SlideShare una empresa de Scribd logo

Control de Aplicaciones - Hacking Corporativo - Auditoria Computacional

Descargar como PPTX, PDF
Juan Astudillo
Juan Astudillo

Trabajo sobre Control de Aplicaciones relacionado al Hacking Corporativo, desde el punto de vista de la auditoria computacional.

Tecnología
1 de 17
JuanAstudillo, Exequiel Gómez
HackingCorporativo ContextoPrincipal,casoreal
HackingCorporativoControldeAplicaciones Contexto Principal Fase 1: infiltración y aumento límite de retiro de las cuentas de débito En el primer robo, los hackers pudieron infiltrar el sistema de una compañía de procesamiento de tarjetas de crédito india que maneja las tarjetas de débito prepagadas Visa y MasterCard. Los hackers procedieron a elevar los límites de retiro en las cuentas de débito MasterCard prepagadas que son emitidas por el Banco Nacional de Ras Al-Khaimah, con sede en los Emiratos Árabes Unidos.
HackingCorporativoControldeAplicaciones Fase 1: infiltración y aumento límite de retiro de las cuentas de débito
HackingCorporativoControldeAplicaciones Fase 2: distribución y clonación de tarjetas Al eliminar los límites de retiro, “incluso unos pocos números de cuentas bancarias comprometidas pueden significar enormes pérdidas financieras para la institución víctima”, señala el documento. Con cinco números de cuenta a mano, los hackers distribuyeron la información a individuos en 20 países, quienes luego codificaron la información en tarjetas con huincha magnética.
HackingCorporativoControldeAplicaciones Fase 2: distribución y clonación de tarjetas
HackingCorporativoControldeAplicaciones Fase 3: utilización tarjetas clonadas El 21 de diciembre, los “equipos del efectivo” hicieron 4.500 transacciones en los cajeros automáticos en todo el mundo, con lo que robaron US$ 5 millones.
HackingCorporativoControldeAplicaciones Fase 3: utilización tarjetas clonadas
HackingCorporativo ControldeAplicaciones desdeelpuntodevistadeAuditoriaComputacional
HackingCorporativoControldeAplicaciones Los Controles de aplicación son aquellos controles que son aplicables para un determinado proceso de negocio o aplicación, entre ellos podemos encontrar la edición de registros, segregación de funciones, totales de control, logs de transacciones y reportes de errores. El objetivo principal de los controles de aplicación es asegurar: •Que el ingreso de los datos es exacto, completo, autorizado y correcto •Que los datos son procesos en tiempo oportuno •Los datos son almacenados de forma adecuada y completa •Que las salidas del sistema son adecuadas y completas •Que registros son mantenidos para realizar un seguimiento de las entradas y eventuales salidas del sistema.
HackingCorporativoControldeAplicaciones En este sentido pueden existir distintos tipos de controles de aplicación como ser: Controles de Ingreso: Los cuales son utilizados para mantener la integridad de los datos que son ingresados al sistema. Controles de Procesamiento: Estos controles, principalmente automáticos proveen una manera automática de asegurar que el procesamiento de las transacciones es completa, adecuado y autorizado. Controles de salida: Básicamente estos controles direccionan a que operaciones fueron realizadas con los datos. Y comparando también básicamente las salidas generadas con los ingresos realizados. Controles de integridad: Estos controles permitan verificar la integridad y consistencia de los datos procesados. Logs: Principalmente utilizados como “Audit Trail”, permiten a la gerencia identificar hechos inusuales para posterior investigar los mismos.
HackingCorporativoControldeAplicaciones Respondiendo las preguntas respecto al Contexto 1.- ¿Qué fallo? En la primera fase está claro que fallaron los sistemas de la empresa procesadora de tarjetas de crédito. El software fue el elemento clave en el ataque de los hackers, inclusive más importante que el hardware, ya que los sistemas están preparados y construidos con requerimientos funcionales desde las propias empresas. También al no existir controles de consistencia de datos es casi imposible poder demostrar empíricamente y en un corto periodo de tiempo que se está en una situación de riesgo en la información o en una situación de ataque o en una víspera de uno. Al contar con mecanismos que se permita prever con anticipación un ataque, mayor seguridad se aporta a la organización y a su modelo de negocio. Otros: •No existieron controles de cambio y validación de los sistemas. •Baja seguridad tanto a nivel de Software (1) como de Hardware (2) .
HackingCorporativoControldeAplicaciones 2.- ¿Por qué fallo? Fallo por que los proveedores de software y hardware internos como externos fueron incapaces de ver comportamientos poco previstos con frecuencia en las etapas 1 y 2. El exceso de confianza en sistemas críticos puede pasar la cuenta. No verse vulnerable es el gran error grave dentro del desarrollo de software y que no es considerado por la Ingeniería de Sistemas Clásica. Otros: •Esto sumado a terror a las consecuencias por el fallo, impidió la correcta comunicación entre las partes, permitiendo otro ataque. •Falta la previsión y posterior al ataque también se nota la larga brecha entre el ataque y la reparación de errores. •Cuando se construye un software se pueden ver los comportamientos que se desea tener a nivel de ingeniería de software en su ingeniería de requerimientos y ver cómo se comporta con respecto a un usuario que lo ocupa. •Existen diversas formas de analizar la información a este nivel, para ello existe el control de aplicación, y debió haberse ocupado de forma modular en todo el ciclo de vida del negocio desde un punto de vista ingenieril haciendo todas las pruebas necesarias.
HackingCorporativoControldeAplicaciones 3.- ¿Mecanismos de prevención y control que se debiesen implantar? Una buena práctica de prevención y control debería ser el uso de Controles generales del ambiente de cómputo, tanto para Hardware como para Software, en todas las infraestructuras que involucren el ciclo de vida del negocio a auditar: •Procedimientos y protocolos de contingencia. •Protocolos de comunicación y reparación. •Controles y definición de responsabilidad. •Protocolos de control de riesgos. •Acceso lógico sobre infraestructura, aplicaciones y datos. •Controles sobre el desarrollo y ciclo de vida de los aplicativos. •Controles sobre cambios a programas. •Controles sobre seguridad física en los centros de cómputos. •Backup de sistemas y controles de recuperación de datos. •Controles relacionados con operaciones computarizadas.
HackingCorporativoControldeAplicaciones 1.Para una evaluación de Riesgo completa debemos definir el universo Hardware, Software, Aplicaciones, bases de datos y tecnología de soporte que utilizan los controles de aplicación. 2.Como un segundo paso definir los factores de riesgo asociados con cada aplicación. Por ejemplo: ¿Es control clave? ¿El diseño es efectivo? ¿Es un software pre configurado o bien desarrollo propio? ¿La aplicación soporta más de un proceso crítica? ¿Cuál es la frecuencia de los cambios de la aplicación? ¿Cuál es la complejidad de los cambios? ¿Cuál es el impacto financiero? ¿Cuál es la efectividad de los controles generales? Todos estos elementos ponderados terminarán dando para cada aplicación un total que determinará el ranking del nivel de riesgo para cada aplicación, considerando tanto factores cuantitativos como cualitativos, como por ejemplo: -Controles con Bajo, medio o alto impacto ó Por ejemplo 1= Control fuerte a 5= inadecuado control Una vez rankeadas todas las aplicaciones, y evaluado los resultados, debemos generar un plan de acción basado en la evaluación de riesgos enunciada anteriormente, que tienda a mitigar los riesgos asociados con las aplicaciones que tuvieron un mayor score en el ranking.
Conclusiones Este trabajo para nosotros a sido muy importante, ya que nos ayuda concretamente en nuestros proyectos informáticos, haciéndonos participar del aprendizaje de una auditoria real y concreta de software o hardware. Incluso podemos incorporar este tema del control de aplicaciones en nuestro trabajo, en nuestros proyectos de estudio o práctica profesional.
Gracias

