Auditoría de Sistemas y Seguridad de la

Información
•Conceptos
•Casos
•Técnicas
Conceptos

Auditoría en Entorno CIS

 Sistemas de Contabilidad y Control Interno

Un sistema de contabilidad es:

• Una serie de tareas de una entidad por medio de las cuales procesas sus operaciones, sustenta sus PE
registros y prepara adecuadamente su información financiera. RT
• Incluye básicamente sus políticas de contabilidad, las que se sustentan en fundamentos como: IN
•El principio de lo devengado.
C E NC
•Los estados financieros se preparan sobre el supuesto de empresa en marcha y de que va a operar
en un futuro cercano. L IA
A
R Estados
I Financieros
Un sistema de control interno comprende: D
• El ambiente de control y los procedimientos de control
• El plan de organización y los métodos y procedimientos adoptados por la gerencia para ayudar al A A D
D
cumplimiento del objetivo administrativo de asegurar la dirección ordenada y eficiente de sus actividades
que incluyen: D ILI
B
• El cumplimiento de las políticas administrativas
• La salvaguarda de los activos F IA
• La prevención y detección de fraudes y errores N
• La exactitud e integridad de los registros contables CO
Claridad: para los usuarios que poseen un
Objetivos del control interno: conocimiento razonable de los negocios y
• Las operaciones se ejecutan de conformidad con la autorización específica de la gerencia. actividades económicas.
Pertinencia: Influencias en las decisiones
• Todas las operaciones se registran en su oportunidad, por los montos correctos, en las cuentas apropiadas y
económicas de los usuarios, ayudándolos a
en el período contable que se ejecutan, de modo que permitan preparar información financiera en un marco
evaluar los hechos pasados, presentes o
de políticas contables reconocidas, así como mantener el control contable de los activos
proyectados, o corrigiendo sus evaluaciones
• La comparación del registro contable de los activos con la existencia final de las mismas, se hace a pasadas.
intervalos razonables y se toman las acciones apropiadas con respecto a las diferencias apropiadas. Confiabilidad: Información financiera
fidedigna, libre de error material y desviación.

3
 INTERNATIONAL STANDARD ON AUDITING 401
AUDITING IN A COMPUTER INFORMATION
SYSTEMS (CIS) ENVIRONMENT

• Norma IFAC contenido

en el manual ISA
2003.
• Comprende:
– Introdución
– Habilidades y
Competencias
– Planeamiento
– Evaluación del Riesgo
– Procedimientos de
Auditoría.

4
 INTERNATIONAL STANDARD ON AUDITING 401
AUDITING IN A COMPUTER INFORMATION
SYSTEMS (CIS) ENVIRONMENT - Introducción

• El propósito de este estándar internacional de auditoría (ISA) es establecer

estándares y proporcionar la dirección en los procedimientos que se seguirán
cuando una auditoría se conduce en los sistemas de información computarizados
(ambiente CIS por sus siglás en inglés)
• Para los propósitos de esta norma ISA, un ambiente CIS existe cuando una
computadora de cualquier tipo o tamaño es implicada en el proceso de la
información financiera por la entidad, con suficiente importancia para la auditoría,
ya sea que esa computadora es operada por la entidad o por terceros.
• El auditor debe considerar cómo un ambiente CIS afecta la auditoría.
• El objetivo y el alcance totales de una auditoría no cambia en un ambiente CIS. Sin
embargo, el uso de una computadora cambia el proceso, almacenaje y la
comunicación de la información financiera y puede afectar la contabilidad y los
sistemas de control internos empleados por la entidad. Por consiguiente, un
ambiente CIS puede afectar:
– Los procedimientos que se seguirán por el auditor en la obtención de una
suficiente comprensión de la contabilidad y de los sistemas de control
internos.
– La consideración del riesgo inherente y del riesgo del control con la cual el
interventor llega a su evaluación del riesgo.
– Los diseños y funcionamiento de las pruebas del control y los procedimientos
substantivos apropiados que determinaron los auditores para resolver el
objetivo de la auditoría.

