viernes, 28 de febrero de 2014
SYMBALOO CRISTIAN BASUALDO
Mi PLE
Este PLE propuesto, hace una muestra de mis favoritos, un escritoro personal virtual. Cuenta con accesos a páginas, blogs, twits y hashtags favoritos, todos relacionados con tics que aplico en mi desempeño profesional y personal. Este diseño de ple me permite tener los links organizados y poder compartir con quien necesite de estas aplicaciones.
PLE Symbaloo Cristián
jueves, 17 de mayo de 2012
SYMBALOO CRISTIAN BASUALDO
Mi PLE
Este PLE propuesto, hace una muestra de mis favoritos, un escritoro personal virtual.
Cuenta con accesos a páginas, blogs, twits y hashtags favoritos, todos relacionados con tics que aplico en mi desempeño profesional y personal. Este diseño de ple me permite tener los links organizados y poder compartir con quien necesite de estas aplicaciones.
Mi PLE: http://www.symbaloo.com/mix/escritoriocristian
PRUEBA HOLA
PRUEBA HOLA
martes, 15 de mayo de 2012
miércoles, 31 de agosto de 2011
POLITICAS DE SEGURIDAD
¿Qué son las políticas de seguridad informática (PSI)?
Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes [3, pág.382]. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización.
No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el por qué de ello.
Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía.
Elementos de una política de seguridad informática Como mencionábamos en el apartado anterior, una PSI debe orientar las decisiones que se toman en relación con la seguridad. Por tanto, requiere de una disposición por parte de cada uno de los miembros de la empresa para lograr una visión conjunta de lo que se considera importante.
Las PSI deben considerar entre otros, los siguientes elementos: [4]
· Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Invitación que debe concluir en una posición.
· Objetivos de la política y descripción clara de los elementos involucrados en su definición.
· Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización.
· Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el alcance de la política.
· Definición de violaciones y de las consecuencias del no cumplimiento de la política.
· Responsabilidades de los usuarios con respecto a la información a la que ella tiene acceso.
Las PSI deben ofrecer explicaciones comprensibles acerca de por qué deben tomarse ciertas decisiones, transmitir por qué son importantes estos u otros recursos o servicios.
Seguridad en Redes
De igual forma, las PSI establecen las expectativas de la organización en relación con la seguridad y lo que ella puede esperar de las acciones que la materializan en la compañía. Deben mantener un lenguaje común libre de tecnicismos y términos legales que impidan una comprensión clara de las mismas, sin sacrificar su precisión y formalidad dentro de la empresa.
Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. No debe especificar con exactitud qué pasara o cuándo algo sucederá; no es una sentencia obligatoria de la ley.
Finalmente, las PSI como documentos dinámicos de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes:
crecimiento de la planta de personal, cambio en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios entre otros.
Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes [3, pág.382]. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización.
No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el por qué de ello.
Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía.
Elementos de una política de seguridad informática Como mencionábamos en el apartado anterior, una PSI debe orientar las decisiones que se toman en relación con la seguridad. Por tanto, requiere de una disposición por parte de cada uno de los miembros de la empresa para lograr una visión conjunta de lo que se considera importante.
Las PSI deben considerar entre otros, los siguientes elementos: [4]
· Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Invitación que debe concluir en una posición.
· Objetivos de la política y descripción clara de los elementos involucrados en su definición.
· Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización.
· Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el alcance de la política.
· Definición de violaciones y de las consecuencias del no cumplimiento de la política.
· Responsabilidades de los usuarios con respecto a la información a la que ella tiene acceso.
Las PSI deben ofrecer explicaciones comprensibles acerca de por qué deben tomarse ciertas decisiones, transmitir por qué son importantes estos u otros recursos o servicios.
Seguridad en Redes
De igual forma, las PSI establecen las expectativas de la organización en relación con la seguridad y lo que ella puede esperar de las acciones que la materializan en la compañía. Deben mantener un lenguaje común libre de tecnicismos y términos legales que impidan una comprensión clara de las mismas, sin sacrificar su precisión y formalidad dentro de la empresa.
Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. No debe especificar con exactitud qué pasara o cuándo algo sucederá; no es una sentencia obligatoria de la ley.
Finalmente, las PSI como documentos dinámicos de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes:
crecimiento de la planta de personal, cambio en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios entre otros.
SEGURIDAD INFORMATICA
Conceptos de seguridad
En la actualidad, la seguridad informática ha adquirido gran auge, dadas las cambiantes condiciones y las nuevas plataformas de computación disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes que permiten explorar más allá de las fronteras de la organización. Esta situación ha llevado a la aparición de nuevas amenazas en los sistemas computarizados.
Consecuentemente, muchas organizaciones gubernamentales y no gubernamentales internacionales [1,2] han desarrollado documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones con el objeto de obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas. Esto puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo.
En este sentido, las políticas de seguridad informática (PSI) surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y la sensibilidad de la información y servicios críticos que favorecen el desarrollo de la organización y su buen funcionamiento.
¿Cuál puede ser el valor de los datos?
Establecer el valor de los datos es algo totalmente relativo, pues la información constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con los equipos, la documentación o las aplicaciones.
Además, las medidas de seguridad no influyen en la productividad del sistema por lo que las organizaciones son reticentes a dedicar recursos a esta tarea.
Cuando hablamos del valor de la información nos referimos, por ejemplo, a qué tan peligroso es enviar la información de mi tarjeta de crédito a través de Internet para hacer una compra, en una red gigantesca donde viajan no únicamente los 16 dígitos de mi tarjeta de crédito sino millones de datos más , gráficas, voz y vídeo.