Recomendados

Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria InformaticaLuz Fa Calderòn
 
Contr teleprocesamiento
Contr teleprocesamientoContr teleprocesamiento
Contr teleprocesamientofredcascas
 
Eje tematico3. entradas de sistemas de informacion
Eje tematico3. entradas de sistemas de informacionEje tematico3. entradas de sistemas de informacion
Eje tematico3. entradas de sistemas de informacionJulian Uasapud
 
Aspectos que guían el diseño de entradas grupo 3 (2)
Aspectos que guían el diseño de entradas grupo 3 (2)Aspectos que guían el diseño de entradas grupo 3 (2)
Aspectos que guían el diseño de entradas grupo 3 (2)dicabeca
 
Diseño de entradas y controles
Diseño de entradas y controlesDiseño de entradas y controles
Diseño de entradas y controlesmecelisperez
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoUniciencia
 
Exposición Grupo 3
Exposición Grupo 3Exposición Grupo 3
Exposición Grupo 3CAROLINA
 
Fase ii entradas y controles del sistema
Fase ii entradas y controles del sistemaFase ii entradas y controles del sistema
Fase ii entradas y controles del sistemaberoroka
 

Recomendados

Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria InformaticaLuz Fa Calderòn
 
Contr teleprocesamiento
Contr teleprocesamientoContr teleprocesamiento
Contr teleprocesamientofredcascas
 
Eje tematico3. entradas de sistemas de informacion
Eje tematico3. entradas de sistemas de informacionEje tematico3. entradas de sistemas de informacion
Eje tematico3. entradas de sistemas de informacionJulian Uasapud
 
