Page 1

III. IDENTIFICAR LOS ELEMENTOS NECESARIOS PARA REALIZAR LA PLANEACIÓN DE UNA AUDITORIA DE INFORMÁTICA.

PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo. En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos: Evaluación de los sistemas y procedimientos. Evaluación de los equipos de cómputo. Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. INVESTIGACIÓN PRELIMINAR Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización. Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las áreas basándose en los siguientes puntos: ADMINISTRACIÓN Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento. Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del área de informática Objetivos a corto y largo plazo. Recursos materiales y técnicos Solicitar documentos sobre los equipos, número de ellos, localización y características. Número de equipos, localización y las características (de los equipos instalados y por instalar y programados) Fechas de instalación de los equipos. Contratos vigentes de compra, renta y servicio de mantenimiento.


Contratos de seguros. Convenios que se tienen con otras instalaciones. Configuración de los equipos y capacidades actuales y máximas. Ubicación general de los equipos. Políticas de operación. Políticas de uso de los equipos. SISTEMAS Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información. Manual de procedimientos de los sistemas. Diagramas de entrada, archivos, salida. Fecha de instalación de los sistemas. Proyecto de instalación de nuevos sistemas. PERSONAL PARTICIPANTE Una de las partes más importantes dentro de la planeación de la auditoria en informática es el personal que deberá participar y sus características. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener el personal que intervendrá en la auditoria. En primer lugar se debe pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionar toda la información que se solicite y programar las reuniones y entrevistas requeridas. Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un grupo multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería casi imposible obtener información en el momento y con las características deseadas. También se debe contar con personas asignadas por los usuarios para que en el momento que se solicite información o bien se efectúe alguna entrevista de comprobación de hipótesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no sólo el punto de vista de la dirección de informática, sino también el del usuario del sistema.


Para completar el grupo, como colaboradores directos en la realización de la auditoria se deben tener personas con las siguientes características: Técnico en informática. Experiencia en el área de informática. Experiencia en operación y análisis de sistemas. Conocimientos de los sistemas más importantes. En caso de sistemas complejos se deberá contar con personal con conocimientos y experiencia en áreas específicas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias señaladas, pero si deben intervenir una o varias personas con las características apuntadas. PASOS A SEGUIR Se requieren varios pasos para realizar una auditoria. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de control y procedimientos de auditoria que deben satisfacer esos objetivos. El proceso de auditoria exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoria que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoria debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoria además de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia. Perfiles Porfesionales de los auditores informáticos Profesión

Actividades y conocimientos deseables

Informático Generalista

Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas.

Experto en Desarrollo de Proyectos

Amplia experiencia como responsable de proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes.

Técnico de Sistemas

Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación.

Experto en Bases de Datos Administración de las mismas.

y Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de explotación


Experto en Software de Comunicación Alta especialización dentro de la técnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de teleproceso.

PESENTACION DE INFORME FINAL La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor. Estructura del informe final: El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente. Definición de objetivos y alcance de la auditoría. Enumeración de temas considerados: Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría. Cuerpo expositivo: Para cada tema, se seguirá el siguiente orden a saber: a) Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real b) Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. c) Puntos fuertes y débiles así como los riesgos encontrados en el negocio.

d) Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática. e) Redacción posterior de la Carta de Introducción o Presentación.

La exposición del informe final deberá: - El informe debe incluir solamente hechos importantes.


- El Informe debe consolidar los hechos que se describen en el mismo. El término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados. Carta de introducción o presentación del informe final: La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría. Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría no hará copias de la citada carta de Introducción. La carta de introducción poseerá los siguientes atributos: • • • • •

Incluirá fecha, naturaleza, objetivos y alcance. Cuantificará la importancia de las áreas analizadas. Proporcionará una conclusión general, concretando las áreas de gran debilidad. Presentará las debilidades en orden de importancia y gravedad. En la carta de Introducción no se escribirán nunca recomendaciones.

IV. IDENTIFICAR AMENAZAS, VULNERABILIDADES Y RIESGOS, ASÍ COMO LOS CONTROLES PARA ELIMINARLOS. 11. Causas de riesgo en las empresas El riesgo es la probabilidad de que una amenaza llegue suceder por una vulnerabilidad. TIPOS DE RIESGOS COMPUTACIONALES. INTENCIONALES. Daños. Fuego, robo de equipo como cartuchos, discos y cintas. Destrucción fisica de datos, irrupción en las instalaciones, disturbios, sabotajes, etc. Alteraciones. Agregar, cambiar o borrar algo; desde datos hasta archivos de programas para beneficio personal, venganza o diversión. Diseminaciones. Vender información para beneficio personal, venganza o diversión.