5
 INTERNATIONAL STANDARD ON AUDITING 401
AUDITING IN A COMPUTER INFORMATION
SYSTEMS (CIS) ENVIRONMENT – Habilidades y
Competencias
• El Auditor debe tener suficiente conocimiento del CIS para planear, dirigir,
supervisar y repasar el trabajo realizado. El auditor debe considerar si las
habilidades CIS especializadas son necesarias en la auditoría. Éstas
habilidades y competencias son necesarios para :
– Obtener una suficiente comprensión de la contabilidad y de los sistemas de control
internos afectados por el ambiente CIS.
– Determinar el efecto del ambiente CIS en la evaluación del riesgo total y del riesgo en las
cuentas del Balance y la clasificación de las transacciones?
– Diseñar y realizar las pruebas apropiadas del control y de los procedimientos
substantivos. Si las habilidades especializadas son necesarias, el auditor buscaría la
ayuda de un profesional que posee tales habilidades, que puede estar entre el personal
del auditor o un profesional exterior. Si el uso de tal profesional se planifica, el
auditor debe obtener suficiente evidencia apropiada de la intervención que este
realiza. El trabajo, de este experto, es adecuado para los propósitos de la auditoría,
de acuerdo con ISA 620 Usando el trabajo de un experto.
• El término CIS es utilizado en este ISA en lugar de procesamiento electrónico de
datos (PED) usado anteriormente en el ISA “Auditando en un ambiente PED” .
Declaraciones Relacionas a la Practica Internacional de Auditoría, revisadas y
subsecuentemente revisadas para este ISA se usa el término “ambiente de
tecnología de información (IT).” AUDITANDO IEN UN ENTORNO DE SISTEMAS
DE INFORMACIÓN COMPUTARIZADO.

6
 INTERNATIONAL STANDARD ON AUDITING 401
AUDITING IN A COMPUTER INFORMATION
SYSTEMS (CIS) ENVIRONMENT – Planeamiento

• De acuerdo con el desarrollo de la

Evaluación del Riesgo de ISA 400 y del
Control Interno: El auditor debe obtener
una comprensión la contabilidad y los
sistemas de control internos suficientes
para planear la auditoría y un
acercamiento eficaz de la misma.
• En el planeamiento de las partes de la
auditoría que puede ser afectada por el
ambiente CIS de los clientes, el auditor
debe obtener una comprensión de la
significación y complejidad del CIS, las
actividades y la disponibilidad de los datos
para el uso en la auditoría. Esta
comprensión incluiría las materias tales como:
– La importancia y la complejidad del tratamiento
por ordenador en cada uso significativo de la
contabilidad. La importancia se relaciona con la
materialidad de las aserciones del estado
financiero afectadas por el tratamiento por
ordenador.

7
 INTERNATIONAL STANDARD ON AUDITING 401
AUDITING IN A COMPUTER INFORMATION
SYSTEMS (CIS) ENVIRONMENT – Planeamiento

– Un uso se puede considerar para ser complejo cuando, por ejemplo:

• El volumen de transacciones es tal que los usuarios encontrarían difícil de identificar y de
corregir errores en el proceso.
• La computadora genera automáticamente transacciones materiales o las entradas
directamente para otro uso.
• La computadora realiza cómputos complicados de la información financiera y/o genera
automáticamente transacciones materiales o las entradas no pueden (o no son) ser
validadas independientemente.
• Las transacciones se intercambian electrónicamente por otras organizaciones (como en
los sistemas de intercambio de documentos electrónicos , EDI – Electronic Document
Interchange) sin una revisión manual apropiada o carácter razonable
• La estructura de organización y las actividades CIS del cliente y el grado la concentración
o distribución del tratamiento por ordenador a través de la entidad, pueden afectar
particularmente la segregación de funciones.
• La disponibilidad de datos. Los documentos fuente, ciertos ficheros electrónicos, y la
otra materia fundada que se puede requerir por el auditor pueden no existir o solamente
por un período corto o solamente en forma legible por la máquina. El cliente CIS puede
generar la distribución interna que puede ser útil en la ejecución de las pruebas
substantivas (particularmente procedimientos analíticos). El potencial para el uso de las
técnicas de ayuda de computadora a la auditoría puede permitir una eficacia creciente en
el funcionamiento de los procedimientos de auditoría, o puede permitir al auditor aplicar
económicamente ciertos procedimientos a una población entera de cuentas o las
transacciones.