De hecho, este tema es complejo. Algunos expertos opinan que se corre más peligro cuando se entrega una tarjeta de crédito al empleado de un restaurante o cuando se la emplea telefónicamente para efectivizar alguna compra.
El peligro más grande radica no en enviar la información sino una vez que esta información, unida a la de miles de clientes más, reposa en una base de datos de la compañía con las que se concretó el negocio. Con un único acceso no autorizado a esta base de datos, es posible que alguien obtenga no únicamente mis datos y los de mi tarjeta, sino que tendrá acceso a los datos y tarjetas de todos los clientes de esta compañía.
Seguridad en Redes
En efecto, el tema no está restringido únicamente a Internet. Aunque no se esté conectado a Internet, una red está expuesta a distintos tipos de ataques electrónicos, incluídos los virus.
Para tratar de asignar un valor al costo del delito electrónico podríamos mencionar el reporte de la agencia norteamericana Defense Information Systems Agency titulado “Defending the Defense Information Infrastructure- Defense Information Systems Agency”, del 9 de julio de 1996. En dicho informe las corporaciones más grandes de los Estados Unidos reportan haber experimentado pérdidas estimadas en U$S 800 millones dólares en 1996 debido a ataques a la red. Asimismo el informe de marzo de 1997 de The Computer Security Institute (CSI) indica que el crimen de cómputo continúa en alza y se reportan pérdidas superiores a los U$S 100 millones de dólares y esto es tan solo durante el primer cuarto del año 1997. Si, además, tenemos en cuenta que según las estadísticas de estas agencias norteamericanas sólo 1 de cada 500 ataques son
detectados y reportados, ya es posible hacerse una idea de los valores involucrados en este tipo de delito.
Por esto, y por cualquier otro tipo de consideración que se tenga en mente, es realmente válido pensar que cualquier organización que trabaje con computadoras - y hoy en día más específicamente con redes de computadoras - debe tener normativas que hacen al buen uso de los recursos y de los contenidos, es decir, al buen uso de la información.
En la actualidad, la seguridad informática ha adquirido gran auge, dadas las cambiantes condiciones y las nuevas plataformas de computación disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes que permiten explorar más allá de las fronteras de la organización. Esta situación ha llevado a la aparición de nuevas amenazas en los sistemas computarizados.
Consecuentemente, muchas organizaciones gubernamentales y no gubernamentales internacionales [1,2] han desarrollado documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones con el objeto de obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas. Esto puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo.
En este sentido, las políticas de seguridad informática (PSI) surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y la sensibilidad de la información y servicios críticos que favorecen el desarrollo de la organización y su buen funcionamiento.
¿Cuál puede ser el valor de los datos?
Establecer el valor de los datos es algo totalmente relativo, pues la información constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con los equipos, la documentación o las aplicaciones.
Además, las medidas de seguridad no influyen en la productividad del sistema por lo que las organizaciones son reticentes a dedicar recursos a esta tarea.
Cuando hablamos del valor de la información nos referimos, por ejemplo, a qué tan peligroso es enviar la información de mi tarjeta de crédito a través de Internet para hacer una compra, en una red gigantesca donde viajan no únicamente los 16 dígitos de mi tarjeta de crédito sino millones de datos más , gráficas, voz y vídeo.
De hecho, este tema es complejo. Algunos expertos opinan que se corre más peligro cuando se entrega una tarjeta de crédito al empleado de un restaurante o cuando se la emplea telefónicamente para efectivizar alguna compra.
El peligro más grande radica no en enviar la información sino una vez que esta información, unida a la de miles de clientes más, reposa en una base de datos de la compañía con las que se concretó el negocio. Con un único acceso no autorizado a esta base de datos, es posible que alguien obtenga no únicamente mis datos y los de mi tarjeta, sino que tendrá acceso a los datos y tarjetas de todos los clientes de esta compañía.
Seguridad en Redes
En efecto, el tema no está restringido únicamente a Internet. Aunque no se esté conectado a Internet, una red está expuesta a distintos tipos de ataques electrónicos, incluídos los virus.
Para tratar de asignar un valor al costo del delito electrónico podríamos mencionar el reporte de la agencia norteamericana Defense Information Systems Agency titulado “Defending the Defense Information Infrastructure- Defense Information Systems Agency”, del 9 de julio de 1996. En dicho informe las corporaciones más grandes de los Estados Unidos reportan haber experimentado pérdidas estimadas en U$S 800 millones dólares en 1996 debido a ataques a la red. Asimismo el informe de marzo de 1997 de The Computer Security Institute (CSI) indica que el crimen de cómputo continúa en alza y se reportan pérdidas superiores a los U$S 100 millones de dólares y esto es tan solo durante el primer cuarto del año 1997. Si, además, tenemos en cuenta que según las estadísticas de estas agencias norteamericanas sólo 1 de cada 500 ataques son
detectados y reportados, ya es posible hacerse una idea de los valores involucrados en este tipo de delito.
Por esto, y por cualquier otro tipo de consideración que se tenga en mente, es realmente válido pensar que cualquier organización que trabaje con computadoras - y hoy en día más específicamente con redes de computadoras - debe tener normativas que hacen al buen uso de los recursos y de los contenidos, es decir, al buen uso de la información.
