UNEG-AS 2012-Pres7: Procesamieno distribuido y Redes
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
1. Universidad Nacional Experimental de Guayana
Proyecto de Carrera: Ingeniería en Informática
Asignatura: Auditoria y Evaluación de Sistemas
Profesor:
Carlos Guevara
Integrantes:
Márquez, Rosmary
C.I.: 17.218.644
Rojas, Oswaldo
C.I.: 17.632.861
Sánchez, Loreany
C.I.: 17.410.317
Ciudad Guayana, Mayo del 2012
2. Controles Internos para la Seguridad en el Área de Sistemas
INDICE
CAPITULO I. MARCO CONCEPTUAL
INTRODUCCION 3
PLANTEAMIENTO DEL PROBLEMA 4
OBJETIVOS 5
JUSTIFICACION 6
PLANIFICACION 7
MARCO TEORICO 9
Definiciones Previas 9
Controles internos para la seguridad en el área de sistemas: Mecanismos de detección y
prevención de pérdidas y fraudes 11
CAPITULO II. METODOLOGIA
DISEÑO DE INVESTIGACION 21
HERRAMIENTAS UTILIZADAS 21
ESTRATEGIAS DE BUSQUEDA DE INFORMACION 22
CONCLUSIONES 25
FUENTES BIBLIOGRAFICAS 26
2
3. Controles Internos para la Seguridad en el Área de Sistemas
CAPITULO I
MARCO CONCEPTUAL
INTRODUCCION
Las constantes preocupaciones por reincidencias de fallas en los procesos, fraudes o malos
entendidos, el conformismo de ciertos directivos y empleados en obtener solamente lo suficiente
para pagar sus facturas; no preocupándoles la dirección empresarial ni el futuro de la empresa; y
sí le agregamos la falencia propia por falta de control interno operativo de la empresa, entonces la
probabilidad de que se incurran en pérdida patrimonial será cada vez más acertada.
Al evaluar en forma integral los procesos de control interno para luego tomar las medidas
pertinentes que eviten incompatibilidades, conflictos de interese, reserva de la información, y
mitiguen los riesgos de fraudes y errores operativos, financieros y legales.
Controlar es sinónimo de evaluar gestión, pero las organizaciones de hoy manejan negocios muy
diferentes a los del siglo pasado, así mismo sus infraestructuras tienden a ser virtuales y por ello
se requiere fomentar el auto-control mediante la concientización, la motivación y la ética
empresarial, es lo que en la actualidad se denomina ambiente de control.
El control Interno comprende el plan de la organización y el conjunto de métodos y medidas
adoptadas dentro de una entidad para salvaguardar sus recursos (Activos), verificar la exactitud y
veracidad de su información financiera y administrativa, promover la eficiencia, eficacia, y
efectividad en las operaciones, estimula la observación de las políticas prescrita e impulsa el
cumplimiento de las metas y objetivos programados; ya que el control interno es una
responsabilidad de todos los integrantes de la organización.
La seguridad de los recursos informáticos, del personal, de la información, de sus programas,
entre otros elementos componente del sistema de una empresa, se puede lograr a través de
medidas preventivas o correctivas, o mediante el diseño de programas de prevención de
contingencias para la disminución de riesgos.
3
4. Controles Internos para la Seguridad en el Área de Sistemas
PLANTEAMIENTO DEL PROBLEMA
En la cátedra de Auditoría y Control de Sistemas impartida en la Universidad Nacional
Experimental De Guayana, UNEG, se busca preparar al estudiante de la carrera Ingeniería en
Informática en lo que es el control del manejo y seguridad de la información, para ello se
exponen diversos temas relacionados que permiten llegar a este fin, pero dichos temas finalmente
quedan en manos de las personas que ofrecen y asisten a las clases lo que hace que para los
siguientes semestres se maneje la misma información que con el paso del tiempo tiende hacerse
muy pobre y escasa.
4
5. Controles Internos para la Seguridad en el Área de Sistemas
OBJETIVOS
Objetivo General del Proyecto
Desarrollar un portal web que sirva de alojamiento y permita la visualización de los contenidos
multimedia generados en el curso de Auditoría y Evaluación de Sistemas, sirviendo de referencia
para la búsqueda de información por parte de profesionales o personas con actividades afines a la
cátedra.
Objetivo General de la Investigación
Establecer mecanismos para la detección y prevención de pérdidas y fraudes haciendo uso de
controles internos para la seguridad en el área de sistemas.
Objetivos Específicos del Proyecto
Definir el nombre, la estructura organizativa y pautas generales del proyecto.
Crear un plan de trabajo para monitorear el trabajo. Analizar y escoger la plataforma de
desarrollo web que mejor satisfaga la necesidad con los recursos disponibles.
Establecer el formato y la diagramación de los temas para el sitio web.
Diseñar una interfaz sencilla y cómoda para la visualización del contenido.
Preparar la ponencia del producto.
Presentar el producto en las VII Jornadas de Investigación Institucional UNEG.
Objetivos Específicos de la Investigación
Recopilar la Información referente a los Controles de Internos en el Área de Sistemas.
Establecer cuáles son los mecanismos de Control Interno en el Área de Sistemas.
Determinar cuál es el mecanismo de Control Interno más apropiado para evitar fraudes y
pérdida de información en el Área de Sistemas.
Elaborar un medio de presentación de los resultados obtenidos.
5
6. Controles Internos para la Seguridad en el Área de Sistemas
JUSTIFICACION
En este semestre en la asignatura de Auditoría y Control de Sistemas de la carrera Ingeniera en
Informática de la UNEG, se tomó la iniciativa de que los temas que se dictan en clases se
conservaran de manera de que las futuras generaciones tuviesen un medio al cual acudir para
recolectar un poco de información o simplemente hacer lectura de los temas relevantes en esta
materia, para ellos se realizará la elaboración de una página web donde estarán expuestos todo lo
relacionado con la asignatura.
Es por esto, que el informe que se desarrolla a continuación estará destinado a servir de
argumento para las generaciones venideras que desean aplicar estudios sobre la Auditoría y
Control de Sistemas, y más específicamente en el Control Interno de Seguridad en el Área de
Sistemas.