Aspectos que guían el diseño de entradas grupo 3 (2)
Aspectos que guían el diseño de entradas grupo 3 (2)Aspectos que guían el diseño de entradas grupo 3 (2)
Aspectos que guían el diseño de entradas grupo 3 (2)dicabeca
 
Diseño de entradas y controles
Diseño de entradas y controlesDiseño de entradas y controles
Diseño de entradas y controlesmecelisperez
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoUniciencia
 
Exposición Grupo 3
Exposición Grupo 3Exposición Grupo 3
Exposición Grupo 3CAROLINA
 
Fase ii entradas y controles del sistema
Fase ii entradas y controles del sistemaFase ii entradas y controles del sistema
Fase ii entradas y controles del sistemaberoroka
 
Diseño de entradas y controles del sistema grupo 3 (1)
Diseño de entradas y controles del sistema grupo 3 (1)Diseño de entradas y controles del sistema grupo 3 (1)
Diseño de entradas y controles del sistema grupo 3 (1)dicabeca
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNFinancieros2008
 
12-Unidad 3 : Prácticas de Auditoría 3.3 Auditoría a Aplicaciones
12-Unidad 3 : Prácticas de Auditoría 3.3 Auditoría a Aplicaciones12-Unidad 3 : Prácticas de Auditoría 3.3 Auditoría a Aplicaciones
12-Unidad 3 : Prácticas de Auditoría 3.3 Auditoría a AplicacionesLuis Fernando Aguas Bucheli
 
Diseño de Entradas
Diseño de EntradasDiseño de Entradas
Diseño de EntradasJHector Bl
 
Auditoria de Sistemas
Auditoria de SistemasAuditoria de Sistemas
Auditoria de SistemasAxelCmbara
 
Analisis de sistema
Analisis de sistemaAnalisis de sistema
Analisis de sistemael_musico
 
Diseño de entraday_salida
Diseño de entraday_salidaDiseño de entraday_salida
Diseño de entraday_salidaJorge Garcia
 
Requerimientos del sistema
Requerimientos del sistemaRequerimientos del sistema
Requerimientos del sistemaJorge Yepez Espinoza
 
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAC:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAXimena Williams
 
S6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesS6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesLuis Fernando Aguas Bucheli
 
Unidad 3
Unidad 3Unidad 3
Unidad 3ssanabrias
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraLuis Fernando Aguas Bucheli
 
Aspectos que gu+ìan el dise+æo de entradas grupo 3
Aspectos que gu+ìan el dise+æo de entradas grupo 3Aspectos que gu+ìan el dise+æo de entradas grupo 3
Aspectos que gu+ìan el dise+æo de entradas grupo 3alejoliverosr
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemascarloscv
 
Presentacion auditoria informatica
Presentacion auditoria informaticaPresentacion auditoria informatica
Presentacion auditoria informaticajairogordon
 
Auditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxAuditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxRamón Alexander Paula Reynoso
 
01 7n2is triptico tecnica-de-captura-de-datos
01 7n2is triptico tecnica-de-captura-de-datos01 7n2is triptico tecnica-de-captura-de-datos
01 7n2is triptico tecnica-de-captura-de-datosManuel Mujica
 
Auditoria informatica 12
Auditoria informatica 12Auditoria informatica 12
Auditoria informatica 121401201014052012
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redesCarloz Kaztro
 
Diseño de Entradas
Diseño de EntradasDiseño de Entradas
Diseño de Entradastematico4
 
Diseño de una entrada Eficaz (Analisis y diseño)
Diseño de una entrada Eficaz (Analisis y diseño)Diseño de una entrada Eficaz (Analisis y diseño)
Diseño de una entrada Eficaz (Analisis y diseño)ĦecŦor Rxmiirez
 
Proyecto sicas sena
Proyecto sicas senaProyecto sicas sena
Proyecto sicas senaDiana Ruiz
 

Más contenido relacionado

La actualidad más candente

Diseño de entradas y controles del sistema grupo 3 (1)
Diseño de entradas y controles del sistema grupo 3 (1)Diseño de entradas y controles del sistema grupo 3 (1)
Diseño de entradas y controles del sistema grupo 3 (1)dicabeca
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNFinancieros2008
 
12-Unidad 3 : Prácticas de Auditoría 3.3 Auditoría a Aplicaciones
12-Unidad 3 : Prácticas de Auditoría 3.3 Auditoría a Aplicaciones12-Unidad 3 : Prácticas de Auditoría 3.3 Auditoría a Aplicaciones
12-Unidad 3 : Prácticas de Auditoría 3.3 Auditoría a AplicacionesLuis Fernando Aguas Bucheli
 
Diseño de Entradas
Diseño de EntradasDiseño de Entradas
Diseño de EntradasJHector Bl
 
Auditoria de Sistemas
Auditoria de SistemasAuditoria de Sistemas
Auditoria de SistemasAxelCmbara
 