Auditor versus delitos informàticos
Es importante establecer claramente cual es el papel que juega el auditor informático en relación con la detección y minimización de la ocurrencia de delitos informáticos dentro de la organización a que presta sus servicios. Para lograr establecer dicho rol se debe examinar la actuación del auditor frente a la ocurrencia de delitos, estrategias para evitarlos, recomendaciones adecuadas, conocimientos requeridos, en fin una serie de elementos que definen de manera inequívoca el aporte que éste brinda en el manejo de los
casos de delitos informáticos.
Rol del Auditor Informático
El rol del auditor informático solamente está basado en la verificación de controles, evaluación del riesgo de fraudes y el diseño y desarrollo de exámenes que sean apropiados a la naturaleza de la auditoría asignada, y que deben razonablemente detectar:
• Irregularidades que puedan tener un impacto sobre el área auditada o sobre toda la organización.
• Debilidades en los controles internos que podrían resultar en la falta de prevención o detección de irregularidades.
Detección de delitos
Puesto que la auditoria es una verificación de que las cosas se estén realizando de la manera planificada, que todas las actividades se realicen adecuadamente, que los controles sean cumplidos, etc.; entonces el auditor informático al detectar irregularidades en el transcurso de la auditoria informática que le indiquen la ocurrencia de un delito informático, deberá realizar los siguiente:
Determinar si se considera la situación un delito realmente; Establecer pruebas claras y precisas;
Determinar los vacíos de la seguridad existentes y que permitieron el delito; Informar a la autoridad correspondiente dentro de la organización; Informar a autoridades regulatorias cuando es un requerimiento legal.
Es importante mencionar que el auditor deberá manejar con discreción tal situación y con el mayor profesionalismo posible; evitando su divulgación al público o a empleados que no tienen nada que ver.
Puesto que de no manejarse adecuadamente el delito, podría tener efectos negativos en la organización, como los siguientes:
• Se puede generar una desconfianza de los empleados hacia el sistema; • Se pueden generar más delitos al mostrar las debilidades encontradas;
• Se puede perder la confianza de los clientes, proveedores e inversionistas hacia la empresa;
• Se pueden perder empleados clave de la administración, aún cuando no estén involucrados
en la irregularidad debido a que la confianza en la administración y el futuro de la organización puede estar en riesgo.
Resultados de la auditoria
Si por medio de la auditoria informática realizada se han detectado la ocurrencia de delitos, el auditor deberá sugerir acciones especificas a seguir para resolver el vacío de seguridad, para que el grupo de la unidad informática pueda actuar.
Dichas acciones, expresadas en forma de recomendación pueden ser como las siguientes:
• Recomendaciones referentes a la revisión total del proceso involucrado;
• Inclusión de controles adicionales;
• Establecimiento de planes de contingencia efectivos;
• Adquisición de herramientas de control, etc.
Además de brindar recomendaciones, el auditor informático deberá ayudar a la empresa en el establecimiento de estrategias contra la ocurrencia de delitos, entre las que pueden destacarse:
• Adquisición de herramientas computacionales de alto desempeño;
• Controles sofisticados;
• Procedimientos estándares bien establecidos y probados.
• Revisiones continuas; cuya frecuencia dependerá del grado de importancia para la empresa de las TI; así como de las herramientas y controles existentes.
Si bien es cierto las recomendaciones dadas por el auditor, las estrategias implementadas por la organización minimizan el grado de amenaza que representa los delitos informáticos, es importante tomar en cuenta que aún cuando todos los procesos de auditoría estén debidamente diseñados y se cuente con las herramientas adecuadas, no se puede garantizar que las irregularidades puedan ser detectadas.
Por lo que la verificaciones la información y de la TI juegan un papel importante en la detección de los delitos informáticos.
Perfil del Auditor Informático
El auditor informático como encargado de la verificación y certificación de la informática dentro de las organizaciones, deberá contar con un perfil que le permita poder desempeñar su trabajo con la calidad y la efectividad esperada. Para ello a continuación se establecen algunos elementos con que deberá contar:
» Conocimientos generales.
• Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las plataformas existentes en la organización;
• Normas estándares para la auditoría interna;
• Políticas organizacionales sobre la información y las tecnologías de la información.
• Características de la organización respecto a la ética, estructura organizacional, tipo de supervisión existente, compensaciones monetarias a los empleados, extensión de la presión laboral sobre los empleados, historia de la organización, cambios recientes en la administración, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la organización, etc.
• Aspectos legales;
» Herramientas.
• Herramientas de control y verificación de la seguridad;
• Herramientas de monitoreo de actividades, etc.
» Técnicas.
• Técnicas de Evaluación de riesgos;
• Muestreo;
• Cálculo pos operación;
• Monitoreo de actividades;
• Recopilación de grandes cantidades de información;
• Verificación de desviaciones en el comportamiento de la data;
• Análisis e interpretación de la evidencia, etc.
Auditor Externo Versus Auditor Interno
La responsabilidad del auditor externo para detectar irregularidades o fraude se establece en el prefacio de las normas y estándares de auditoría. En este prefacio se indica que aunque el cometido de los auditores externos no exige normalmente la búsqueda específica de fraudes, la auditoría deberá planificarse de forma que existan unas expectativas razonables de detectar irregularidades materiales o fraude.
Si el auditor externo detecta algún tipo de delito deberá presentar un informe detallado sobre la situación y aportar elementos de juicio adicionales durante las investigaciones criminales posteriores. El auditor externo solamente puede emitir opiniones basado en la información recabada y normalmente no estará involucrado directamente en la búsqueda de pruebas; a menos que su contrato sea extendido a otro tipo de actividades normalmente fuera de su alcance.