NO INTENCIONALES.


Daños. Catástrofes naturales, incendios, inundaciones, terremotos, daños accidentales de discos, cartuchos, cintas e instalaciones. Alteraciones. Accidentalmente agregar, cambiar o borrar datos o programas. Alteración debido a fallas de software o Hardware. Diseminaciones. Revelar información a los colegas o amigos. Desplegar accidentalmente passwords y salidas de los sistemas. La mayoría de estos riesgos son causados por agentes (personas) y objetos (instalaciones fisicas, equipo computacional, terminales, redes, archivos, etc.) como vehículo para realizar o incurrir estos actos ya sea de forma intencional o no. Si se establecen controles de seguridad adecuados y efectivos para los agentes y objetos de riesgo, entonces las pérdidas pueden ser eliminadas o incluso eliminadas. Evaluación de riesgos computacionales. Una evaluación de riesgos que sea significativa no es fácil de lograr. Debido a la falta de datos consistentes, la dificultad para cuantificar datos como vulnerabilidad y las pérdidas potenciales y la dificultad para explicar los resultados a otros (especialmente a la gerencia). Por tales razones, algunas personas prefieren un análisis simplemente cualitativo basado en la experiencia y en opiniones de particulares. Los procesos informales e intuitivos suelen ser mas atractivos para la gerencia que los procesos estadísticos y de modelado. 1.- Identificar los archivos y actividades que deben ser protegidos. 2.- Analizar vulnerabilidades y riesgos que afectan tales archivos. 3.- Hacer una lista de controles de seguridad existentes a efectos de atacar los riesgos de vulnerabilidad. 4.- Empatar los controles de seguridad con los riesgos. 5.- Hacer un análisis costo-beneficio. 6.- Hacer recomendaciones económicamente efectivas a la gerencia para disminuir los riesgos existentes. 12. Seguridad lógica y confidencialidad La Seguridad Lógica permite custodiar la información dotándola de los niveles de confidencialidad que cada tipo y estructura de datos requiera. Hoy en día es necesario mantener la privacidad de la información, tanto por motivos externos (legislación) como por motivos internos (piratas informáticos, fugas de información, etc.) 12.1. Identificación y autentificación Es la primera línea de defensa para la mayoría de los sistemas computarizados, permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la mayor parte de los controles de acceso y para el seguimiento de las actividades de los usuarios.


Se denomina Identificación al momento en que el usuario se da a conocer en el sistema; y Autenticación a la verificación que realiza el sistema sobre esta identificación. 12.2. Controles lógicos de acceso Los controles lógicos son aquellos basados en un software o parte de él, que nos permitirán: - Identificar los usuarios de ciertos datos y/o recursos: hacer una clasificación de tipos de usuarios y sus objetivos de acceso a los sistemas. - Restringir el acceso a datos y recursos de los sistemas: establecer los permisos por tipo de usuario. Por ejemplo, establecer que un usuario común de un sistema no tendrá acceso a los datos financieros de la organización. - Producir pistas para posteriores auditorias: todos los movimientos hechos por los usuarios deben ser registrados y guardados a modo de historia de lo que ha ocurrido. Los controles: Identificación y autenticación de usuarios Identificación es el proceso de distinguir una persona de otra; y autenticación es validar por algún medio que esa persona es quien dice ser Encontrar una forma satisfactoria de control de identificación y autenticación no es muy fácil. Algunas técnicas son muy fáciles de violar, otras son muy costosas y otras son consideradas muy intrusas. Los modelos más generalmente usados se basan en una de estas técnicas: Lo que el usuario sabe: comúnmente, las claves de acceso que pueden utilizarse para sistemas generales (acceso a la PC) u específicos (acceso a una Base de Datos). Es el más ampliamente usado. Para otorgarle la característica de ser un buen control, a veces se añaden ciertas especificaciones: la clave debe cambiarse de forma periódica y nunca debe ser mostrada en una pantalla. Algunos sistemas muestran asteriscos al momento del ingreso de una clave (********) y otros simplemente no muestran nada, para ni siquiera dar la evidencia de cuántos dígitos tiene esa clave. Lo que el usuario tiene: como ya expuesto en el anterior artículo, ejemplos de este tipo de control son las tarjetas magnéticas y las tarjetas electrónicas. Algo específico del usuario: como ejemplos podemos nombrar las características faciales, huellas dactilares, voz, etc. Estos controles son los más automatizados dentro de esta clasificación. Hay una gran variedad de controles de este tipo, generalmente basados en las siguientes características del usuario: - Huellas dactilares - Patrones de la retina - Geometría de la mano - Dinámica de la firma - Patrones de la voz


