.

Resultados de la auditoria

Si por medio de la auditoria informática realizada  se han detectado la ocurrencia de delitos, el auditor deberá sugerir acciones específicas a seguir para resolver el vacío de seguridad, para que el grupo de la unidad informática pueda actuar, dichas acciones expresadas en forma de recomendación pueden ser como las siguientes:

Recomendaciones referentes a la revisión total del proceso involucrado.

Inclusión de controles adicionales.

Establecimiento de planes de contingencia efectivos.

Adquisición de herramientas de control, etc.

Fin.