6
7. Controles Internos para la Seguridad en el Área de Sistemas
PLANIFICACION
Objetivo General: Presentar una Página Web que contenga la Información completa sobre la
Asignatura con participación de cada estudiante.
Fecha de Inicio: 14 de Abril.
Fecha de Finalización: 04 de Junio del 2012
Duración (Semanas)
Objetivos Específicos Tareas a Realizar
1 2 3 4 5 6 7 8
Revisar de bibliografías para la
obtención de Información X
Recopilar la Información
Análisis de la Información
referente a los Controles de
Recopilada X
Internos
Selección de la Información
relevante al tema X
Definir el objetivo general y los
objetivos específicos X
Determinar el alcance de nuestra
Establecer la estructura investigación X
básica del Informe de Realizar la Planificación
Investigación detallada de la Investigación X
Explicar detalladamente en el
Informe el procedimiento a
seguir para realizar la Auditoría X X X
Diseñar la Presentación Diseñar la estructura de la
representativa del Informe de presentación, acorde al tema. X X
7
8. Controles Internos para la Seguridad en el Área de Sistemas
Investigación Resumir el tema determinando
los puntos relevantes del Informe X X
Representar gráficamente lo que
se quiere explicar para que sea
entendible para todos. X X
Exponer cada concepto y los
procedimientos a seguir para
explicar el tema correspondiente X X
Recolectar las herramientas
necesarias para hacer la filmación X X
Seleccionar los puntos relevantes
Elaborar Video que se expondrán en el video X X
representativo del Tema
seleccionado Realizar la filmación X
Editar el video para que sea
compatible con los parámetros
establecidos para la página web X X
Ajustar el Informe y el Video a
los parámetros requeridos para su
publicación X X
Compartir la Información Entregar a los responsables de la
página web el trabajo realizado
para que sea accesible al resto del
grupo X X
8
9. Controles Internos para la Seguridad en el Área de Sistemas
MARCO TEORICO
Definiciones Previas
Sistema: conjunto de partes o elementos organizados y relacionados que interactúan entre
sí para lograr un objetivo. Los sistemas reciben (entrada) datos, energía o materia del
ambiente y proveen (salida) información, energía o materia. Un sistema puede ser físico o
concreto (una computadora, un televisor, un humano) o puede ser abstracto o conceptual
(un software).
Control: es una etapa primordial en la administración, pues, aunque una empresa cuente
con magníficos planes, una estructura organizacional adecuada y una dirección eficiente,
el ejecutivo no podrá verificar cuál es la situación real de la organización i no existe un
mecanismo que se cerciore e informe si los hechos van de acuerdo con los objetivos.
El concepto de control es muy general y puede ser utilizado en el contexto organizacional
para evaluar el desempeño general frente a un plan estratégico. A fin de incentivar que
cada uno establezca una definición propia del concepto se revisara algunos
planteamientos de varios autores estudiosos del tema:
Henry Farol: el control consiste en verificar si todo ocurre de conformidad con el
PANM adoptado, con las instrucciones emitidas y con los principios establecidos.
Tiene como fin señalar las debilidades y errores a fin de rectificarlos e impedir que
se produzcan nuevamente.
Robert B. Buchele: el proceso de medir los actuales resultados en relación con los
planes, diagnosticando la razón de las desviaciones y tomando las medidas
correctivas necesarias.
George R. Terry: el proceso para determinar lo que se está llevando a cabo,
valorización y, si es necesario, aplicando medidas correctivas, de manera que la
ejecución se desarrolle de acuerdo con lo planeado.
Buró K. Scanlan: el control tiene como objetivo cerciorarse de que los hechos
vayan de acuerdo con los planes establecidos.
Robert C. Appleby: la medición y corrección de las realizaciones de los
subordinados con el fin de asegurar que tanto los objetivos de la empresa como los
planes para alcanzarlos se cumplan económica y eficazmente.
Robert Eckles, Ronald Carmichael y Bernard Sarchet: es la regulación de las
actividades, de conformidad con un plan creado para alcanzar ciertos objetivos.
Harold Koontz y Ciril O´Donell: implica la medición de lo logrado en relación con
lo estándar y la corrección de las desviaciones, para asegurar la obtención de los
objetivos de acuerdo con el plan.
9
10. Controles Internos para la Seguridad en el Área de Sistemas
Chiavenato: El control es una función administrativa: es la fase del proceso
administrativo que mide y evalúa el desempeño y toma la acción correctiva
cuando se necesita. De este modo, el control es un proceso esencialmente
regulador.
Control Interno: comprende el plan de la organización y todos los métodos coordinados y
medidas adoptadas dentro de una empresa con el fin de salvaguardar sus activos y
verificara la confiabilidad de los datos contables.
El control interno ha carecido durante muchos años de un marco referencial común,
generando expectativas diferentes entre empresarios y profesionales. El control interno
debe garantizar la obtención de información financiera correcta y segura ya que ésta es un
elemento fundamental en la marcha del negocio, pues con base en ella se toman las
decisiones y formulan programas de acciones futuras en las actividades del mismo. Debe
permitir también el manejo adecuado de los bienes, funciones e información de
una empresa determinada, con el fin de generar una indicación confiable de su situación y
sus operaciones en el mercado.
Seguridad: el término seguridad proviene de la palabra securitas del latín. Cotidianamente
se puede referir a la seguridad como la ausencia de riesgo o también a la confianza en
algo o alguien. Sin embargo, el término puede tomar diversos sentidos según el área o
campo a la que haga referencia.
Detección: percepción de señales que indican la existencia de cierto fenómeno ajeno al
proceso o sistema que puede acarrear un mal funcionamiento.
Prevención: tomar un conjunto de medidas o acciones, cuyo objeto es impedir o evitar que
los distintos riesgos o desastres a los que está expuesto el organismo, sistema o empresa,
den lugar a situaciones de emergencia, o bien, reducir su impacto que estos fenómenos
ocasionen.