El análisis y diseño de un sistema de seguridad apropiado siempre implica evaluar el costo del control sobre los beneficios de mantener los recursos resguardados. Por supuesto, no todos los controles son aplicables en todas las circunstancias y a veces puede ser difícil decidir el control apropiado, en función de los riesgos que se corren, por los costos económicos. 12.3. Respaldos Las copias de seguridad son uno de los elementos más importantes y que requieren mayor atención a la hora de definir las medidas de seguridad del sistema de información, la misión de las mismas es la recuperación de los ficheros al estado inmediatamente anterior al momento de realización de la copia. La realización de las copias de seguridad se basará en un análisis previo del sistema de información, en el que se definirán las medidas técnicas que puedan condicionar la realización de las copias de seguridad, entre los que se encuentran: Volumen de información a copiar Condicionará las decisiones que se tomen sobre la política de copias de seguridad, en una primera consideración está compuesto por el conjunto de datos que deben estar incluidos en la copia de seguridad Tiempo disponible para efectuar la copia El tiempo disponible para efectuar la copia de seguridad es importante, ya que el soporte utilizado, unidad de grabación y volumen de datos a almacenar, puede hacer que el proceso de grabación de los datos dure horas, y teniendo en cuenta que mientras se efectúa el proceso es conveniente no realizar accesos o modificaciones sobre los datos objeto de la copia, este proceso ha de planificarse para que suponga un contratiempo en el funcionamiento habitual del sistema de información. Soporte utilizado Es la primera decisión a tomar cuando se planea una estrategia de copia de seguridad, sin embargo esta decisión estará condicionada por un conjunto de variables, tales como la frecuencia de realización, el volumen de datos a copiar, la disponibilidad de la copia, el tiempo de recuperación del sistema, etc. Entre los soportes más habituales, podemos destacar las cintas magnéticas, discos compactos, DVD y unidades externas de almacenamiento entre otras. Frecuencia de realización de copias de seguridad La realización de copias de seguridad ha de realizarse diariamente, éste es el principio que debe regir la planificación de las copias, sin embargo, existen condicionantes, tales como la frecuencia de actualización de los datos, el volumen de datos modificados, etc, que pueden hacer que las copias se realicen en tiempos diferentes.


Planificación de la copia Las copias de seguridad se pueden realizar en diferentes momentos día, incluso en diferentes días, pero siempre se han de realizar de acuerdo a un criterio, y este nunca puede ser "cuando el responsable lo recuerda", si es posible, la copia se debe realizar de forma automática por un programa de copia, y según la configuración de éste, se podrá realizar un día concreto, diariamente, semanalmente, mensualmente, a una hora concreta, cuando el sistema esté inactivo. Mecanismos de comprobación Se deben definir mecanismos de comprobación de las copias de seguridad, aunque los propios programas que las efectúan suelen disponer de ellos para verificar el estado de la copia, es conveniente planificar dentro de las tareas de seguridad la restauración de una parte de la copia o de la copia completa periódicamente, como mecanismo de prueba y garantía. Responsable del proceso La mejor forma de controlar los procesos que se desarrollan en el sistema de información, aunque estos estén desarrollados en una parte importante por el propio sistema, es que exista un responsable de la supervisión de que " lo seguro es seguro", para ello se debe designar a una persona que incluya entre sus funciones la supervisión del proceso de copias de seguridad, el almacenamiento de los soportes empleados en un lugar designado a tal fin e incluso de la verificación de que las copias se han realizado correctamente. 13. Seguridad del personal Seguridad es el conjunto de normas preventivas y operativas, con apoyo de procedimientos, programas, sistemas, y equipos de seguridad y protección, orientados a neutralizar, minimizar y controlar los efectos de actos ilícitos o situaciones de emergencia, que afecten y lesionen a las personas y los bienes que estas poseen . 14. Seguridad física la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial". Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.