8
 INTERNATIONAL STANDARD ON AUDITING 401
AUDITING IN A COMPUTER INFORMATION
SYSTEMS (CIS) ENVIRONMENT – Planeamiento

• Cuando el CIS es significativo el auditor debe también obtener una comprensión de cómo
el ambiente CIS y si puede influenciar inherentemente sus aseveraciones el control de
riesgos. La naturaleza de los riesgos y de las características internas de control en un
ambientes CIS incluye lo siguiente:
– Carencia de los rastros de la transacción. Se diseñan algunos CIS de modo que un rastro completo de la
transacción que es útil para los propósitos de la auditoría pudiera no existir o solamente por un período de
tiempo corto o solamente en forma legible por computador. Cuando un sistema complejo en uso realiza una
gran cantidad de pasos de proceso, puede no haber un rastro completo. Por consiguiente, los errores
encajados en "program logic“ (lógica de programa) de los aplicación pueden ser difíciles de detectar sobre
una base oportuna por procedimientos manuales (del usuario)
– Proceso uniforme de transacciones. Los procesos del tratamiento por ordenador uniformemente tratan las
transacciones con las mismas instrucciones de proceso. Así, los errores administrativos asociados
ordinariamente al proceso manual se eliminan virtualmente. Inversamente, los errores de programación (u
otros errores sistemáticos en hardware o software) darán lugar ordinariamente a que todas las transacciones
se procesen incorrectamente.
– Carencia de la segregación de funciones. Muchos procedimientos del control que serían realizados
ordinariamente por los individuos separados en sistemas manuales se pueden concentrar en CIS. Tales,
individuos que tienen acceso a los programas de computadora, o procesando los datos, pueden estar en una
posición para realizar funciones incompatibles
– Potencial para los errores y las irregularidades. El potencial para el error humano en el desarrollo, el
mantenimiento y la ejecución de CIS puede ser mayor que en sistemas manuales, parcialmente debido a el
nivel del detalle inherente en estas actividades. También, el potencial para que los individuos tengan el
acceso desautorizado a los datos o alteren datos sin evidencia visible puede ser mayor en CIS que en
sistemas manuales.

9
 INTERNATIONAL STANDARD ON AUDITING 401
AUDITING IN A COMPUTER INFORMATION
SYSTEMS (CIS) ENVIRONMENT – Planeamiento
– Además, la implicación humana disminuida en la manipulación de las transacciones procesadas por CIS se
puede reducir el potencial para observar errores e irregularidades. ¿Los errores o las irregularidades que
ocurren durante el diseño o la modificación de los programas de uso o del software del sistema pueden seguir
siendo desapercibidos por períodos del tiempo largos.
– Iniciación o ejecución de transacciones. CIS puede incluir la capacidad para iniciar o para causar la ejecución
de ciertos tipos de transacciones, automáticamente. ¿La autorización de estas transacciones o
procedimientos no se puede documentar de la misma manera que ésos en un sistema manual, y la
autorización de los gerentes de estas transacciones puede ser implícita en su subsecuente aceptación del
diseño de la modificación CIS.
– Dependencia de otros controles sobre el tratamiento por ordenador. El tratamiento por ordenador puede
producir los informes y las otras salidas que se utilizan en la ejecución de procedimientos manuales de
control. La eficacia de estos procedimientos manuales del control puede ser dependiente en la eficacia de
controles sobre lo completo y la exactitud del tratamiento por ordenador. ¿Alternadamente, la eficacia y la
operación constante de los controles del tratamiento transaccional en aplicaciones informáticas es a menudo
dependiente en la eficacia de controles CIS generales?
– Potencial para la supervisión creciente de la gerencia. CIS puede ofrecer ala gerencia una variedad de
herramientas analíticas que se pueden utilizar para repasar y para supervisar las operaciones de la entidad.
La disponibilidad de estos controles adicionales, si se está utilizando, puede cambiar la estructura entera del
control interno.
– Potencial para el uso de las técnicas de ayuda de computadora en la auditoría (técnicas de auditoría aistidas
por computador). En caso de procesar y de analizar grandes cantidades de datos que usan las computadoras
puede proveer al auditor oportunidades de aplicar técnicas generales o especializadas y de emplear las
herramientas de auditoría por computadora en la ejecución de las pruebas de auditoría. Los riesgos y los
controles introducidos como resultado de estas características de CIS tienen un impacto potencial en las
aseveraciones de riesgo del auditor, y la naturaleza, la sincronización y grado de los procedimientos de
auditoría.