Fraude: cualquier acto ilegal caracterizado por engaño, ocultación o violación de
confianza en una relación comercial por el que alguno obtiene beneficio ilegítimo; en
particular, el realizado para eludir una obligación o arrogarse ilegítimamente un derecho.
Perdida: el término perdida se interpreta como la carencia o privación de lo que se poseía.
También se puede tomar como pérdida la fuga, daño o desperdicio de lo que se posee.
10
11. Controles Internos para la Seguridad en el Área de Sistemas
Controles internos para la seguridad en el área de sistemas: Mecanismos de detección y
prevención de pérdidas y fraudes
Ya que con un control se sistema, se desea planear y evaluar el cumplimiento de las funciones y
actividades de un sistema, así como salvaguardar y proteger los bienes y activos del mismo, un
buen control debe contar con las siguientes características, han de ser:
1. Completos: en el diseño del mecanismo de control se deben tener en cuenta todos los
aspectos que con el sistema se relacionan.
2. Simples: han de ser de fácil manejo para las personas expertas en el área, de manera que
al momento de presentarse algún conflicto o se requiera hacer una mejora sea entendible
por cualquier persona encargada.
3. Revisables: los mecanismos o sistemas de control deben permitir una revisión o
evaluación constante lo que les permitirá detectar cualquier inconveniente de manera
oportuna y así prevenir conflictos.
4. Adecuados: para cada área a controlar, se deben tomar diversos mecanismos que se
adecuen a las operaciones de las mismas.
5. Rentables: todo sistema de control debe ser sostenible, es decir su propósito debe ser
mayor a su costo, de manera que valga la pena realizar la inversión para la realización y
mantenimiento de dicho sistema.
6. Fiables: un mecanismo de control debe cumplir con el propósito para el cual fue creado,
de los cuales los principales son velar por el cumplimiento de las tareas de manera
adecuadas y el evitar las perdidas, por lo que su buen funcionamiento es de vital
importancia.
7. Actualizados: el control de los sistemas, organizaciones o procesos, debe ser actualizados,
conforme se va actualizando la tecnología y el mundo evoluciona, puesto que la
obsolescencia le dará fragilidad y le restara fiabilidad.
Entre los factores fundamentales del Control esta la tecnología de seguridad, esto se refiere a los
elemento de hardware y software que ayudan a controlar un riesgo en los sistemas.
En general existen 3 tipos de controles internos, tomando en cuenta estos tipos podemos diseñar y
crear un mecanismo de control que se adecue a nuestras necesidades, definiendo las etapas o
procesos del sistema aplicables a cada tipo de control y que etapas son necesarias controlar.
Controles Preventivos: permiten evitar el hecho, un ejemplo, son los software de
seguridad de acceso a los sistemas.
Controles Detectivos o Detectores: poder detectar lo antes posible fallas en el sistema, por
ejemplo el registro de actividad diaria.
Controles Correctivos: permiten volver a un estado normal después que ha ocurrido un
fallo, por ejemplo, la mantención de la base de datos (BCD) con una réplica de las bases
de datos de los usuarios.
11
12. Controles Internos para la Seguridad en el Área de Sistemas
Otros tipos o clasificaciones de control son:
Controles Generales: los que se realizan para garantizar que la organización y sistemas
operen de forma natural, un ejemplo, son los manuales de procedimientos.
Controles de Aplicación: son los que se realizan para asegurar la exactitud, integridad y
validez de la información procesada, un ejemplo claro de estos es el control sobre los
datos de entrada.
Controles Especiales: son los que se realizan para asegurar la integridad seguridad y
aspectos netamente operacionales, su ejemplo, es el control sobre la entrada de datos en
línea.
Sin embargo, el COSO, como expone S. Mantilla en su libro Control Interno, Estructura
Conceptual Integral, Informe COSO, establece que “La mayoría de las entidades, incluyendo
compañías pequeñas o unidades de las grandes, emplean computadores en el procesamiento de
la información” y dice que “Se pueden usar dos grandes grupos de actividades de control de
sistemas de información- El primero, controles generales – los cuales se aplican a la mayoría, si
no, a todas las aplicaciones de sistemas y ayudan a asegurar su continuidad y operación
adecuada. La segunda categoría son los controles de aplicación, los cuales incluyen pasos
computarizados con la aplicación de software y manuales de procedimiento relacionados para
controlar el procesamiento de varios tipos de transacciones. De la misma manera, esos controles
sirven para asegurar que sean completos, exactos y reflejar validez de la información financiera
y otra del sistema.”
Los controles generales incluyen comúnmente los controles sobre las operaciones del centro de
datos, la adquisición y mantenimiento del software del sistema, las seguridades de acceso, y el
desarrollo y mantenimiento del software del sistema, las seguridades de acceso, y el desarrollo y
mantenimiento de las aplicaciones el sistema. Esos controles aplican a todos los sistemas,
mainframe, minicomputadores y ambientes de computación de usuario final.
Controles a las operaciones del centro de datos. Incluyen trabajos de implementación y
rutina, acciones del operador, copias de seguridad y procedimientos de recuperación, así
como planeación de contingencias o recuperación por desastres. En un ambiente muy
sofisticado estos controles también ayudan a manejar la capacidad de planeación y de
asignación y uso de recursos.
Controles al software del sistema. Incluye controles sobre adquisición, implementación y
mantenimientos efectivos del software del sistema-el sistema operativo, los sistemas de
administración de base de datos, el software de telecomunicaciones, el software de
seguridad y las utilidades- los cuales operan el sistema y permiten las aplicaciones
funcionen. El director maestro de las actividades del sistema, el software del sistema,
proporciona también las funciones de partición, seguimiento y monitoreo del sistema.
Controles de seguridad de acceso: estos controles han obtenido gran importancia en la
medida en que las redes de telecomunicaciones ha n crecido. Los controles de seguridad
12
13. Controles Internos para la Seguridad en el Área de Sistemas
de acceso efectivo pueden proteger el sistema, prevenir acceso inapropiado y el uso no
autorizado del sistema. Si está bien diseñado, pueden interceptar personas expertas en
obtener acceso ilegal a las informaciones de computadores, así como para interceptar
otros violadores.