Analisis de sistema
Analisis de sistemaAnalisis de sistema
Analisis de sistemael_musico
 
Diseño de entraday_salida
Diseño de entraday_salidaDiseño de entraday_salida
Diseño de entraday_salidaJorge Garcia
 
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAC:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAXimena Williams
 
Aspectos que gu+ìan el dise+æo de entradas grupo 3
Aspectos que gu+ìan el dise+æo de entradas grupo 3Aspectos que gu+ìan el dise+æo de entradas grupo 3
Aspectos que gu+ìan el dise+æo de entradas grupo 3alejoliverosr
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemascarloscv
 
Presentacion auditoria informatica
Presentacion auditoria informaticaPresentacion auditoria informatica
Presentacion auditoria informaticajairogordon
 
Auditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxAuditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxRamón Alexander Paula Reynoso
 
01 7n2is triptico tecnica-de-captura-de-datos
01 7n2is triptico tecnica-de-captura-de-datos01 7n2is triptico tecnica-de-captura-de-datos
01 7n2is triptico tecnica-de-captura-de-datosManuel Mujica
 

La actualidad más candente (19)

Diseño de entradas y controles del sistema grupo 3 (1)
Diseño de entradas y controles del sistema grupo 3 (1)Diseño de entradas y controles del sistema grupo 3 (1)
Diseño de entradas y controles del sistema grupo 3 (1)
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
 
12-Unidad 3 : Prácticas de Auditoría 3.3 Auditoría a Aplicaciones
12-Unidad 3 : Prácticas de Auditoría 3.3 Auditoría a Aplicaciones12-Unidad 3 : Prácticas de Auditoría 3.3 Auditoría a Aplicaciones
12-Unidad 3 : Prácticas de Auditoría 3.3 Auditoría a Aplicaciones
 
Diseño de Entradas
Diseño de EntradasDiseño de Entradas
Diseño de Entradas
 
Auditoria de Sistemas
Auditoria de SistemasAuditoria de Sistemas
Auditoria de Sistemas
 
Analisis de sistema
Analisis de sistemaAnalisis de sistema
Analisis de sistema
 
Diseño de entraday_salida
Diseño de entraday_salidaDiseño de entraday_salida
Diseño de entraday_salida
 
Requerimientos del sistema
Requerimientos del sistemaRequerimientos del sistema
Requerimientos del sistema
 
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAC:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
 
S6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesS6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en Aplicaciones
 
Unidad 3
Unidad 3Unidad 3
Unidad 3
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
 
Aspectos que gu+ìan el dise+æo de entradas grupo 3
Aspectos que gu+ìan el dise+æo de entradas grupo 3Aspectos que gu+ìan el dise+æo de entradas grupo 3
Aspectos que gu+ìan el dise+æo de entradas grupo 3
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemas
 
Presentacion auditoria informatica
Presentacion auditoria informaticaPresentacion auditoria informatica
Presentacion auditoria informatica
 
Auditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxAuditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptx
 
01 7n2is triptico tecnica-de-captura-de-datos
01 7n2is triptico tecnica-de-captura-de-datos01 7n2is triptico tecnica-de-captura-de-datos
01 7n2is triptico tecnica-de-captura-de-datos
 
Auditoria informatica 12
Auditoria informatica 12Auditoria informatica 12
Auditoria informatica 12
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redes
 

Destacado

Diseño de Entradas
Diseño de EntradasDiseño de Entradas
Diseño de Entradastematico4
 
Diseño de una entrada Eficaz (Analisis y diseño)
Diseño de una entrada Eficaz (Analisis y diseño)Diseño de una entrada Eficaz (Analisis y diseño)
Diseño de una entrada Eficaz (Analisis y diseño)ĦecŦor Rxmiirez
 
Proyecto sicas sena
Proyecto sicas senaProyecto sicas sena
Proyecto sicas senaDiana Ruiz
 
las aplicaciones en las empresas
las aplicaciones en las empresaslas aplicaciones en las empresas
las aplicaciones en las empresasTECNICO CAYAMBE
 
Diseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistemaDiseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistemaFernando Kano
 
Metodos de entrada y Salida
Metodos de entrada y SalidaMetodos de entrada y Salida
Metodos de entrada y SalidaCristian Andres
 
Controles de seguridad
Controles de seguridadControles de seguridad
Controles de seguridadVeidaDamara
 
Guia de aprendizaje unidad 1 Sena Virtual
Guia de aprendizaje unidad 1 Sena VirtualGuia de aprendizaje unidad 1 Sena Virtual
Guia de aprendizaje unidad 1 Sena VirtualChiko Vera
 
Delitos informaticos y delitos computacionales
Delitos informaticos y delitos computacionalesDelitos informaticos y delitos computacionales
Delitos informaticos y delitos computacionalesraulinhocrew
 