El cometido y responsabilidad de los auditores internos vienen definidos por la dirección de la empresa a la que pertenecen.
En la mayoría de ellas, se considera que la detección de delitos informáticos forma parte del cometido de los auditores internos.
Auditorias Eficientes En la mayoría de las empresas existe la obligación de mantener en todo momento unos registros contables adecuados y el auditor tendrá que informar si no fuera así.
Lo más probable es que el estudio completo de la seguridad y la planificación de emergencia de los sistemas mecanizados se incluyan entre las atribuciones de la mayoría de los departamentos de auditoría interna. Por ello cuando se realice un análisis de seguridad informática y de planificación de emergencia, el auditor:
• Examinará sistemáticamente todos los riesgos que intervengan y acotarán las pérdidas probables en cada caso.
• Considerará las maneras de aumentar la seguridad para reducir los riesgos.
• Recomendará todas las acciones necesarias de protección encaminadas a reducir el riesgo de que se produzca una interrupción, en caso de que se produzca.
• Cuando corresponda, estudiará la cobertura de seguros de la empresa.
Cuando se hable de eficiencia, los auditores tendrán que tener en cuenta las bases de referencia del grupo de auditoria, que considera lo siguiente:
• A que nivel informan los auditores.
• El apoyo que la dirección presta a los auditores.
• El respeto que tenga la unidad informática hacia el
grupo de auditoría.
• La competencia técnica del equipo de auditoría.
• La eficiencia de la unidad informática, en la que se
incluyen más factores de protección y seguridad.
Si, durante el curso de auditoría, los auditores tuvieran razones para pensar que las disposiciones de seguridad de la empresa y los planes de emergencia no son los adecuados, deberán reflejar sus opiniones a la Alta Dirección, a través del informe de auditoria.
Si sospechase de fraude, el auditor deberá avisar a la alta dirección para que se pongan en contacto con su asesor jurídico, o con la policía, sin levantar las sospechas del personal
o los clientes que estuviesen involucrados. El auditor deberá asegurar también que los originales de los documentos que pudieran utilizarse como prueba están custodiados y a salvo y que ninguna persona que sea sospechosa de fraude tenga acceso a ellos.
Es importante establecer claramente cual es el papel que juega el auditor informático en relación con la detección y minimización de la ocurrencia de delitos informáticos dentro de la organización a que presta sus servicios. Para lograr establecer dicho rol se debe examinar la actuación del auditor frente a la ocurrencia de delitos, estrategias para evitarlos, recomendaciones adecuadas, conocimientos requeridos, en fin una serie de elementos que definen de manera inequívoca el aporte que éste brinda en el manejo de los
casos de delitos informáticos.
Rol del Auditor Informático
El rol del auditor informático solamente está basado en la verificación de controles, evaluación del riesgo de fraudes y el diseño y desarrollo de exámenes que sean apropiados a la naturaleza de la auditoría asignada, y que deben razonablemente detectar:
• Irregularidades que puedan tener un impacto sobre el área auditada o sobre toda la organización.
• Debilidades en los controles internos que podrían resultar en la falta de prevención o detección de irregularidades.
Detección de delitos
Puesto que la auditoria es una verificación de que las cosas se estén realizando de la manera planificada, que todas las actividades se realicen adecuadamente, que los controles sean cumplidos, etc.; entonces el auditor informático al detectar irregularidades en el transcurso de la auditoria informática que le indiquen la ocurrencia de un delito informático, deberá realizar los siguiente:
Determinar si se considera la situación un delito realmente; Establecer pruebas claras y precisas;
Determinar los vacíos de la seguridad existentes y que permitieron el delito; Informar a la autoridad correspondiente dentro de la organización; Informar a autoridades regulatorias cuando es un requerimiento legal.
Es importante mencionar que el auditor deberá manejar con discreción tal situación y con el mayor profesionalismo posible; evitando su divulgación al público o a empleados que no tienen nada que ver.
Puesto que de no manejarse adecuadamente el delito, podría tener efectos negativos en la organización, como los siguientes:
• Se puede generar una desconfianza de los empleados hacia el sistema; • Se pueden generar más delitos al mostrar las debilidades encontradas;
• Se puede perder la confianza de los clientes, proveedores e inversionistas hacia la empresa;
• Se pueden perder empleados clave de la administración, aún cuando no estén involucrados
en la irregularidad debido a que la confianza en la administración y el futuro de la organización puede estar en riesgo.
Resultados de la auditoria
Si por medio de la auditoria informática realizada se han detectado la ocurrencia de delitos, el auditor deberá sugerir acciones especificas a seguir para resolver el vacío de seguridad, para que el grupo de la unidad informática pueda actuar.
Dichas acciones, expresadas en forma de recomendación pueden ser como las siguientes:
• Recomendaciones referentes a la revisión total del proceso involucrado;
• Inclusión de controles adicionales;
• Establecimiento de planes de contingencia efectivos;
• Adquisición de herramientas de control, etc.
Además de brindar recomendaciones, el auditor informático deberá ayudar a la empresa en el establecimiento de estrategias contra la ocurrencia de delitos, entre las que pueden destacarse:
• Adquisición de herramientas computacionales de alto desempeño;
• Controles sofisticados;
• Procedimientos estándares bien establecidos y probados.