10
 INTERNATIONAL STANDARD ON AUDITING 401
AUDITING IN A COMPUTER INFORMATION
SYSTEMS (CIS) ENVIRONMENT – Planeamiento

• Evaluación del Riesgo

• De acuerdo con la norma de Evaluación del Riesgo ISA 400 y del Control Interno, el
auditor debe hacer una aseveración del riesgo de control inherente y los riesgos
materiales para las aserciones de los estados financieros.
• Los riesgos inherentes y los riesgos del control en un ambiente CIS pueden tener un efecto
penetrante y un efecto considerable y específico sobre la probabilidad de declaraciones
erróneas materiales, como sigue:
– Los riesgos pueden resultar de deficiencias penetrantes en actividades CIS tales como desarrollo de
programas y mantenimiento, ayuda del software del sistema, operaciones, seguridad CIS física, y control
sobre el acceso a los programas utilitarios de especiales priviligios. Estas deficiencias tenderían a tener un
impacto penetrante en todos los sistemas enl uso que se procesan en la computadora.
– Los riesgos pueden aumentar el potencial para los errores o las actividades fraudulentas en usos
específicos, en bases de datos específicas o los archivos principales, o en actividades de proceso
específicas. Por ejemplo, los errores no son infrecuentes en los sistemas que realizan lógica compleja o los
cálculos, o que deben ocuparse de muchas diversas condiciones de excepción. Sistemas de control de
desembolsos de efectivo u otros activos líquidos son susceptibles a las acciones fraudulentas de los
usuarios o por el personal de CIS.
• Mientras emergen las nuevas tecnologías CIS, estas son empleadas con frecuencia por los
clientes para construir sistemas informáticos cada vez más complejos que pueden incluir
enlaces de micro a grandes computadoras, bases de datos distribuidas, procesos de usuario
final, y la gestión de sistemas de negocios que alimentan directamente la información en los
sistemas contables. Tales sistemas aumentan la sofisticación total CIS y la complejidad de los
usos específicos que los afectan. Consecuentemente, pueden aumentar el riesgo y requerir una
consideración adicional.

11
 INTERNATIONAL STANDARD ON AUDITING 401
AUDITING IN A COMPUTER INFORMATION
SYSTEMS (CIS) ENVIRONMENT – Procedimientos de
Auditoría

• De acuerdo con la norma Evaluación de Riesgo ISA

400 y del Control interno, el auditor debe
considerar el ambiente CIS al diseñar los
procedimientos de la auditoría para reducir el
riesgo del exámen a un nivel aceptablemente bajo.
• Los objetivos específicos de la auditoría de los
auditores no cambian si el dato contable es procesado
manualmente o por la computadora. Sin embargo, los
métodos, los procedimientos de la auditoría a aplicar
pueden ser forzados por la influencia de los métodos
de tratamiento por ordenador. El auditor puede utilizar
procedimientos manuales de auditoría, técnicas de
auditoía asisticas por computadora, o una combinación
de ambos para obtener la suficiente evidencia material.
Sin embargo, en algunos sistemas contables que
utilicen una computadora para usos significativos de su
proceso, puede ser difícil o imposible que el auditor
obtenga ciertos datos para la inspección, la
investigación, o la confirmación sin ayuda de la
computadora.

12
Control Interno en Ambiente CIS
 El Proceso de Tecnología de
Información

Planeación del Desarrollo y Aportación Operación del

Entorno de IT de Soluciones de IT
Objetivo: Asegurar que los Objetivo: Adquirir, desarro-
planes de IT están alineados llar, aportar y mantener solu-
apropiadamente con sus metas, ciones de negocios nuevas o
objetivos y estrategias. mejoradas dentro de la arqui-
tectura de IT para permitir a
la empresa satisfacer sus
Entorno de IT
Objetivo: Aportar y mante-
ner la operación de un entorno
de IT, asegurando la disponi-
bilidad, confiabilidad e inte-
gridad de los sistemas de
información para satisfacer