Controles de desarrollo y mantenimiento de aplicaciones del sistema. El desarrollo y el
mantenimiento de las aplicaciones de los sistemas han sido tradicionalmente áreas
altamente costosas para la mayoría de las organizaciones. Los costos totales para recursos
de MIS, el tiempo requerido, las habilidades de la gente para desempeñar esas tareas, y el
hardware y software requeridos, son todos considerables. Para controlar esos costos
muchas entidades tienen algunas formas de metodologías de desarrollo de sistemas.
Como su nombre lo indica, los controles de aplicación están diseñados para controlar
aplicaciones en proceso, ayudando a asegurar que el procesamiento sea completo y exacto,
autorización y validación de las transacciones. Deben prestarse atención particular a las interfaces
de aplicación, puesto que ellas a menudo están vinculadas con otros sistemas que a su turno
necesitan control, para asegurar que todos los inputs se reciban para el procesamiento y todos los
outputs se distribuyan apropiadamente.
Una de las contribuciones más significativas que los computadores hacen al control es su
capacidad para prevenir errores de entrada al sistema, así como su detección y corrección donde
se encuentren. Para esto, la mayoría de los controles de aplicación dependen de chequeos
computarizados. Estos, se componen de formato, existencia, razonabilidad y otros chequeos sobre
los datos que se incorporan en cada aplicación durante su desarrollo. Cuando esos chequeos se
diseñan adecuadamente, pueden ayudar a proveer control sobre los datos que están siendo
ingresados al sistema.
Estas dos categorías de control sobre los sistemas computarizados están interrelacionadas. Los
controles generales se necesitan para asegurar el funcionamiento de los controles de aplicación
que dependen de los procesos computarizados. Si existen controles generales inadecuados, puede
no ser posible depender de los controles de aplicación, los cuales asumen que el sistema mismo
funcionará adecuadamente, apareándose con el archivo correcto, o proporcionando un mensaje de
error que exactamente refleje un problema, o incluyendo todas las excepciones en un informe de
excepciones.
El balance requerido entre los controles de aplicación y generales es un control total, a menudo
empleado sobre cierto tipo de transacciones, implicando documentos prenumerados. La relación
entre los controles de aplicación y los controles generales es tal que los controles generales son
necesarios para soportar el funcionamiento de los controles de aplicación, y juntos son necesarios
para asegurar el procesamiento completo y exacto de la información.
Dentro de los aspectos fundamentales que se deben contemplar en el diseño de cualquier sistema
en una organización, se encuentra la seguridad de sus recursos, del personal, de la información,
13
14. Controles Internos para la Seguridad en el Área de Sistemas
de sus programas, etc., esto se puede lograr a través de medidas preventivas, detectivas y
correctivas. Para ello es importante determinar los riesgos y las amenazas que afectan a
los sistemas, así como la recuperación de la información de sistemas en caso de que ocurra algún
conflicto que afecte su funcionamiento. Esto es muy importante para el establecimiento de este
control interno, ya que la información del área de sistemas es el activo más valioso de la empresa
y todas las medidas que se adopten para enfrentar los riesgos serán en beneficio de la protección
de los activos de la institución. Con el establecimiento de los siguientes subelementos de control
interno, se busca determinar las bases fundamentales sobre las que se establecerán los
requerimientos para manejar la seguridad de los sistemas de información.
Controles para prevenir y evitar las amenazas, riesgos y contingencias en las aéreas de
sistematización:
Control e accesos físicos del personal al área de cómputo.
Control de accesos al sistema, a las bases de datos, a los programas y a la información.
Uso de niveles de privilegios para acceso, de palabras clave y de control de usuarios.
Monitoreo de acceso de usuarios, información y programas de uso.
Existencia de manuales e instructivos, así como difusión y vigilancia del cumplimiento de los
reglamentos del sistema.
Identificación de los riesgos y amenazas para el sistema con el fin de
adoptar las medidas preventivas necesarias.
Elaboración de planes de contingencia, simulacros y bitácoras de seguimiento.
Controles para la seguridad del área física de sistemas:
Inventario del hardware, mobiliario y equipo.
Resguardo del equipo de cómputo.
Bitácoras de mantenimiento y correcciones.
Controles de acceso del personal al área de sistemas.
Control del mantenimiento a instalaciones y construcciones.
Seguros y fianzas para el personal, equipos y sistemas.
Contratos de actualización, asesoría y mantenimiento del hardware.
Controles para la seguridad lógica de los sistemas:
Control para el acceso al sistema, a los programas y a la información.
Establecimiento de niveles de acceso.
Dígitos verificadores y cifras de control.
Palabras clave de acceso.
Controles para el seguimiento de las secuencias y rutinas lógicas del sistema.
Controles para la seguridad de la base de datos:
Programas de protección para impedir el uso inadecuado y la alteración
de datos de uso exclusivo.
Respaldos periódicos de información.
Planes y programas para prevenir contingencias y recuperar información.
Control de acceso a las bases de datos.
14
15. Controles Internos para la Seguridad en el Área de Sistemas
Rutinas de monitoreo y evaluación de operaciones relacionadas con las bases de
datos.
Controles para la seguridad de operaciones de los sistemas computacionales:
Controles para los procedimientos de operación.
Controles para el procesamiento de información.
Controles para la emisión de resultados.
Controles específicos para la operación del computador.
Controles para el almacenamiento de la información
Controles para el mantenimiento del sistema.
Controles para la seguridad del personal encargado del sistema:
Controles administrativos de personal.
Seguros y finanzas para el personal de sistemas.
Planes y programas de capacitación
Controles para la seguridad de redes y multiusuario:
Controles para evitar modificar la configuración de una red.
Implementar herramientas de gestión de la red con el fin de valorar su rendimiento,
planificación y control.
Control a las conexiones remotas.
Existencia de un grupo de control de red.
Controles para asegurar la compatibilidad de un conjunto de datos entre aplicaciones, cuando la
red es distribuida.
Controles para la seguridad de las telecomunicación:
Verificación de protocolos de comunicación, contraseñas y medios controlados de
transmisión.