Trabajo de planificacion
Trabajo de planificacionTrabajo de planificacion
Trabajo de planificacionLorena Nuñez
 
Seguridad en sistemas de información
Seguridad en sistemas de informaciónSeguridad en sistemas de información
Seguridad en sistemas de informaciónBiblioteca EEA
 
Presentacion constructicons auditoria aplicacion
Presentacion constructicons auditoria aplicacionPresentacion constructicons auditoria aplicacion
Presentacion constructicons auditoria aplicacionGregory Moronta
 
Auditoria De La Ofimatica
Auditoria De La OfimaticaAuditoria De La Ofimatica
Auditoria De La Ofimaticaguestbb37f8
 

Destacado (20)

Diseño de Entradas
Diseño de EntradasDiseño de Entradas
Diseño de Entradas
 
Diseño de una entrada Eficaz (Analisis y diseño)
Diseño de una entrada Eficaz (Analisis y diseño)Diseño de una entrada Eficaz (Analisis y diseño)
Diseño de una entrada Eficaz (Analisis y diseño)
 
Proyecto sicas sena
Proyecto sicas senaProyecto sicas sena
Proyecto sicas sena
 
las aplicaciones en las empresas
las aplicaciones en las empresaslas aplicaciones en las empresas
las aplicaciones en las empresas
 
Diseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistemaDiseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistema
 
Delitos informáticos y terrorismo computacional
Delitos informáticos y terrorismo computacionalDelitos informáticos y terrorismo computacional
Delitos informáticos y terrorismo computacional
 
Metodos de entrada y Salida
Metodos de entrada y SalidaMetodos de entrada y Salida
Metodos de entrada y Salida
 
Controles de seguridad
Controles de seguridadControles de seguridad
Controles de seguridad
 
Guia de aprendizaje unidad 1 Sena Virtual
Guia de aprendizaje unidad 1 Sena VirtualGuia de aprendizaje unidad 1 Sena Virtual
Guia de aprendizaje unidad 1 Sena Virtual
 
CLASE1TLP
CLASE1TLPCLASE1TLP
CLASE1TLP
 
Delitos informaticos y delitos computacionales
Delitos informaticos y delitos computacionalesDelitos informaticos y delitos computacionales
Delitos informaticos y delitos computacionales
 
Logs y auditoría
Logs y auditoríaLogs y auditoría
Logs y auditoría
 
Trabajo de planificacion
Trabajo de planificacionTrabajo de planificacion
Trabajo de planificacion
 
Seguridad en sistemas de información
Seguridad en sistemas de informaciónSeguridad en sistemas de información
Seguridad en sistemas de información
 
Presentacion constructicons auditoria aplicacion
Presentacion constructicons auditoria aplicacionPresentacion constructicons auditoria aplicacion
Presentacion constructicons auditoria aplicacion
 
Qué es STAFF?
Qué es STAFF?Qué es STAFF?
Qué es STAFF?
 
Sena Actividad 2 3
Sena Actividad 2 3Sena Actividad 2 3
Sena Actividad 2 3
 
Auditoria en aplicaciones web
Auditoria en aplicaciones webAuditoria en aplicaciones web
Auditoria en aplicaciones web
 
Ensayo auditoria de sistemas
Ensayo auditoria de sistemasEnsayo auditoria de sistemas
Ensayo auditoria de sistemas
 
Auditoria De La Ofimatica
Auditoria De La OfimaticaAuditoria De La Ofimatica
Auditoria De La Ofimatica
 

Similar a Control de Aplicaciones - Hacking Corporativo - Auditoria Computacional

Introduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complementoIntroduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complementoingenierocj
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 
1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?Meztli Valeriano Orozco
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaPetter Lopez
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informaticaAd Ad
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticarubicolimba
 
Auditoría informática 1...
Auditoría informática 1...Auditoría informática 1...
Auditoría informática 1...rubicolimba
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
Areas de la auditoria p1
Areas de la auditoria p1Areas de la auditoria p1
Areas de la auditoria p1giseela_ledesma
 
Planeación de la auditoría de sistemas
Planeación de la auditoría de sistemasPlaneación de la auditoría de sistemas
Planeación de la auditoría de sistemasJennifer Lopez
 

Similar a Control de Aplicaciones - Hacking Corporativo - Auditoria Computacional (20)

Introduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complementoIntroduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complemento
 
Auditorias Informáticas
Auditorias InformáticasAuditorias Informáticas
Auditorias Informáticas
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 
1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?
 
Análisis de riesgos
Análisis de riesgosAnálisis de riesgos
Análisis de riesgos
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
AUDITORIA
AUDITORIAAUDITORIA
AUDITORIA
 
Auditoria1
Auditoria1Auditoria1
Auditoria1
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informatica
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informática
 
Auditoría informática 1...
Auditoría informática 1...Auditoría informática 1...
Auditoría informática 1...
 