√
cambiantes requerimien- los requerimientos de
tos de negocios la empresa

Organización y Monitoreo de Procesos de IT

Objetivo: Administrar los tres procesos de IT indicados arriba

14
La Auditoría de Sistemas
 Implementación de Sistemas Contables

Planeamiento de la
Informática Contable:
• Definición de
Requerimientos del
Proceso Contable
• Selección de Software
• Configuración
/Pruebas /Plan Piloto
• Puesta en Producción
/ Replicación

16
 Auditoría de Sistemas

• Verificar el
cumplimiento de las
normas de
Ingeniería de
Software
• Evaluación del
Rendimiento de los
Sistemas
• Reingeniería de los
Sistemas de
Información

17
 PAPEL Y REQUISITOS DEL AUDITOR
INFORMÁTICO

Introducción:
• Cada vez más se
espera que el
departamento
financiero prepare
los datos de entrada
al sistema
informático y utilice
los datos de salida
del mismo sistema

18
 El Auditor de
Sistemas se
preocupará por:
• El control interno
• El control y la
fiabilidad de los
controles
financieros
• La seguridad de los
activos de la
empresa

19
 ENTORNOS
INFORMÁTICOS EN LOS
QUE PUEDE ACTUAR EL
AUDITOR DE SISTEMAS:
• Sistemas pequeños
integrados a la
organización de la
empresa
• Sistemas integrados de
finanzas y de operación
• Sistemas financieros en
batch
• Sistemas con teleproceso.
• Sistemas con tecnología
de INTRANET/INTERNET

20
 Papel del Auditor de
Sistemas:
• Estudiar el sistema de
información y analizar sus
controles organizativos y
operativos (PED)
• Investigar y analizar las
aplicaciones informáticas
en producción o desarrollo
• Evaluar la eficiencia y
eficacia de los sistemas de
información

21
 AUDITOR RELACIONES ENTRE EL AUDITOR Y
EL PERSONAL DE PROCESO DE
DATOS (PED)
• Deben conocer los puntos
fuertes y débiles del sistema
• Debe establecer un adecuado
nivel de comunicación con el
personal de PED, pues a menudo
revisara el trabajo de estos
• En relación a los tema técnicos
pueden requerir apoyo de PED,
pudiendo seguir sus consejos
siempre que se adopten las
precauciones necesarias y se
hagan las comprobaciones
oportunas

PED

22
 CONOCIMIENTOS TÉCNICOS
DEL AUDITOR
INFORMÁTICO
• Los suficientes para
examinar el tema que va a
tratar, no opinar
inmediatamente en caso
contrario
• Conocimientos de hardware
y software necesarios
• Deberá poder codificar en
algún lenguaje de
programación sus propias
consultas o apoyarse en su
propio técnico

23
 AUDITOR DE
SISTEMAS
EVALUACIÓN DEL
CONTROL INTERNO -
CUESTIONARIOS:
Comprenden tres
partes:
• Análisis Organizativo
• Análisis de
aplicaciones
• Análisis Detallado

24
CLIENTE
 CONTROLES Y
STANDARES
• Establecer stándares o
normas
• Registro del
rendimiento real, a fin
de poder cuantificarlo
• Acciones correctoras
ante las desviaciones
a las normas
• Revisión y
actualización continua
de los stándares

25
 PROBLEMAS DE LA
DEFINICIÓN DE
CONTROLES
• Es heurístico, no tiene
una sola respuesta
según las
circunstancias
SOLUCIONES• Cuesta dinero, por lo
que hay que hacerlo
DE CONTROL proporcional al valor
del riesgo
• Debe mantener el nivel
necesario de autoridad,
AUDITOR propiedad y exactitud
de los trabajos

26
 STÁNDARES DIRECCIÓN

RENDIMIENTO SISTEMA
SISTEMA
DE COMPARAR
CONTROL RENDIMIENTO/STANDARES SISTEMA

INFORMAR DESVIACIONES SISTEMA

EJECUTAR LAS CORRECCIONES DIRECCIÓN

RE-EVALUAR STÁNDARES DIRECCIÓN

27
 TENER PRESENTE:
• Es deseable que las
modificaciones o
mejoras se incorporen
al sistema antes de
que empiece a
utilizarse
• En algún momento el
auditor deberá
analizar el
funcionamiento de la
la aplicación e
identificar los puntos
débiles