Adopción de medidas de verificación de trasmisión de la información.
Dentro de una entidad también es importante establecer controles que permitan identificar,
prevenir y contrarrestar una gran amenaza como lo son, los fraudes, que acarrean grandes
pérdidas tanto monetarias como de información dentro de los sistemas.
De investigaciones realizadas en los Estados Unidos, Canadá y el Reino Unido surgen los
siguientes tipos de fraude y el porcentaje que cada uno de ellos representa del total:
Nº Tipo de fraude Porcentaje del total
1 Fraudes por quiebra 0,19%
2 Soborno 7,18%
3 Fraudes informáticos 0,23%
4 Fraudes a consumidores 50,26%
15
16. Controles Internos para la Seguridad en el Área de Sistemas
5 Cheques y tarjetas de crédito 2,64%
6 Malversación 7,18%
7 Hurtos 9,57%
8 Receptación (de artículos robados) 8,37%
9 Fraudes en seguros 4,79%
10 Fraude y falsificación de valores 9,57%
100,00%
En el cuadro se observa que los fraudes informáticos comprenden un 0,23%, esto en cuanto
hablamos de fraudes que implican directamente la intromisión a sistemas informáticos de las
organizaciones, los tipos de ataques a los sistemas informáticos tenemos:
Hacking/ hacker: Es un individuo que penetra un sistema solo por gusto o para probar sus
habilidades. Usualmente no tiene fines delictivos graves este tipo de instrucción
Cracking/cracker: Persona que penetra un sistema informático con el fin de robar o
destruir información valiosa, realizar transacciones ilícitas, o impedir el buen
funcionamiento de redes informáticos o computadoras.
Phreaking: Penetrar ilícitamente sistemas telefónicos o de telecomunicaciones con el fin
de obtener beneficios o causar perjuicios a terceros.
Warez: Grupo de personas amantes de la piratería de software. Su meta es violar códigos
de seguridad (cracking) o generar, obtener o compartir números de registros de programas
de cómputo, para luego subirlos a internet y compartirlos con el mundo usualmente son
delitos o ilícitos contra propiedad intelectual o derechos del autor.
Hacktivismo: Son grupos ambientalistas, anti- nuclear, anti- guerras, etc., pueden usar la
red para promover ciber-desobediencia civil.
Ciber terrorismo: Aprovechamiento de las redes informáticas (internet para obtener
información, fomentar o comentar actos de terrorismo.
Ciber pandillerismo: Grupo de hackers o extremistas se reúnen para cometer o planear
delitos, o para expresar ideas racistas, discriminatorias o xenofóbicas.
Ingeniería social: Muchos delincuentes, en lugar de aprovechar las debilidades de los
sistemas informáticos, se aprovechan de las debilidades mentales de empleados de
16
17. Controles Internos para la Seguridad en el Área de Sistemas
empresas o personas que pueden brindarle información que les ayude a penetrar a
sistemas informáticos
Robo de identidad: Aprovechamiento de datos personales para hacerse pasar por otra
persona, con el objeto de obtener beneficios económicos o cometer delitos informáticos.
Estos fraudes son motivados por diversos aspectos que van desde el dinero y la venganza hasta la
simple diversión. Evidentemente el artículo que resulta más atractivo robar es el dinero o algo
de valor. Por lo tanto, los sistemas que pueden estar más expuestos a fraude son los que tratan
pagos, como los de nómina, ventas, o compras. En ellos es donde es más fácil convertir
transacciones fraudulentas en dinero y sacarlo de la empresa.
Por razones similares, las empresas constructoras, bancos y compañías de seguros, están más
expuestas a fraudes que las demás.
Los sistemas mecanizados son susceptibles de pérdidas o fraudes debido a que:
Tratan grandes volúmenes de datos e interviene poco personal, lo que impide verificar
todas las partidas.
Se sobrecargan los registros magnéticos, perdiéndose la evidencia auditable o la secuencia
de acontecimientos.
A veces los registros magnéticos son transitorios y a menos que se realicen pruebas dentro
de un período de tiempo corto, podrían perderse los detalles de lo que sucedió, quedando
sólo los efectos.
Los sistemas son impersonales, aparecen en un formato ilegible y están controlados
parcialmente por personas cuya principal preocupación son los aspectos técnicos del
equipo y del sistema y que no comprenden, o no les afecta, el significado de los datos que
manipulan.
En el diseño de un sistema importante es difícil asegurar que se han previsto todas las
situaciones posibles y es probable que en las previsiones que se hayan hecho queden
huecos sin cubrir. Los sistemas tienden a ser algo rígidos y no siempre se diseñan o
modifican al ritmo con que se producen los acontecimientos; esto puede llegar a ser otra
fuente de "agujeros".
Sólo parte del personal de proceso de datos conoce todas las implicaciones del sistema y
el centro de cálculo puede llegar a ser un centro de información. Al mismo tiempo, el
centro de cálculo procesará muchos aspectos similares de las transacciones.
En el centro de cálculo hay un personal muy inteligente, que trabaja por iniciativa propia
la mayoría del tiempo y podría resultar difícil implantar unos niveles normales de control
y supervisión.
17
18. Controles Internos para la Seguridad en el Área de Sistemas
El error y el fraude son difíciles de equiparar. A menudo, los errores no son iguales al
fraude. Cuando surgen discrepancias, no se imagina que se ha producido un fraude, y la
investigación puede abandonarse antes de llegar a esa conclusión. Se tiende a empezar
buscando errores de programación y del sistema. Si falla esta operación, se buscan fallos
técnicos y operativos. Sólo cuando todas estas averiguaciones han dado resultados
negativos, acaba pensándose en que la causa podría ser un fraude.
Las personas que se dedican al fraude utilizan diversas técnicas para quebrar los sistemas de
seguridad de una red. Básicamente buscan los puntos débiles del sistema para poder colarse en
ella, los sistemas deben poseer mecanismos de control y políticas empresariales que permitan la
fijación de un objetivo “Cero Fraude”.