Tipos de Desastres Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro. Las principales amenazas que se prevén en la seguridad física son: 1. Desastres naturales, incendios accidentales tormentas e inundaciones. 2. Amenazas ocasionadas por el hombre. 3. Disturbios, sabotajes internos y externos deliberados. A continuación se analizan los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos. 1. Incendios 2. Inundaciones Se las define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cómputos. Además de las causas naturales de inundaciones, puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras. 3. Condiciones Climatológicas 4. Instalaciones Eléctricas Acciones Hostiles 1. Robo El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro 2. Fraude Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imágen, no se da ninguna publicidad a este tipo de situaciones. 3. Sabotaje Este puede ser un empleado o un sujeto ajeno a la propia empresa. Físicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la información desaparece, aunque las cintas estén almacenadas en el interior de su funda de protección. Una habitación llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos.


Control de Accesos El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerrado de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución. 1. Utilización de Guardias 2. Utilización de Detectores de Metales. 3. Utilización de Sistemas Biométricos 4. Verificación Automática de Firmas 5. Protección Electrónica: Se llama así a la detección de robo, intrusión, asalto e incendios mediante la utilización de sensores conectados a centrales de alarmas. Estas centrales tienen conectadas los elementos de señalización que son los encargados de hacerles saber al personal de una situación de emergencia. Cuando uno de los elementos sensores detectan una situación de riesgo, éstos transmiten inmediatamente el aviso a la central; ésta procesa la información recibida y ordena en respuesta la emisión de señales sonoras o luminosas alertando de la situación. 15. Plan de contingencia Plan de Contingencia. El plan de contingencia es un plan hecho para permitir a una instalación de cómputo restablecer sus operaciones en el caso de un desastre (huracanes, temblores, incendios, sabotajes, fallas de hardware y errores humanos). Es muy importante El poder desarrollar un plan que resulte práctico y poder probarlo para asegurar que éste funcionará cuando se requiera. Existen al menos 4 opciones para desarrollar un plan de contingencia. 1.- Desarrollo en casa. Esta opción es barata, pero puede tomar mucho tiempo para su desarrollo y por falta de experiencia, así como de la necesidad de diseñarlo desde 0; tiene como ventaja que lo podamos ajustar a las necesidades específicas de la organización. 2.- Comprar un paquete de software. Existen en el mercado este tipo de paquetes con opciones y menús para guiar al usuario en el desarrollo del plan. Esta opción es más sencilla y más rápida que la anterior, pero más cara. 3.- Contratar consultores. Aunque esta opción es la más cara de todas, un consultor experto nos puede ahorrar mucho tiempo debido a su experiencia con otros clientes del ramo. 4.- Combinación de las anteriores. El plan puede ser diseñado desde 0 o usando un paquete de software y luego puede ser revisado por un consultor, el cual podría incluso proveer el equipo de respaldo y soporte necesarios. El consultor puede entonces evaluar si el plan es adecuado o no. Algunos de los puntos que debe tener un plan de contingencia son los siguientes: 1.- Lista de distribución de PC. 2.- Propósito y alcance. 3.- Pruebas al PC. 4.- Lista de proveedores de negocios de la compañía con números telefónicos. 5.- Ubicación del plan de contingencia y revisión periódica de los materiales usados en él. 6.- Procedimientos de recuperación post-desastre y normalización de los servicios de proceso de datos. 7.- Funciones del comité de recuperación, así como responsabilidades individuales de los empleados; deben tambien incluirse sus números telefónicos. 8.- Lista de números telefónicos de la policía, bomberos, servicio médico, proveedores de hardware, y software, locaciones de respaldo y miembros del equipo de recuperación.


