Escolar Documentos
Profissional Documentos
Cultura Documentos
AUDITORIA
COMPUTACIONAL
(TEMAS: Los Enfoques de Auditora, Riesgo Informtico,
Tipos de Fraudes, Controles y sus Tipos)
Introduccin..3.Enfoques dentro de la Auditoria Informtica4.Auditoria Alrededor de la Computadora..4.Auditoria a travs de la computadora..4, 5.Auditoria con la Computadora...5.Riesgo Informticos.6.Tipos de Riesgos Informticos..7, 8,9.Tipos de Fraudes y Robo9, 10.Conceptos de Corrupcin y fraudes..10, 11.Prevencin Corrupcin y Fraude...11, 12, 13.Control y sus Tipos..14, 15, 16.Control Interno Informtico... 17,18.-
INTRODUCCION
Los avances que han tenido los sistemas en los ltimos aos, ha surgido una
necesidad de evaluacin para los auditores, quienes requieren una
especializacin cada vez ms profunda en sistemas computacionales para
dedicarse a este tipo de auditoras.
Por ello naci la necesidad de evaluar no slo los sistemas, sino tambin la
informacin, sus componentes y todo lo que est relacionado con dichos
sistemas.
Es por eso que naci este tipo de auditora unas de las cuales son alrededor
del computador, a travs del computador y con el computador.
A si como tambin existen los riesgos de seguridad de informacin deben ser
considerados en el contexto del negocio, y las interrelaciones con otras
funciones de una empresa, tales como recursos humanos, desarrollo,
produccin, operaciones, administracin, finanzas, etctera
La funcin principal de la administracin del riesgo informtico debera ser
proteger a la organizacin y su habilidad de manejar su misin, no solamente
la proteccin de los elementos informticos. Adems, el proceso no solo debe
de ser tratado como una funcin tcnica generada por los expertos en
tecnologa que operan y administran los sistemas, sino como una funcin
esencial de administracin por parte de toda la organizacin.
Es importante recordar en el caso de algn fraude seria un impacto negativo
para vulnerabilidad de una empresa, considerando la probabilidad y la
importancia de ocurrencia. Por lo que podemos decir a grandes rasgos que la
administracin de riesgos es el proceso de identificacin, evaluacin y toma de
decisiones para reducir el riesgo a un nivel aceptable.
La auditoria informtica es el proceso de recoger, agrupar y evaluar evidencias
para determinar si un sistema informatizado salvaguarda los activos, mantiene
la integridad de los datos, lleva a cabo los eficazmente los fines de la
organizacin y utiliza eficiente mente los recursos.
RIESGOS INFORMATICOS
El riesgo es una condicin del mundo real, en el cual hay una exposicin a la
adversidad conformada por una combinacin de circunstancias del entorno donde
hay posibilidad de prdidas. Los riesgos informticos son exposiciones tales como
atentados y amenazas a los sistemas de informacin.
Administracin de Riesgos
Valoracin de Riesgos
SISTEMA DE CALIFICACIONES
Prioriza las revisiones con base en una evaluacin de los factores de riesgo que
consideran variables como: Complejidad tcnica, extensin del sistema, el cambio
en el proceso y la materializacin. Estas variables pueden estar ponderadas.
Con base en juicios: Se toma decisin independiente con base en:
Sistema de Calificaciones
Priorizacin de las revisiones con base en una evaluacin de factores de riesgo
que tienen en cuenta variables (ponderadas o no) como: complejidad tcnica, la
extensin del sistema, el cambio en el proceso y la materializacin.
Estas revisiones se programan de acuerdo con el plan de auditora anual de
auditora de sistemas.
TIPOS DE RIESGOS
Riesgo de Integridad
Riesgo de Relacin
Los riesgos de relacin se refieren al uso oportuno de la informacin creada por
una aplicacin. Estos riesgos se relacionan directamente a la informacin de toma
de decisiones.