• Revisiones continuas; cuya frecuencia dependerá del grado de importancia para la empresa de las TI; así como de las herramientas y controles existentes.
Si bien es cierto las recomendaciones dadas por el auditor, las estrategias implementadas por la organización minimizan el grado de amenaza que representa los delitos informáticos, es importante tomar en cuenta que aún cuando todos los procesos de auditoría estén debidamente diseñados y se cuente con las herramientas adecuadas, no se puede garantizar que las irregularidades puedan ser detectadas.
Por lo que la verificaciones la información y de la TI juegan un papel importante en la detección de los delitos informáticos.
Perfil del Auditor Informático
El auditor informático como encargado de la verificación y certificación de la informática dentro de las organizaciones, deberá contar con un perfil que le permita poder desempeñar su trabajo con la calidad y la efectividad esperada. Para ello a continuación se establecen algunos elementos con que deberá contar:
» Conocimientos generales.
• Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las plataformas existentes en la organización;
• Normas estándares para la auditoría interna;
• Políticas organizacionales sobre la información y las tecnologías de la información.
• Características de la organización respecto a la ética, estructura organizacional, tipo de supervisión existente, compensaciones monetarias a los empleados, extensión de la presión laboral sobre los empleados, historia de la organización, cambios recientes en la administración, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la organización, etc.
• Aspectos legales;
» Herramientas.
• Herramientas de control y verificación de la seguridad;
• Herramientas de monitoreo de actividades, etc.
» Técnicas.
• Técnicas de Evaluación de riesgos;
• Muestreo;
• Cálculo pos operación;
• Monitoreo de actividades;
• Recopilación de grandes cantidades de información;
• Verificación de desviaciones en el comportamiento de la data;
• Análisis e interpretación de la evidencia, etc.
Auditor Externo Versus Auditor Interno
La responsabilidad del auditor externo para detectar irregularidades o fraude se establece en el prefacio de las normas y estándares de auditoría. En este prefacio se indica que aunque el cometido de los auditores externos no exige normalmente la búsqueda específica de fraudes, la auditoría deberá planificarse de forma que existan unas expectativas razonables de detectar irregularidades materiales o fraude.
Si el auditor externo detecta algún tipo de delito deberá presentar un informe detallado sobre la situación y aportar elementos de juicio adicionales durante las investigaciones criminales posteriores. El auditor externo solamente puede emitir opiniones basado en la información recabada y normalmente no estará involucrado directamente en la búsqueda de pruebas; a menos que su contrato sea extendido a otro tipo de actividades normalmente fuera de su alcance.
El cometido y responsabilidad de los auditores internos vienen definidos por la dirección de la empresa a la que pertenecen.
En la mayoría de ellas, se considera que la detección de delitos informáticos forma parte del cometido de los auditores internos.
Auditorias Eficientes En la mayoría de las empresas existe la obligación de mantener en todo momento unos registros contables adecuados y el auditor tendrá que informar si no fuera así.
Lo más probable es que el estudio completo de la seguridad y la planificación de emergencia de los sistemas mecanizados se incluyan entre las atribuciones de la mayoría de los departamentos de auditoría interna. Por ello cuando se realice un análisis de seguridad informática y de planificación de emergencia, el auditor:
• Examinará sistemáticamente todos los riesgos que intervengan y acotarán las pérdidas probables en cada caso.
• Considerará las maneras de aumentar la seguridad para reducir los riesgos.
• Recomendará todas las acciones necesarias de protección encaminadas a reducir el riesgo de que se produzca una interrupción, en caso de que se produzca.
• Cuando corresponda, estudiará la cobertura de seguros de la empresa.
Cuando se hable de eficiencia, los auditores tendrán que tener en cuenta las bases de referencia del grupo de auditoria, que considera lo siguiente:
• A que nivel informan los auditores.
• El apoyo que la dirección presta a los auditores.
• El respeto que tenga la unidad informática hacia el
grupo de auditoría.
• La competencia técnica del equipo de auditoría.
• La eficiencia de la unidad informática, en la que se
incluyen más factores de protección y seguridad.
Si, durante el curso de auditoría, los auditores tuvieran razones para pensar que las disposiciones de seguridad de la empresa y los planes de emergencia no son los adecuados, deberán reflejar sus opiniones a la Alta Dirección, a través del informe de auditoria.
Si sospechase de fraude, el auditor deberá avisar a la alta dirección para que se pongan en contacto con su asesor jurídico, o con la policía, sin levantar las sospechas del personal
o los clientes que estuviesen involucrados. El auditor deberá asegurar también que los originales de los documentos que pudieran utilizarse como prueba están custodiados y a salvo y que ninguna persona que sea sospechosa de fraude tenga acceso a ellos.
Legislación sobre delitos informáticos
Panorama general
La legislación sobre protección de los sistemas informáticos ha de perseguir acercarse lo más posible a los distintos medios de protección ya existentes, creando una nueva regulación
sólo en aquellos aspectos en los que, basándose en las peculiaridades del objeto de protección, sea imprescindible.
Si se tiene en cuenta que los sistemas informáticos, pueden entregar datos e informaciones sobre miles de personas, naturales y jurídicas, en aspectos tan fundamentales para el normal desarrollo y funcionamiento de diversas actividades como bancarias, financieras, tributarias, previsionales
y de identificación de las personas. Y si a ello se agrega que existen Bancos de Datos, empresas o entidades dedicadas a proporcionar, si se desea, cualquier información, sea de carácter personal o sobre materias de las más diversas disciplinas a un Estado o particulares; se comprenderá que
están en juego o podrían ha llegar a estarlo de modo dramático, algunos valores colectivos y los consiguientes bienes jurídicos que el ordenamiento jurídico institucional debe proteger.