Entre las principales diez técnicas destinadas a detectar los síntomas, la manipulación, los
falseamientos y las ocultaciones tenemos:
1. Auditoría de puntos críticos. La misma consiste en el examen de cuentas y registros a los
efectos de detectar síntomas de manipulaciones y conversiones fraudulentas. El resultado
de la misma es una lista de síntomas fraudulentos o aspectos posiblemente fraudulentos a
partir de los cuales cabe iniciar actividades de investigación.
2. Análisis sobre susceptibilidad al fraude de los trabajos. Esta técnica gira en torno a una
sencilla pregunta: “Si hubiera un ladrón en este puesto de trabajo, ¿qué podría hacer?”. Se
trata de un sencillo análisis de los riesgos de fraude desde la perspectiva del ladrón
potencial” (Análisis Negativo).
3. Tablas de vulnerabilidad. El fraude sólo se produce cuando existe una oportunidad para
ello. Cuanto más o menos dificultosa sea la oportunidad, tanto más probable es que sea
aprovechada. La vulnerabilidad puede definirse como la posibilidad de que un acto
desfavorable para la víctima tenga lugar sin que sea detectado. Para ello y mediante el uso
de una tabla predeterminada se evalúan los niveles de riesgos de los diversos sectores,
procesos y actividades de la organización.
4. Vigilancia. La misma puede utilizarse también con carácter preventivo. Es realmente
sorprendente como los delincuentes comienzan a actuar con frecuencia de buena fe al
verse sometidos a vigilancia.
5. Observación. Constituye una técnica destinada a la investigación y detección.
6. Informantes e investigaciones encubiertas. Ello persigue lograr de una manera oculta,
información y pistas que puedan emplearse y demostrarse en el curso de una investigación
abierta y franca.
7. Inteligencia empresarial. Desde una perspectiva de detección de fraudes, la inteligencia
empresarial trata de asegurarse de que las ventas y suministros de la empresa no se ven
perjudicados por prácticas de competencia desleal.
8. Comprobaciones in situ. Una comprobación in situ puede definirse como una verificación
especial, apoyada por la dirección de la empresa, sobre una circunstancia u operación
comercial concreta.
18
19. Controles Internos para la Seguridad en el Área de Sistemas
9. Determinación de posibles delincuentes. El objetivo de la misma es coordinar y
concentrar los recursos para descubrir a los delincuentes conocidos o a los meros
sospechosos y no cejar en el empeño hasta que las sospechas se hayan confirmado o
revelado infundadas.
10. Matriz de Control Interno. Si bien es sobre todo un sistema de prevención, debidamente
implementado permite la detección de anomalías gracias al control planificado de riesgos
ponderados para las diversas áreas, sectores, procesos y actividades de la empresa.
El punto de partida es siempre establecer una clara política en materia organizacional. La alta
dirección fija la configuración de la ética y estilo de la empresa. De tal forma, si los propios
directivos dejan de comportarse con honradez o toleran tipos inaceptables de comportamiento, los
empleados encontrarán, sea cual fuere su rango, mayores razones o posibilidades de justificar sus
infracciones. La política de seguridad ha de ser fijada por los directivos y debe hacerse extensiva
a toda la organización. Dicha política ha de fijar una clara asignación de responsabilidades.
En el área de sistemas es necesario, aparte de establecer políticas, establecer mecanismos de
seguridad que infieran directamente en esta área. Existen muchos y variados mecanismos
de seguridad de sistemas. Su selección depende del tipo del mismo, de su función y de los
factores de riesgo que lo amenazan.
Los propietarios de computadoras y los administradores utilizan una gran variedad de técnicas de
seguridad para protegerse:
Restricciones de Acceso Físico: Se refiere a los controles y mecanismos de seguridad
dentro y alrededor del dentro de computo así como los medios de accesos remoto al y
desde el mismo, implementados para proteger el hardware y medios
de almacenamiento de datos. Las organizaciones utilizan una gran variedad
de herramientas para identificar a su personal autorizado. Las computadoras pueden llevar
a cabo ciertas comprobaciones de seguridad, los guardias de seguridad humanos otras. En
función del sistema de seguridad implementado, podrá acceder a un sistema en función a:
Algo que usted tenga: Una llave, una tarjeta de identificación con una fotografía o
una tarjeta inteligente que contenga una identificación digital codificada
almacenada en un chip de memoria, patrones biométricos: huellas digitales, voz,
patrones oculares.
Algo que usted conozca: una contraseña, un número de identificación, una
combinación de bloqueo o algo de su historial personal.
Algo que usted haga: Su firma o su velocidad de escritura y los patrones de error.
Restricciones de Acceso Computarizado: estos son los controles y mecanismos de
seguridad que impiden el acceso de intrusos a través de las redes o internet. Entre los más
usados están:
19
20. Controles Internos para la Seguridad en el Área de Sistemas
Firewalls: es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce
la una política de seguridad establecida. Es el mecanismo diseñado para
proteger una red interna contra los accesos no autorizados. Estos existen en
diversos tipos como lo son: filtrado de paquetes, proxy-gateways de aplicaciones,
screened host, entre otros.
Antivirus: son herramientas simples; cuyo objetivo es detectar y eliminar virus
informáticos. Normalmente un antivirus tiene un componente que se carga en
memoria y permanece en ella para verificar todos los archivos abiertos, creados,
modificados y ejecutados, en tiempo real. Es muy común que tengan componentes
que revisen los adjuntos de los correos electrónicos salientes y entrantes, así como
los scripts y programas que pueden ejecutarse en un
navegador web (ActiveX, Java, JavaScript). Entre los mejores actualmente se
encuentran: Kaspersky, F-Secure, eScan, AntiVir, Microsoft Security Esencial,
BitDefender, NOD32, McAfee, GData, Avast!, AVG, Norton, Panda y F-Prot.
Encriptación: es el proceso mediante el cual cierta información o texto sin formato
es cifrado de forma que el resultado sea ilegible a menos que se conozca los datos
necesarios para su interpretación. Es una medida de seguridad utilizada para que al
momento de almacenar o transmitir información sensible ésta no pueda ser
obtenida con facilidad por terceros. Para poder encriptar un dato, se pueden
utilizar tres procesos matemáticos diferentes. Los algoritmos HASH, los
simétricos y los asimétricos.