ASI
ASIASI
ASI
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del software
 
Areas de la auditoria p1
Areas de la auditoria p1Areas de la auditoria p1
Areas de la auditoria p1
 
Planeación de la auditoría de sistemas
Planeación de la auditoría de sistemasPlaneación de la auditoría de sistemas
Planeación de la auditoría de sistemas
 

Más de Juan Astudillo

Petya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetyaPetya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetyaJuan Astudillo
 
Mejora de Rendimiento y Aceleración de Microsoft Excel
Mejora de Rendimiento y Aceleración de Microsoft ExcelMejora de Rendimiento y Aceleración de Microsoft Excel
Mejora de Rendimiento y Aceleración de Microsoft ExcelJuan Astudillo
 
Ransonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus InformáticoRansonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus InformáticoJuan Astudillo
 
JavaScript pilas (Stacks) y colas (Queues) 2
JavaScript pilas (Stacks) y colas (Queues) 2JavaScript pilas (Stacks) y colas (Queues) 2
JavaScript pilas (Stacks) y colas (Queues) 2Juan Astudillo
 
Introducción a la Medición de Sistemas (Moore y Amdhal)
Introducción a la Medición de Sistemas (Moore y Amdhal)Introducción a la Medición de Sistemas (Moore y Amdhal)
Introducción a la Medición de Sistemas (Moore y Amdhal)Juan Astudillo
 
Comandos Powershell Backup Restore SPSite
Comandos Powershell Backup Restore SPSiteComandos Powershell Backup Restore SPSite
Comandos Powershell Backup Restore SPSiteJuan Astudillo
 
Limpiar Windows, Internet Explorer y Chrome
Limpiar Windows, Internet Explorer y ChromeLimpiar Windows, Internet Explorer y Chrome
Limpiar Windows, Internet Explorer y ChromeJuan Astudillo
 
Acercamiento a BPMN - Instalacion y configuracion Bonita
Acercamiento a BPMN - Instalacion y configuracion BonitaAcercamiento a BPMN - Instalacion y configuracion Bonita
Acercamiento a BPMN - Instalacion y configuracion BonitaJuan Astudillo
 
Java Arreglos y Matrices
Java Arreglos y MatricesJava Arreglos y Matrices
Java Arreglos y MatricesJuan Astudillo
 
Comandos Powershell para Sharepoint 2010
Comandos Powershell para Sharepoint 2010Comandos Powershell para Sharepoint 2010
Comandos Powershell para Sharepoint 2010Juan Astudillo
 
Java pilas (Stacks) y colas (Queues)
Java pilas (Stacks) y colas (Queues)Java pilas (Stacks) y colas (Queues)
Java pilas (Stacks) y colas (Queues)Juan Astudillo
 
Activación servicios Windows para replicación MSSQL Server 2005
Activación servicios Windows para replicación MSSQL Server 2005 Activación servicios Windows para replicación MSSQL Server 2005
Activación servicios Windows para replicación MSSQL Server 2005 Juan Astudillo
 
Instalación y configuración Mysql Xampp
Instalación y configuración Mysql XamppInstalación y configuración Mysql Xampp
Instalación y configuración Mysql XamppJuan Astudillo
 
Instalación y configuración Mysql Server Federado 5.5.33
Instalación y configuración Mysql Server Federado 5.5.33Instalación y configuración Mysql Server Federado 5.5.33
Instalación y configuración Mysql Server Federado 5.5.33Juan Astudillo
 

Más de Juan Astudillo (19)

Introducción a Scrum
Introducción a ScrumIntroducción a Scrum
Introducción a Scrum
 
Petya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetyaPetya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetya
 
Mejora de Rendimiento y Aceleración de Microsoft Excel
Mejora de Rendimiento y Aceleración de Microsoft ExcelMejora de Rendimiento y Aceleración de Microsoft Excel
Mejora de Rendimiento y Aceleración de Microsoft Excel
 
Ransonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus InformáticoRansonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus Informático
 
JavaScript pilas (Stacks) y colas (Queues) 2
JavaScript pilas (Stacks) y colas (Queues) 2JavaScript pilas (Stacks) y colas (Queues) 2
JavaScript pilas (Stacks) y colas (Queues) 2
 
Introducción a la Medición de Sistemas (Moore y Amdhal)
Introducción a la Medición de Sistemas (Moore y Amdhal)Introducción a la Medición de Sistemas (Moore y Amdhal)
Introducción a la Medición de Sistemas (Moore y Amdhal)
 