No es la amenaza potencial de la computadora sobre el individuo lo que provoca desvelo, sino la utilización real por el hombre de los sistemas de información con fines de espionaje.
No son los grandes sistemas de información los que afectan la vida privada sino la manipulación o el consentimiento de ello, por parte de individuos poco conscientes e irresponsables de los datos que dichos sistemas contienen.
La humanidad no esta frente al peligro de la informática sino frente a la posibilidad real de que individuos o grupos sin escrúpulos, con aspiraciones de obtener el poder que la información
puede conferirles, la utilicen para satisfacer sus propios intereses, a expensas de las libertades individuales y en detrimento de las personas. Asimismo, la amenaza futura será directamente proporcional a los adelantos de las tecnologías informáticas.
La protección de los sistemas informáticos puede abordarse tanto desde una perspectiva penal como de una perspectiva civil o comercial, e incluso de derecho administrativo.
Estas distintas medidas de protección no tienen porque ser excluyentes unas de otras, sino que, por el contrario, éstas deben estar estrechamente vinculadas. Por eso, dadas las características de esta problemática sólo a través de una protección global, desde los distintos sectores del ordenamiento
jurídico, es posible alcanzar una cierta eficacia en la defensa de los ataques a los sistemas informáticos.
Análisis legislativo
Un análisis de las legislaciones que se han promulgado en diversos países arroja que las normas jurídicas que se han puesto en vigor están dirigidas a proteger la utilización abusiva de la información reunida y procesada mediante el uso de computadoras.
Desde hace aproximadamente diez años la mayoría de los países europeos han hecho todo lo posible para incluir dentro de la ley, la conducta punible penalmente, como el acceso
ilegal a sistemas de computo o el mantenimiento ilegal de tales accesos, la difusión de virus o la interceptación de mensajes informáticos.
En la mayoría de las naciones occidentales existen normas similares a los países europeos. Todos estos enfoques están inspirados por la misma preocupación de contar con comunicaciones electrónicas, transacciones e intercambios tan confiables y seguros como sea posible.
Las personas que cometen los «Delitos Informáticos» son aquellas que poseen ciertas características que no presentan el denominador común de los delincuentes, esto es, los
sujetos activos tienen habilidades para el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran en lugares estratégicos donde se maneja información
de carácter sensible, o bien son hábiles en el uso de los sistemas informatizados, aún cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisión de este tipo de delitos.
Con el tiempo se ha podido comprobar que los autores de los delitos informáticos son muy diversos y que lo que los diferencia entre sí es la naturaleza de los delitos cometidos.
De esta forma, la persona que «ingresa» en un sistema informático sin intenciones delictivas es muy diferente del empleado de una institución financiera que desvía fondos de las cuentas de sus clientes.
El nivel típico de aptitudes del delincuente informático es tema de controversia ya que para algunos el nivel de aptitudes no es indicador de delincuencia informática en tanto que otros aducen que los posibles delincuentes informáticos son personas listas, decididas, motivadas y dispuestas a aceptar un reto tecnológico, características que pudieran encontrarse en un empleado del sector de procesamiento de datos.
Sin embargo, teniendo en cuenta las características ya mencionadas de las personas que cometen los «delitos informáticos», los estudiosos en la materia los han catalogado como «delitos de cuello blanco» término introducido por primera vez por el criminólogo norteamericano Edwin Sutherland en el año de 1943.
Efectivamente, este conocido criminólogo señala un sinnúmero de conductas que considera como «delitos de cuello blanco», aún cuando muchas de estas conductas no están tipificadas en los ordenamientos jurídicos como delitos, y dentro de las cuales cabe destacar las «violaciones a las
leyes de patentes y fábrica de derechos de autor, el mercado negro, el contrabando en las empresas, la evasión de impuestos, las quiebras fraudulentas, corrupción de altos funcionarios, entre otros».
Asimismo, este criminólogo estadounidense dice que tanto la definición de los «delitos informáticos» como la de los «delitos de cuello blanco» no es de acuerdo al interés protegido,
como sucede en los delitos convencionales sino de acuerdo al sujeto activo que los comete. Entre las características en común que poseen ambos delitos tenemos que:
«El sujeto activo del delito es una persona de cierto status socioeconómico, su comisión no puede explicarse por pobreza ni por mala habitación, ni por carencia de recreación, ni por baja educación, ni por poca inteligencia, ni por inestabilidad
emocional».
Es difícil elaborar estadísticas sobre ambos tipos de delitos.
Sin embargo, la cifra es muy alta; no es fácil descubrirlo y sancionarlo, en razón del poder económico de quienes lo cometen, pero los daños económicos son altísimos; existe una gran indiferencia de la opinión pública sobre los daños ocasionados a la sociedad; la sociedad no considera delincuentes a los sujetos que cometen este tipo de delitos, no los segrega, no los desprecia, ni los desvaloriza, por el contrario, el autor o autores de este tipo de delitos se considera a sí mismos «respetables» otra coincidencia que tienen estos tipos de delitos es que, generalmente, «son objeto de medidas o sanciones de carácter administrativo y no privativos
de la libertad».