28
 ENFOQUES EN LA AUDITORIA DE SISTEMAS

1. AUDITORIA ALREDEDOR
DEL COMPUTADOR:
•Procedimientos
administrativos
•Otros

2.
2. AUDITORIA
AUDITORIA 3. AUDITORIA A
EN
EN ELEL TRAVES DEL
COMPUTADOR:
COMPUTADOR: COMPUTADOR:
•Examen
•Examen de de •Controles
aplicaciones
aplicaciones entrada/salida
•Eficiencia/eficacia
•Eficiencia/eficacia •Eficiencia/eficacia en la
de
de los
los sistemas
sistemas operación de los
•Otros
•Otros sistemas
29 •Otros
Conceptos Técnicos
 Conceptos de Seguridad de la
Información
• Niveles de seguridad: Seguridad es
un concepto asociado a la certeza,
falta de riesgo o contingencia.
Conviene aclarar que no siendo posible
la certeza absoluta, el elemento de
riesgo esta siempre presente,
independiente de las medidas que
tomemos, por lo que debemos hablar
de niveles de seguridad. La
seguridad absoluta no es posible y en
adelante entenderemos que la
seguridad informática es un conjunto
de técnicas encaminadas a obtener
altos niveles de seguridad en los
sistemas informáticos. Además, la
seguridad informática precisa de un
nivel organizativo, por lo que diremos
que:
Sistema de Seguridad =
TECNOLOGIA + ORGANIZACION

31
 Riesgo y Seguridad

Riesgo
• Proximidad o posibilidad de un daño, peligro, etc.
• Cada uno de los imprevistos, hechos desafortunados, etc.,
que puede cubrir un seguro.
• Sinónimos: amenaza, contingencia, emergencia, urgencia,
apuro.

Seguridad
• Cualidad o estado de seguro
• Garantía o conjunto de garantías que se da a alguien sobre
el cumplimiento de algo.
• Ejemplo: Seguridad Social Conjunto de organismos, medios,
medidas, etc., de la administración estatal para prevenir o
remediar los posibles riesgos, problemas y necesidades de
los trabajadores, como enfermedad, accidentes laborales,
incapacidad, maternidad o jubilación; se financia con
aportaciones del Estado, trabajadores y empresarios.
• Se dice también de todos aquellos objetos, dispositivos,
medidas, etc., que contribuyen a hacer más seguro el
funcionamiento o el uso de una cosa: cierre de seguridad,
cinturón de seguridad.

32
 Lo importante es proteger la
información
• Si bien es cierto que todos
los componentes de un
sistema informático están
expuestos a un ataque
(hardware, software y
datos) son los datos y la
información los sujetos
principales de protección de
las técnicas de seguridad.
La seguridad informática se
dedica principalmente a
proteger la
confidencialidad, la
integridad y disponibilidad
de la información.

33
 Confidencialidad

• La confidencialidad se refiere a
que la información solo puede
ser conocida por individuos
autorizados. Existen infinidad
de posibles ataques contra la
privacidad, especialmente en la
comunicación de los datos. La
transmisión a través de un
medio presenta múltiples
oportunidades para ser
interceptada y copiada: las
líneas "pinchadas" la
intercepción o recepción
electromagnética no autorizada
o la simple intrusión directa en
los equipos donde la
información está físicamente
almacenada.

34
 Integridad

• La integridad se refiere a
la seguridad de que una
información no ha sido
alterada, borrada,
reordenada, copiada,
etc., bien durante el
proceso de transmisión o
en su propio equipo de
origen. Es un riesgo
común que el atacante
al no poder descifrar un
paquete de información
y, sabiendo que es
importante, simplemente
lo intercepte y lo borre.

35
 Disponibilidad

• La disponibilidad de la
información se refiere
a la seguridad que la
información pueda ser
recuperada en el
momento que se
necesite, esto es,
evitar su pérdida o
bloqueo, bien sea por
ataque doloso, mala
operación accidental o
situaciones fortuitas o
de fuerza mayor.

36
 Otros problemas comunes

• Otros problemas
importantes de seguridad
son la autentificación, es
decir la prevención de
suplantaciones, que se
garantice que quien firma
un mensaje es realmente
quien dice ser; el no
repudio, o sea que alguien
niegue haber enviado una
determinada información
(que efectivamente envió) y
los controles de acceso,
esto es quien tiene
autorización y quien no
para acceder a una parte de
la información.