Riesgo de Acceso
De negociacin
Aplicacin
Administracin de la informacin
Entorno de procesamiento
Redes
Nivel Fsico
Riesgo de Utilidad
Riesgo en la Infraestructura
Planeacin organizacional
Definicin de la aplicaciones
Administracin de seguridad
Operaciones de red y computacional
Administracin de sistemas de bases de datos Informacin y Negocio
Hacking/ hacker
Es un individuo que penetra un sistema solo por gusto o para probar sus
habilidades. Usualmente no tiene fines delictivos graves este tipo de instruccin
Cracking/cracker
Persona que penetra un sistema informtico con el fin de robar o destruir
informacin valiosa, realizar transacciones ilcitas, o impedir el buen
funcionamiento de redes informticos o computadoras.
Phreaking
Penetrar ilcitamente sistemas telefnicos o de telecomunicaciones con el fin de
obtener beneficios o causar perjuicios a terceros.
Warez
Grupo de personas amantes de la piratera de software. Su meta es violar cdigos
de seguridad ( cracking) o generar, obtener o compartir nmeros de registros de
programas de cmputo, para luego subirlos a internet y compartirlos con el mundo
usualmente son delitos o ilcitos contra propiedad intelectual o derechos del autor.
Hacktivismo
Son grupos ambientalistas, anti- nuclear, anti- guerras, etc., pueden usar la red
para promover ciber-desobediencia civil.
Ciber terrorismo
Aprovechamiento delas redes informticas (internet para obtener informacin,
fomentar o comentar actos de terrorismo.
Ciber pandillerismo
Grupo de hackers o extremistas se renen para cometer o planear delitos, o para
expresar ideas racistas, discriminatorias o xenofbicas.
Ingeniera social
Muchos delincuentes, en lugar de aprovechar las debilidades de los sistemas
informticos, se aprovechan de las debilidades mentales de empleados de
empresas o personas que pueden brindarle informacin que les ayude a penetrar
a sistemas informticos
Robo de identidad
Aprovechamiento de datos personales para hacerse pasar por otra persona, con el
objeto de obtener beneficios econmicos o cometer delitos informticos.
CONCEPTO CORRUPCION INFORMATICA
En informtica, se sabe que el almacenamiento de los datos no es un acto
infalible, y si los bits alteran la presentacin de los datos (cosa que puede suceder
por ataque de virus, por mal funcionamiento del sistema operativo, o simplemente
por una mala transmisin de datos), se considera que es un archivo corrupto.
CONCEPTO DE FRAUDE INFORMATICO
Organizacin
Seguridad
otros
Hardware
Acceso
Procesamientos
Comunicaciones:
Control y supervisin de las operaciones y los dispositivos de comunicacin En
cada uno de los componentes de un SI deben existir controles internos. Como
objetivo principal de todo control interno, lo primordial es tratar de disminuir
riesgos. En las comunicaciones de un SI deben establecerse controles en:
Hardware: debe haber controles que impidan el fcil acceso fsico a las terminales
y al equipamiento de la red (instalaciones, mdems, hubs, cables, etc.)
Software: deben utilizarse protocolos para controlar la calidad de los mensajes y la
no presencia de errores en cualquier transmisin de informacin. Deben
controlarse el acceso a las aplicaciones y datos que residan en el/los servidores
de la organizacin
Datos: deben utilizarse tcnicas de encriptacin (procedimiento generalmente
pblico que logra convertir un texto claro en un texto confuso o desordenado slo
descifrable con una clave, un mtodo criptoanaltico o a fuerza bruta). Ej de
POLITICAS:
Control externo que asegure el seguimiento de polticas y procedimientos
Fijados.
Controles Preventivos
Para tratar de evitar la produccin de errores o hechos fraudulentos, como por
ejemplo el software de seguridad que evita el acceso a personal no autorizado.
Controles Detectivos
Trata de descubrir a posteriori errores o fraudes que no haya sido posible evitarlos
con controles preventivos.
Controles Correctivos
Tratan de asegurar que se subsanen todos los errores identificados mediante los
controles detectivos.
Objetivos principales:
de
informacin
de
obtencin
de
Herramientas de control
Las herramientas de control, son de dos tipos lgicos y fsicos , des del punto
lgico son programas que brindar seguridad, las principales herramientas son las
siguientes; seguridad lgica del sistema, seguridad lgica complementaria del
sistema, seguridad lgica en entornos distribuidos, control de acceso fsico, control
de copias, gestin de soporte magnticos, gestin de control de impresin y envo
de listados por red, control de proyectos y versiones , gestin de independencia y
control de cambios. Y fisiocs los cifradores.