Este nivel de criminalidad se puede explicar por la dificultad de reprimirla en forma internacional, ya que los usuarios están esparcidos por todo el mundo y, en consecuencia, existe
una posibilidad muy grande de que el agresor y la víctima estén sujetos a leyes nacionales diferentes. Además, si bien los acuerdos de cooperación internacional y los tratados de
extradición bilaterales intentan remediar algunas de las dificultades ocasionadas por los delitos informáticos, sus posibilidades son limitadas.
Por su parte, el «Manual de la Naciones Unidas para la Prevención y Control de Delitos Informáticos» señala que cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y las insuficiencias, por cuanto los delitos informáticos constituyen una nueva forma de crimen transnacional y su combate requiere de una eficaz operación internacional concertada. Asimismo, la ONU resume de la siguiente manera a los problemas que rodean a
la cooperación internacional en el área de los delitos informáticos:
• Falta de acuerdos globales acerca de que tipo de conductas deben constituir delitos informáticos.
• Ausencia de acuerdos globales en la definición legal de dichas conductas delictivas.
• Falta de especialización de las policías, fiscales y otros funcionarios judiciales en el campo de los delitos informáticos.
• Falta de armonización entre las diferentes leyes procesales nacionales acerca de la investigación de los delitos informáticos.
• Carácter transnacional de muchos delitos cometidos mediante el uso de computadoras.
• Ausencia de tratados de extradición, de acuerdos de ayuda mutuos y de mecanismos sincronizados que permitan la puesta en vigor de la cooperación internacional.
En síntesis, es destacable que la delincuencia informática se apoya en el delito instrumentado por el uso de la computadora a través de redes telemáticas y la interconexión de la computadora, aunque no es el único medio. Las ventajas y las necesidades del flujo nacional e internacional de datos, que aumenta de modo creciente aún en países latinoamericanos, conlleva también a la posibilidad creciente de estos delitos; por eso puede señalarse que la criminalidad informática
constituye un reto considerable tanto para los sectores afectados de la infraestructura crítica de un país, como para los legisladores, las autoridades policiales encargadas de las investigaciones y los funcionarios judiciales.
Legislación - Contexto Internacional
En el contexto internacional, son pocos los países que cuentan con una legislación apropiada. Entre ellos, se destacan, Estados Unidos, Alemania, Austria, Gran Bretaña, Holanda, Francia, España, Argentina y Chile.
Dado lo anterior a continuación se mencionan algunos aspectos relacionados con la ley en los diferentes países, así como con los delitos informáticos que persigue.
sólo en aquellos aspectos en los que, basándose en las peculiaridades del objeto de protección, sea imprescindible.
Si se tiene en cuenta que los sistemas informáticos, pueden entregar datos e informaciones sobre miles de personas, naturales y jurídicas, en aspectos tan fundamentales para el normal desarrollo y funcionamiento de diversas actividades como bancarias, financieras, tributarias, previsionales
y de identificación de las personas. Y si a ello se agrega que existen Bancos de Datos, empresas o entidades dedicadas a proporcionar, si se desea, cualquier información, sea de carácter personal o sobre materias de las más diversas disciplinas a un Estado o particulares; se comprenderá que
están en juego o podrían ha llegar a estarlo de modo dramático, algunos valores colectivos y los consiguientes bienes jurídicos que el ordenamiento jurídico institucional debe proteger.
No es la amenaza potencial de la computadora sobre el individuo lo que provoca desvelo, sino la utilización real por el hombre de los sistemas de información con fines de espionaje.
No son los grandes sistemas de información los que afectan la vida privada sino la manipulación o el consentimiento de ello, por parte de individuos poco conscientes e irresponsables de los datos que dichos sistemas contienen.
La humanidad no esta frente al peligro de la informática sino frente a la posibilidad real de que individuos o grupos sin escrúpulos, con aspiraciones de obtener el poder que la información
puede conferirles, la utilicen para satisfacer sus propios intereses, a expensas de las libertades individuales y en detrimento de las personas. Asimismo, la amenaza futura será directamente proporcional a los adelantos de las tecnologías informáticas.
La protección de los sistemas informáticos puede abordarse tanto desde una perspectiva penal como de una perspectiva civil o comercial, e incluso de derecho administrativo.
Estas distintas medidas de protección no tienen porque ser excluyentes unas de otras, sino que, por el contrario, éstas deben estar estrechamente vinculadas. Por eso, dadas las características de esta problemática sólo a través de una protección global, desde los distintos sectores del ordenamiento
jurídico, es posible alcanzar una cierta eficacia en la defensa de los ataques a los sistemas informáticos.
Análisis legislativo
Un análisis de las legislaciones que se han promulgado en diversos países arroja que las normas jurídicas que se han puesto en vigor están dirigidas a proteger la utilización abusiva de la información reunida y procesada mediante el uso de computadoras.
Desde hace aproximadamente diez años la mayoría de los países europeos han hecho todo lo posible para incluir dentro de la ley, la conducta punible penalmente, como el acceso
ilegal a sistemas de computo o el mantenimiento ilegal de tales accesos, la difusión de virus o la interceptación de mensajes informáticos.
En la mayoría de las naciones occidentales existen normas similares a los países europeos. Todos estos enfoques están inspirados por la misma preocupación de contar con comunicaciones electrónicas, transacciones e intercambios tan confiables y seguros como sea posible.
Las personas que cometen los «Delitos Informáticos» son aquellas que poseen ciertas características que no presentan el denominador común de los delincuentes, esto es, los
sujetos activos tienen habilidades para el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran en lugares estratégicos donde se maneja información
de carácter sensible, o bien son hábiles en el uso de los sistemas informatizados, aún cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisión de este tipo de delitos.