La medida más eficiente para la protección de los sistemas es combinar una buena política de
seguridad con los diversos mecanismos que aseguren el resguardo de la información.
20
21. Controles Internos para la Seguridad en el Área de Sistemas
CAPITULO II
METODOLOGIA
DISEÑO DE INVESTIGACION
La investigación se realizara en base a un diseño descriptivo, no experimental, dado que se
determinaran las características de diseño de Controles Internos para la Seguridad en el área de
Sistemas a través de una investigación documental.
Se realizara un estudio teórico de los elementos necesarios para el desarrollo del problema antes
planteado, considerando las condiciones a estudiar y realizando las adaptaciones convenientes
para la investigación.
HERRAMIENTAS UTILIZADAS
Selección de Herramientas a Utilizar
Para elegir las herramientas que se manejan en la investigación, se tomo en cuenta:
1. Tipo de problemática a abordar: individual o colectivo.
2. Población: nivel educativo, disposición, grado de homogeneidad, entre otros.
3. Cantidad de tiempo necesario para la investigación.
4. Tipo de estudio.
Una vez teniendo estos aspectos claros se escogieron las herramientas indicadas para este caso en
particular.
Técnicas e Instrumentos De Recolección De Datos
La técnica de recolección adecuada para el desarrollo de esta investigación es: Recopilación y
Revisión del Material Bibliográfico, la cual, es una revisión de la información documental,
requerida para conocer minuciosamente la situación planteada en el presente estudio, donde se
revisaran textos, revistas, folletos y cualquier otro material bibliográfico relacionado con el tema.
Una vez definida el tipo de investigación apropiado con el problema, la siguiente etapa consiste
en realizar la recolección de datos o información que son pertinentes.
Método Seguido en la Investigación
El método a seguir en esta investigación es bibliográfica documental, lo cual consiste en un
proceso basado en la búsqueda, recuperación, análisis, crítica e interpretación de datos
21
22. Controles Internos para la Seguridad en el Área de Sistemas
secundarios, es decir, los obtenidos y registrado por otros investigadores en fuetes documentales:
impresas, audiovisuales o electrónicas.
Se acepta como documento cualquier comunicación escrita o grabada distribuida en catálogos,
inventarios, publicaciones seriadas, informes técnicos, fotocopias, monografías, tesis, memorias,
mapas, folletos, pergaminos, papeles escritos a máquina o manuscritos, cartas, anuncios,
micropelículas, películas, cintas magnéticas, dibujos, grabados antiguos, pinturas, registros, etc.
Lo importante en una investigación es elegir los documentos fundamentales para realizarla. El
trabajo tradicional que exigía una investigación exhaustiva sin discriminación, de todos los
documentos y libros sobre un determinado asunto, trabajo realizado por una sola persona, ya nos
es aceptado en la actualidad.
ESTRATEGIA DE BUSQUEDA DE INFORMACION
Una estrategia es una directriz o lógica con la que se dirige la acción hacia un objetivo
determinado, vistas las características que tiene el medio en el que se actúa: las fortalezas y las
debilidades, los obstáculos, fuerzas en contra y las virtudes y habilidades para vencer estos
obstáculos. Entonces, la estrategia surge de elegir una vertiente de acción de entre varias
posibilidades o alternativas
La búsqueda de información tiene diversas formas:
Una de ellas es la investigación documental. Esta se realiza para obtener información
orientada a descubrir un conocimiento nuevo, elaborar uno propio, identificar algún
conocimiento que se deriva del uso creativo de la información. Se realiza en bibliotecas,
hemerotecas, archivos, centros de información.
Otra forma es la búsqueda en Internet. La búsqueda se hace para reconocer la información
existente, determinar la que hace falta o es limitada o actualizar la que se tiene.
Otra forma de búsqueda es la que se hace en bases de datos. Tiene iguales propósitos que
la búsqueda en Internet.
Cuando hay que buscar información acerca de un asunto, es necesario emplear una estrategia de
búsqueda para que el resultado de la búsqueda sea exitoso: más rápido, con la mejor, la mayor
información y con la información válida (objetiva, significativa, pertinente, confiable, actual o
vigente).
Una estrategia de búsqueda de información se define con acciones u operaciones lógicas que
resuelven cosas como:
Sobre qué buscar información (se definen necesidades existentes).
22
23. Controles Internos para la Seguridad en el Área de Sistemas
Qué ignorancias tengo y qué sé sobre el tema de búsqueda. (Se definen preguntas que
llevan a responder las necesidades de indagación).
Cuál es el ámbito de relaciones (o de información) del tema principal (se define el tema
general, los subtemas, los temas relacionados y los equivalentes).
Dónde buscar (Se responde a: ¿quién tiene o dónde está la información?).
Con qué herramientas buscar (Se determina: cómo llego a donde se encuentra la
información).
Cómo hacerlo (Se define: con qué criterios, acotaciones, indicadores, palabras claves)
En qué puntos o ámbitos temáticos (Se define desde qué otros temas relacionados y
subtemas se puede llegar a la información).
Para esta investigación se decidió tomar como estrategia de búsqueda el uso de internet, ya que
este medio contiene una gran cantidad información proveniente de todas partes del mundo, donde
profesionales de las diversas áreas aportan datos relevantes acerca de diversos temas universales.
Cuando se trata de una búsqueda en Internet, la Web es un ambiente propicio para realizar la
búsqueda. En él se emplean, como ayudas, algunas aplicaciones integradas al mismo, como:
Buscadores o motores de búsqueda.
Índices, que son páginas o espacios unidos a los buscadores donde se presenta espacios
de información o información organizada por categorías o clases.
Portales que son puertas específicas a los sitios de internet y nos llevan a lugares
organizados temáticamente.
Para emplear los buscadores se hace uso de ayudas, para que la búsqueda sea mejor y exitosa.
Entre esas ayudas están: las palabras claves o indicadores de búsqueda y los operadores
lógicos que sirven para unir o discriminar tipos de información, a fin de encontrar la información
deseada.