Java & Strings
Java & StringsJava & Strings
Java & Strings
 
Java y Matematicas
Java y MatematicasJava y Matematicas
Java y Matematicas
 
Comandos Powershell Backup Restore SPSite
Comandos Powershell Backup Restore SPSiteComandos Powershell Backup Restore SPSite
Comandos Powershell Backup Restore SPSite
 
Limpiar Windows, Internet Explorer y Chrome
Limpiar Windows, Internet Explorer y ChromeLimpiar Windows, Internet Explorer y Chrome
Limpiar Windows, Internet Explorer y Chrome
 
Acercamiento a BPMN - Instalacion y configuracion Bonita
Acercamiento a BPMN - Instalacion y configuracion BonitaAcercamiento a BPMN - Instalacion y configuracion Bonita
Acercamiento a BPMN - Instalacion y configuracion Bonita
 
Python Pilas y Colas
Python Pilas y ColasPython Pilas y Colas
Python Pilas y Colas
 
Java Arreglos y Matrices
Java Arreglos y MatricesJava Arreglos y Matrices
Java Arreglos y Matrices
 
Comandos Powershell para Sharepoint 2010
Comandos Powershell para Sharepoint 2010Comandos Powershell para Sharepoint 2010
Comandos Powershell para Sharepoint 2010
 
Java pilas (Stacks) y colas (Queues)
Java pilas (Stacks) y colas (Queues)Java pilas (Stacks) y colas (Queues)
Java pilas (Stacks) y colas (Queues)
 
Introduccion a Java
Introduccion a JavaIntroduccion a Java
Introduccion a Java
 
Activación servicios Windows para replicación MSSQL Server 2005
Activación servicios Windows para replicación MSSQL Server 2005 Activación servicios Windows para replicación MSSQL Server 2005
Activación servicios Windows para replicación MSSQL Server 2005
 
Instalación y configuración Mysql Xampp
Instalación y configuración Mysql XamppInstalación y configuración Mysql Xampp
Instalación y configuración Mysql Xampp
 
Instalación y configuración Mysql Server Federado 5.5.33
Instalación y configuración Mysql Server Federado 5.5.33Instalación y configuración Mysql Server Federado 5.5.33
Instalación y configuración Mysql Server Federado 5.5.33
 

Último

Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramDIDIERFERNANDOGUERRE
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 

Último (20)

Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ram
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 