Con el tiempo se ha podido comprobar que los autores de los delitos informáticos son muy diversos y que lo que los diferencia entre sí es la naturaleza de los delitos cometidos.
De esta forma, la persona que «ingresa» en un sistema informático sin intenciones delictivas es muy diferente del empleado de una institución financiera que desvía fondos de las cuentas de sus clientes.
El nivel típico de aptitudes del delincuente informático es tema de controversia ya que para algunos el nivel de aptitudes no es indicador de delincuencia informática en tanto que otros aducen que los posibles delincuentes informáticos son personas listas, decididas, motivadas y dispuestas a aceptar un reto tecnológico, características que pudieran encontrarse en un empleado del sector de procesamiento de datos.
Sin embargo, teniendo en cuenta las características ya mencionadas de las personas que cometen los «delitos informáticos», los estudiosos en la materia los han catalogado como «delitos de cuello blanco» término introducido por primera vez por el criminólogo norteamericano Edwin Sutherland en el año de 1943.
Efectivamente, este conocido criminólogo señala un sinnúmero de conductas que considera como «delitos de cuello blanco», aún cuando muchas de estas conductas no están tipificadas en los ordenamientos jurídicos como delitos, y dentro de las cuales cabe destacar las «violaciones a las
leyes de patentes y fábrica de derechos de autor, el mercado negro, el contrabando en las empresas, la evasión de impuestos, las quiebras fraudulentas, corrupción de altos funcionarios, entre otros».
Asimismo, este criminólogo estadounidense dice que tanto la definición de los «delitos informáticos» como la de los «delitos de cuello blanco» no es de acuerdo al interés protegido,
como sucede en los delitos convencionales sino de acuerdo al sujeto activo que los comete. Entre las características en común que poseen ambos delitos tenemos que:
«El sujeto activo del delito es una persona de cierto status socioeconómico, su comisión no puede explicarse por pobreza ni por mala habitación, ni por carencia de recreación, ni por baja educación, ni por poca inteligencia, ni por inestabilidad
emocional».
Es difícil elaborar estadísticas sobre ambos tipos de delitos.
Sin embargo, la cifra es muy alta; no es fácil descubrirlo y sancionarlo, en razón del poder económico de quienes lo cometen, pero los daños económicos son altísimos; existe una gran indiferencia de la opinión pública sobre los daños ocasionados a la sociedad; la sociedad no considera delincuentes a los sujetos que cometen este tipo de delitos, no los segrega, no los desprecia, ni los desvaloriza, por el contrario, el autor o autores de este tipo de delitos se considera a sí mismos «respetables» otra coincidencia que tienen estos tipos de delitos es que, generalmente, «son objeto de medidas o sanciones de carácter administrativo y no privativos
de la libertad».
Este nivel de criminalidad se puede explicar por la dificultad de reprimirla en forma internacional, ya que los usuarios están esparcidos por todo el mundo y, en consecuencia, existe
una posibilidad muy grande de que el agresor y la víctima estén sujetos a leyes nacionales diferentes. Además, si bien los acuerdos de cooperación internacional y los tratados de
extradición bilaterales intentan remediar algunas de las dificultades ocasionadas por los delitos informáticos, sus posibilidades son limitadas.
Por su parte, el «Manual de la Naciones Unidas para la Prevención y Control de Delitos Informáticos» señala que cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y las insuficiencias, por cuanto los delitos informáticos constituyen una nueva forma de crimen transnacional y su combate requiere de una eficaz operación internacional concertada. Asimismo, la ONU resume de la siguiente manera a los problemas que rodean a
la cooperación internacional en el área de los delitos informáticos:
• Falta de acuerdos globales acerca de que tipo de conductas deben constituir delitos informáticos.
• Ausencia de acuerdos globales en la definición legal de dichas conductas delictivas.
• Falta de especialización de las policías, fiscales y otros funcionarios judiciales en el campo de los delitos informáticos.
• Falta de armonización entre las diferentes leyes procesales nacionales acerca de la investigación de los delitos informáticos.
• Carácter transnacional de muchos delitos cometidos mediante el uso de computadoras.
• Ausencia de tratados de extradición, de acuerdos de ayuda mutuos y de mecanismos sincronizados que permitan la puesta en vigor de la cooperación internacional.
En síntesis, es destacable que la delincuencia informática se apoya en el delito instrumentado por el uso de la computadora a través de redes telemáticas y la interconexión de la computadora, aunque no es el único medio. Las ventajas y las necesidades del flujo nacional e internacional de datos, que aumenta de modo creciente aún en países latinoamericanos, conlleva también a la posibilidad creciente de estos delitos; por eso puede señalarse que la criminalidad informática
constituye un reto considerable tanto para los sectores afectados de la infraestructura crítica de un país, como para los legisladores, las autoridades policiales encargadas de las investigaciones y los funcionarios judiciales.
Legislación - Contexto Internacional
En el contexto internacional, son pocos los países que cuentan con una legislación apropiada. Entre ellos, se destacan, Estados Unidos, Alemania, Austria, Gran Bretaña, Holanda, Francia, España, Argentina y Chile.
Dado lo anterior a continuación se mencionan algunos aspectos relacionados con la ley en los diferentes países, así como con los delitos informáticos que persigue.
Suscribirse a:
Entradas (Atom)