Una vez que se encontró un sitio con información conviene afinar la búsqueda a partir de allí, se
busca información sobre subtemas o temas relacionados.
En Internet se procede igual que como se procede en una búsqueda de biblioteca digitalizada o
como se hace la búsqueda en una catálogo impreso o archivo de biblioteca tradicional.
Al realizar búsquedas de información en Internet se debe procurar:
1. Emplear los buscadores: para esta investigación se tomo el buscador más usado en la
actualidad GOOGLE, a través de su dirección web www.google.co.ve
23
24. Controles Internos para la Seguridad en el Área de Sistemas
2. Definir bien las palabras claves: se tomaron en cuenta las palabras claves en esta
investigación, Controles Internos, Seguridad en Sistemas, Detección y Prevención,
Fraudes y Pérdidas.
3. Determinar qué operadores lógicos emplear: Google posee sus propios operadores lógicos
que permiten hacer la búsqueda de manera más eficiente, como lo son: “”, -, +, and y
otros.
4. Definir en qué índices buscar: no se definieron índices, ya que se realizo búsqueda a
través de un motor de búsqueda.
5. Establecer la información relacionada que conviene tener en cuenta: se tomó en cuenta
información relacionada al tema de Seguridad de la Información, Seguridad Empresarial y
Bloqueo Empresarial Contra Hackers.
24
25. Controles Internos para la Seguridad en el Área de Sistemas
CONCLUSIONES
El control interno en cualquier organización, reviste mucha importancia, tanto en la conducción
de la organización, como en el control e información de la operaciones, puesto que permite el
manejo adecuado de los bienes, funciones e información de una empresa determinada, con el fin
de generar una indicación confiable de su situación y sus operaciones en el mercado; ayuda a que
los recursos (humanos, materiales y financieros) disponibles, sean utilizados en forma eficiente,
bajo criterios técnicos que permitan asegurar su integridad, su custodia y registro oportuno, en
los sistemas respectivos.
Debido a las constantes amenazas en que se encuentran los sistemas, es necesario que los
usuarios y las empresas enfoquen su atención en el grado de vulnerabilidad y en las herramientas
de seguridad con las que cuentan para hacerle frente a posibles ataques informáticos que luego se
pueden traducir en grandes pérdidas.
Si bien, día a día, aparecen nuevos y complejos tipos de incidentes, aún se registran fallas de
seguridad de fácil resolución técnica, las cuales ocurren en muchos casos por falta de
conocimientos sobre los riesgos que acarrean. Por otro lado, los incidentes de seguridad impactan
en forma cada vez más directa sobre las personas. En consecuencia, se requieren efectivas
acciones de concientización, capacitación y difusión de mejores prácticas.
Es necesario mantener un estado de alerta y actualización permanente: la seguridad es un proceso
continuo que exige aprender sobre las propias experiencias, las organizaciones no pueden
permitirse considerar la seguridad como un proceso o un producto aislado de los demás. La
seguridad tiene que formar parte de las organizaciones.
25
26. Controles Internos para la Seguridad en el Área de Sistemas
FUENTES BIBLIOGRAFICAS
Diseño de Investigación. Metodología de Investigación. Marzo 2009. Slideshare. Extraído el 21
de Abril del 2012 desde http://www.slideshare.net/aritha/diseo-de-investigacin-pp
Métodos de Investigación. El Rincón del Vago. Extraído el 21 de Abril del 2012 desde
http://html.rincondelvago.com/metodos-de-investigacion_2.html
La Estrategia de Búsqueda de Información. Biblioteca Central de la Universidad de las Lomas.
Extraído el 21 de Abril del 2012 desde http://www.unlz.edu.ar/biblioteca/tutores/tutor2b/dos.htm
Definición de Sistema. Diccionario de Informática. Alegsa.com.ar. Extraído el 22 de Abril del
2012 desde http://www.alegsa.com.ar/Dic/sistema.php
Control. Monografías.com. Extraído el 22 de Abril del 2012 desde
http://www.monografias.com/trabajos14/control/control.shtml#def
Sistema de Control Interno – Auditoría. Monografías.com. Extraído el 22 de Abril del 2012 desde
http://www.monografias.com/trabajos63/control-interno-auditoria/control-interno-auditoria.shtml
Seguridad. Wikipedia. Enciclopedia Libre. Extraído el 22 de Abril del 2012 desde
http://es.wikipedia.org/wiki/Seguridad
Glosario PLECS. GTMI. Extraído el 22 de Abril del 2012 desde
http://www.colombiassh.org/gtmi/wiki/index.php/Glosario_PLECS
Fraude. Wikcionario. Extraído el 22 de Abril del 2012 desde http://es.wiktionary.org/wiki/fraude
Glosario de Actuación Profesional. Instituto de Auditores Internos de Argentina. Extraído el 22
de Abril del 2012 desde www.iaia.org.ar/
Control Interno, Estructura Conceptual Integral, Informe COSO. S. Mantilla. Extraído desde
http://books.google.co.ve/books?hl=es&lr=&id=p_LQDu4L66MC&oi=fnd&pg=PA1&dq=Contr
ol+Interno&ots=keD9gV3Kve&sig el 25 de Abril del 2012.
Auditoria de Sistemas. Conceptualizar las actividades de aplicación para el control interno y
externo en la auditoria. Universidad Nacional Experimental Politécnica de la Fuerza Armada
Nacional. Slideshare. Extraído desde http://www.slideshare.net/AnaJulietaGonzlezGarca/control-
interno-en-la-auditora-de-sistemas el 27 de Abril del 2012.
Control Interno y Auditoria. Scribd. Extraído desde http://es.scribd.com/doc/21155656/Control-
Interno-y-Auditoria-a el 27 de Abril del 2012.
26
27. Controles Internos para la Seguridad en el Área de Sistemas
Seguridad Informática. Mecanismos de Seguridad. J, Ríos. Monografias.com. Extraído el 30 de
Abril del 2012 desde http://www.monografias.com/trabajos82/la-seguridad-informatica/la-
seguridad-informatica2.shtml#mecanismoa
27