Control de Aplicaciones - Hacking Corporativo - Auditoria Computacional

  • 3. HackingCorporativoControldeAplicaciones Contexto Principal Fase 1: infiltración y aumento límite de retiro de las cuentas de débito En el primer robo, los hackers pudieron infiltrar el sistema de una compañía de procesamiento de tarjetas de crédito india que maneja las tarjetas de débito prepagadas Visa y MasterCard. Los hackers procedieron a elevar los límites de retiro en las cuentas de débito MasterCard prepagadas que son emitidas por el Banco Nacional de Ras Al-Khaimah, con sede en los Emiratos Árabes Unidos.
  • 4. HackingCorporativoControldeAplicaciones Fase 1: infiltración y aumento límite de retiro de las cuentas de débito
  • 5. HackingCorporativoControldeAplicaciones Fase 2: distribución y clonación de tarjetas Al eliminar los límites de retiro, “incluso unos pocos números de cuentas bancarias comprometidas pueden significar enormes pérdidas financieras para la institución víctima”, señala el documento. Con cinco números de cuenta a mano, los hackers distribuyeron la información a individuos en 20 países, quienes luego codificaron la información en tarjetas con huincha magnética.
  • 7. HackingCorporativoControldeAplicaciones Fase 3: utilización tarjetas clonadas El 21 de diciembre, los “equipos del efectivo” hicieron 4.500 transacciones en los cajeros automáticos en todo el mundo, con lo que robaron US$ 5 millones.
  • 10. HackingCorporativoControldeAplicaciones Los Controles de aplicación son aquellos controles que son aplicables para un determinado proceso de negocio o aplicación, entre ellos podemos encontrar la edición de registros, segregación de funciones, totales de control, logs de transacciones y reportes de errores. El objetivo principal de los controles de aplicación es asegurar: •Que el ingreso de los datos es exacto, completo, autorizado y correcto •Que los datos son procesos en tiempo oportuno •Los datos son almacenados de forma adecuada y completa •Que las salidas del sistema son adecuadas y completas •Que registros son mantenidos para realizar un seguimiento de las entradas y eventuales salidas del sistema.
  • 11. HackingCorporativoControldeAplicaciones En este sentido pueden existir distintos tipos de controles de aplicación como ser: Controles de Ingreso: Los cuales son utilizados para mantener la integridad de los datos que son ingresados al sistema. Controles de Procesamiento: Estos controles, principalmente automáticos proveen una manera automática de asegurar que el procesamiento de las transacciones es completa, adecuado y autorizado. Controles de salida: Básicamente estos controles direccionan a que operaciones fueron realizadas con los datos. Y comparando también básicamente las salidas generadas con los ingresos realizados. Controles de integridad: Estos controles permitan verificar la integridad y consistencia de los datos procesados. Logs: Principalmente utilizados como “Audit Trail”, permiten a la gerencia identificar hechos inusuales para posterior investigar los mismos.
  • 12. HackingCorporativoControldeAplicaciones Respondiendo las preguntas respecto al Contexto 1.- ¿Qué fallo? En la primera fase está claro que fallaron los sistemas de la empresa procesadora de tarjetas de crédito. El software fue el elemento clave en el ataque de los hackers, inclusive más importante que el hardware, ya que los sistemas están preparados y construidos con requerimientos funcionales desde las propias empresas. También al no existir controles de consistencia de datos es casi imposible poder demostrar empíricamente y en un corto periodo de tiempo que se está en una situación de riesgo en la información o en una situación de ataque o en una víspera de uno. Al contar con mecanismos que se permita prever con anticipación un ataque, mayor seguridad se aporta a la organización y a su modelo de negocio. Otros: •No existieron controles de cambio y validación de los sistemas. •Baja seguridad tanto a nivel de Software (1) como de Hardware (2) .
  • 13. HackingCorporativoControldeAplicaciones 2.- ¿Por qué fallo? Fallo por que los proveedores de software y hardware internos como externos fueron incapaces de ver comportamientos poco previstos con frecuencia en las etapas 1 y 2. El exceso de confianza en sistemas críticos puede pasar la cuenta. No verse vulnerable es el gran error grave dentro del desarrollo de software y que no es considerado por la Ingeniería de Sistemas Clásica. Otros: •Esto sumado a terror a las consecuencias por el fallo, impidió la correcta comunicación entre las partes, permitiendo otro ataque. •Falta la previsión y posterior al ataque también se nota la larga brecha entre el ataque y la reparación de errores. •Cuando se construye un software se pueden ver los comportamientos que se desea tener a nivel de ingeniería de software en su ingeniería de requerimientos y ver cómo se comporta con respecto a un usuario que lo ocupa. •Existen diversas formas de analizar la información a este nivel, para ello existe el control de aplicación, y debió haberse ocupado de forma modular en todo el ciclo de vida del negocio desde un punto de vista ingenieril haciendo todas las pruebas necesarias.
  • 14. HackingCorporativoControldeAplicaciones 3.- ¿Mecanismos de prevención y control que se debiesen implantar? Una buena práctica de prevención y control debería ser el uso de Controles generales del ambiente de cómputo, tanto para Hardware como para Software, en todas las infraestructuras que involucren el ciclo de vida del negocio a auditar: •Procedimientos y protocolos de contingencia. •Protocolos de comunicación y reparación. •Controles y definición de responsabilidad. •Protocolos de control de riesgos. •Acceso lógico sobre infraestructura, aplicaciones y datos. •Controles sobre el desarrollo y ciclo de vida de los aplicativos. •Controles sobre cambios a programas. •Controles sobre seguridad física en los centros de cómputos. •Backup de sistemas y controles de recuperación de datos. •Controles relacionados con operaciones computarizadas.
  • 15. HackingCorporativoControldeAplicaciones 1.Para una evaluación de Riesgo completa debemos definir el universo Hardware, Software, Aplicaciones, bases de datos y tecnología de soporte que utilizan los controles de aplicación. 2.Como un segundo paso definir los factores de riesgo asociados con cada aplicación. Por ejemplo: ¿Es control clave? ¿El diseño es efectivo? ¿Es un software pre configurado o bien desarrollo propio? ¿La aplicación soporta más de un proceso crítica? ¿Cuál es la frecuencia de los cambios de la aplicación? ¿Cuál es la complejidad de los cambios? ¿Cuál es el impacto financiero? ¿Cuál es la efectividad de los controles generales? Todos estos elementos ponderados terminarán dando para cada aplicación un total que determinará el ranking del nivel de riesgo para cada aplicación, considerando tanto factores cuantitativos como cualitativos, como por ejemplo: -Controles con Bajo, medio o alto impacto ó Por ejemplo 1= Control fuerte a 5= inadecuado control Una vez rankeadas todas las aplicaciones, y evaluado los resultados, debemos generar un plan de acción basado en la evaluación de riesgos enunciada anteriormente, que tienda a mitigar los riesgos asociados con las aplicaciones que tuvieron un mayor score en el ranking.
  • 16. Conclusiones Este trabajo para nosotros a sido muy importante, ya que nos ayuda concretamente en nuestros proyectos informáticos, haciéndonos participar del aprendizaje de una auditoria real y concreta de software o hardware. Incluso podemos incorporar este tema del control de aplicaciones en nuestro trabajo, en nuestros proyectos de estudio o práctica profesional.