auditoria, fraudes y robos informáticos
TRANSCRIPT
Auditoría Informática
Tema :Auditoría, Fraude y Robos
Informáticos
Docente: Lic. Lesbia Valerio
Integrantes: Bladimir Amador Maykel Centeno
Lunes 07 de Mayo de 2012
• Acción contraria a la verdad y a la rectitud, que perjudica a la persona contra quien se cometeFraud
e
• Delito que se comete apoderándose con ánimo de lucro de una cosa mueble ajena, empleándose violencia o intimidación sobre las personas, o fuerza en las cosas
Robo
Definiciones
Fraude informático
• Cualquier cambio no autorizado y malicioso de datos o informaciones contenidos en un sistema informático
Robo
informático
• Delito contra el patrimonio, consistente en el apoderamiento de bienes ajenos usando sistemas informáticos
Definiciones
Empresas y Clientes
Victimas
Según el tipo de persona:
Personal Interno Ex-empleados Vándalos Mercenarios Curiosos
Clasificación de atacantes
Según el tipo de ataque:
Hacker Cracker Crasher Peacker Phishers Sniffers
Clasificación de atacantes
Según el objetivo:
Dinero Información confidencial Beneficios Personales Daño Accidente
Clasificación de atacantes
Ataquesorganizativos
Datos restringidos
Infracciones accidentales
de la seguridad
Ataquesautomatizados
Hackers
Virus, caballos de Troya
y gusanos
DOSErrores de conexión
Denegación de servicio (DoS)
Sniffing: la habilidad de un agresor de escuchar a escondidas las comunicaciones entre los hosts de la red
Spam, Redirectors, Trashing, Spoofing, etc…
Pharming: método utilizado para enviar a la victima a una página web que no es la original solicitada.
Phishing: tipo de engaño diseñado con la finalidad de robar la identidad al usuario, generalmente se utiliza el correo electrónico
Skimming: Robo de la información que contiene una tarjera de crédito
Ingeniería Social: El arte o ciencia de hacer que la gente haga lo que queremos
El arte o ciencia de hacer que la gente haga lo que queremos (GENERAR CONFIANZA).
Es la forma de fraude informático más alto.
El deseo natural del hombre de ayudar lo hace vulnerable.
Nunca pude pensar en una buena contraseña. ¿Qué utiliza
usted?
Ah, también ejecuto una red. ¿Cómo configura sus firewalls?
Ingeniería Social
Phisher se prepara para atacar
Phisher envía mail fraudulento a victimas
Víctima sigue indicaciones de phisher
Víctima compromete información confidencial
Información confidencial es enviada al Phisher
Phisher utiliza la información para suplantar a víctima
Phishing
Nueva modalidad: Phishing por teléfono o SMS
¿Como afectan los ataques informáticos?
Sé precavido con los mensajes de correo electrónico en los que se te pide que indiques tus datos personales
Lee con atención los mensajes de correo electrónico que parezcan sospechosos.
Protege la contraseña de su correo.
Toma medidas.
Ayuda a identificar nuevos fraudes.
¿Como defendernos?
Políticas, procedimientos y concienciaPolíticas, procedimientos y conciencia
Seguridad físicaSeguridad física
Fortalecer el sistema operativo, autenticación
Oficina principal, oficina sucursal, socio de negocios. Firewall
Protecciones, seguros, dispositivos de seguimiento
Marketing, Ventas, Finanzas, Encriptar datos de red
Seguridad de programas y servicios
Encriptación
Documentos de seguridad, educación del usuario
Perímetro
Red interna
Host
Aplicación
Datos
AUDITORIA INFORMÁTICA RELACIONADA CON EL DELITO
Es importante establecer claramente cual es el papel que juega el auditor informático en relación con la detección y minimización de la ocurrencia de delitos informáticos dentro de la organización a que presta sus servicios. Para lograr establecer dicho rol se debe examinar la actuación del auditor frente a la ocurrencia de delitos, estrategias para evitarlos, recomendaciones adecuadas, conocimientos requeridos
Rol del auditor informático El rol del auditor informático solamente está basado en la
verificación de controles, evaluación del riesgo de fraudes, diseño y desarrollo de exámenes que sean apropiados a la naturaleza de la auditoría asignada y que deben razonablemente detectar:
Irregularidades que puedan tener un impacto sobre el área auditada o sobre toda la organización.
Debilidades en los controles internos que podrían resultar en la falta de prevención o detección de irregularidades.
La auditoria consiste en verificar que todas las tareas que se realicen en las áreas de cómputo se hagan conforme a la normatividad, que todas las actividades se realicen adecuadamente y que los controles sean cumplidos, etc.
Detección de delitos El auditor informático al detectar irregularidades en el
transcurso de sus revisiones que le indiquen la ocurrencia de un delito informático, deberá realizar lo siguiente:
Determinar si se considera la situación un delito realmente.
Establecer pruebas claras y precisas.
Determinar los vacíos de la seguridad existentes y que permitieron el delito.
Informar a la autoridad correspondiente dentro de la organización.
Informar a autoridades regulatorias cuando es un requerimiento legal.
Es importante mencionar que el auditor debe manejar con discreción la situación y con el mayor profesionalismo posible, evitando su divulgación al público o a empleados que no tienen nada que ver. De no manejarse adecuadamente el delito, podría tener algunos efectos negativos en la organización, tales como:
Se puede generar una desconfianza de los empleados hacia el sistema.
Se pueden generar más delitos al mostrar las debilidades encontradas.
Se puede perder la confianza de los clientes, proveedores e inversionistas hacia la empresa.
Se pueden perder empleados clave de la administración, aún cuando no estén involucrados en la irregularidad debido a que la confianza en la administración y el futuro de la organización puede estar en riesgo.
Resultados de la auditoria
Si por medio de la auditoria informática realizada se han detectado la ocurrencia de delitos, el auditor deberá sugerir acciones específicas a seguir para resolver el vacío de seguridad, para que el grupo de la unidad informática pueda actuar, dichas acciones expresadas en forma de recomendación pueden ser como las siguientes:
Recomendaciones referentes a la revisión total del proceso involucrado.
Inclusión de controles adicionales.
Establecimiento de planes de contingencia efectivos.
Adquisición de herramientas de control, etc.
Fin.