9.- Procedimientos médicos para personas lesionadas. 10.- Nombres y direcciones de las personas-contacto en las locaciones de respaldo. 11.- Descripción del hardware, equipo periférico, software y arquitectura del equipo y red de telecomunicaciones en la locación de respaldo. 12.- Acuerdos contractuales con las locaciones de respaldo y su vigencia. 13.- Hardware del centro de cómputo primario, equipo periférico y configuración de software. 14.- Ubicación y disponibilidad de archivos de datos; diccionarios de datos, procedimientos de control de trabajos, programas, documentación y manuales; formas de captura, documentos fuente y consumibles en instalación ubicadas fuera de la compañía (ubicar en dónde conseguirlos). 15.- Trabajos y procesos prioritarios y sus agendas. 16.- Procedimientos manuales-alternativos tales como: preparación de nóminas y facturación, es decir, a mano. 17.- Arreglos con compañías que puedan proveer el servicio de pagos de nóminas y empleados eventuales, tanto de oficina como de planta. 18.- Nombres de empleados con conocimientos de primeros auxilios u otras técnicas de salvamento.


16.- Derecho de autor en el entorno legal mexicano. Delito Informático. Toda acción culpable realizada por un ser humano que cause un perjuicio a personas sin que necesariamente se beneficie el autor o que por el contrario produzca un beneficio ilícito a su autor aunque no perjudique en forma directa o indirecta a la víctima. Actitudes ilícitas en que se tiene a las computadoras como instrumento o fin. Cualquier comportamiento criminal en que la computadora está involucrada como material objeto como medio. TIPOS DE DELITOS Sabotaje Informático En lo referente a Sabotaje Informático podemos encontrar dos clasificaciones las cuales son las siguientes: 1. Conductas dirigidas a causar daños físicos Esto es cuando la persona que comete el delito causa daños físicos al hardware del equipo objeto del delito. 2. Conductas dirigidas a causar daños lógicos Esto comprende los daños causados a la información y todos los medios lógicos de los cuales se vale un Sistema de Cómputo para funcionar adecuadamente. * Medios Utilizados para Realizar Daños Lógicos Virus. Es una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya. Gusanos. Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. Bomba Lógica o cronológica. Exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro. 2. Fraude a través de Computadoras Cuando la computadora es el medio para realizar y maquinar fraudes por una persona, se considera un delito. 1. Manipulación de los datos de entrada Este tipo de fraude informático conocido también como sustracción de datos, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir.


2. Manipulación de Programas Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. 3. Manipulación de los datos de salida Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. 4. Estafas electrónicas El hacer compras en línea mediante el uso de Internet o alguna red de servicio, y no cumplir con lo establecido en el acuerdo de compra en entregar el producto de forma completa o parcial se considera fraude, lo que es muy común al hacer compras por Internet donde se requiere pagar a la cuenta de alguna persona antes de recibir el pedido. 5. Pesca u olfateo de contraseñas Hacer uso de programas o métodos que puedan descifrar claves o que puedan averiguar o buscarlas. Ya sean claves personales de una cuenta de correo electrónico, contraseña para entrar al sistema, claves de acceso a algún sitio, claves de productos, etc. 6. Juegos de Azar Los juegos de azar son aquellos juegos de casino o que hacen uso del factor "suerte" Para obtener ganancias a través de la red, donde se hacen apuestas o inversiones de dinero. Esto está prohibido en ciertos lugares, países o regiones, así que solo aplica para ellos. Pues dependiendo de la Ley que tengan en esos lugares, puede o no ser un delito. 7. Lavado de dinero Poner a funcionar el dinero producto del narcotráfico, o producto de estafas, robos, fraudes o cualquier actividad ilegal. Pues este dinero lo invierten en alguna actividad que aparenta no tener nada de malo, y lo que se obtiene es producto de la inversión de dinero mal obtenido, por lo que no está permitido el Lavado de Dinero.

8. Copia ilegal de software


Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. 9. Espionaje Informático El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema. 10. Accesos no autorizados El acceder a información, sitios o secciones que no están autorizadas a usuarios comunes sino solo a aquellos que tienen autorización. Acceso indebido. El que sin la debida autorización o excediendo la que hubiere obtenido, acceda, intercepte, interfiera o use un sistema que utilice tecnologías de información. 11. Interceptación de E-mail Al enviar mensajes y correo electrónico a través de la Red, e interceptar esos mensajes y desviarlos o eliminarlos, es un delito. También esto podría entrar con los delitos de espionaje. 12. Falsificación Informática Como objeto. Cuando se alteran datos de los documentos almacenados en forma computarizada. Como instrumento. Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos.

Auditoria de Sistemas  

Material unidad 3