37
 Verificar el origen de la
información
• Finalmente se
tiene el problema
de la verificación
de la propiedad de
la información, es
decir que una vez
que se ha
detectado un
fraude determinar
la procedencia de
la información.

38
 Daños no intencionados

• No todos los riesgos que amenazan la

información son de origen dañino. Es
por ello que las medidas de seguridad
no deben limitarse a la mera
protección contra ataques e
intrusiones de terceros, pues dentro
de la misma organización y por parte
de individuos de confianza existen
riesgos contra la disponibilidad de la
información ya sea por negligencia,
descuido, ignorancia o cualquier otro
tipo de mala práctica, la información
puede ser alterada, sustituida o
permanentemente borrada. Además
están siempre presentes los riesgos de
pérdida o alteración por virus o
situaciones fortuitas de fuerza mayor,
tales como incendios, inundaciones o
catástrofes naturales.

39
 Delito informático
Delitos accidentales e incidentales:
• Los delitos cometidos utilizando la computadora han crecido en tamaño,
forma y variedad.
• En la actualidad (1994) los delitos cometidos tienen la peculiaridad de ser
descubiertos en un 95% de forma casual. Podemos citar a los principales
delitos hechos por computadora o por medio de computadoras estos son:
• fraudes
• falsificación
• venta de información

Entre los hechos criminales más famosos en los E.E.U.U. están:

• El caso del Banco Wells Fargo donde se evidencio que la protección de
archivos era inadecuada, cuyo error costo USD 21.3 millones.
• El caso de la NASA donde dos alemanes ingresaron en archivos
confidenciales.
• El caso de un muchacho de 15 años que entrando a la computadora de la
Universidad de Berkeley en California destruyo gran cantidad de archivos.
• También se menciona el caso de un estudiante de una escuela que
ingreso a una red canadiense con un procedimiento de admirable
sencillez, otorgándose una identificación como un usuario de alta
prioridad, y tomo el control de una embotelladora de Canadá.
• También el caso del empleado que vendió la lista de clientes de una
compañía de venta de libros, lo que causo una perdida de USD 3
millones.

40
 Algunas causales de delito

Mayor riesgo
• Beneficio personal
• Síndrome de Robín Hood
• Odio a la organización
• Mentalidad turbada
• Equivocación de ego
• Deshonestidad del
departamento
• Problemas financieros de
algún individuo
• Fácil modo de desfalco
Menor riesgo
• Beneficio de la organización
• Jugando a jugar

41
 Sistemas de respaldo y
redundantes
• Los sistemas de respaldo
(backup) y los sistemas
redundantes son dos
técnicas para proteger los
datos contra pérdida por
borrado accidental o
desastres fortuitos. Ambos
sistemas son
complementarios en cuanto
a la seguridad que ofrecen
ya que tanto los respaldos
como la redundancia, por si
solos, no cubren toda la
necesidad.

42
 Redundancia Sistemas RAID
• Un RAID es un conjunto de unidades de disco que
aparecen lógicamente como si fueran un solo
disco. Así los datos, distribuidos en bandas, se
dividen entre dos o más unidades. Esta técnica
incrementa el rendimiento y proporciona una
redundancia que protege contra el fallo de uno de
los discos de la formación. Existen varios niveles
RAID a partir del nivel 0, en el que los datos se
dispersan en varias unidades pero no hay
redundancia (gran rendimiento pero nula
seguridad). Luego el nivel 1 o mirroring (espejo)
en el cual los datos se escriben duplicados en
distintas unidades, este método no incrementa el
rendimiento pero si la seguridad y es, de hecho
uno de los más utilizados. Los demás niveles RAID
son una combinación de los conceptos anteriores y
buscan aumentar la seguridad y el rendimiento
simultáneamente. Existen sistemas operativos, que
ofrecen administración RAID incorporada, como
por ejemplo Windows NT que ofrece los niveles 0,
1 y 5. Como es obvio si se implementa el nivel 1
(discos espejo, donde todo lo que se escribe en un
disco es duplicado automáticamente) , la
duplicación debe ser en un disco físico diferente.

43
 Tolerancia a fallos
• La tolerancia a fallos es la capacidad
de un sistema a responder a un
suceso inesperado, como puede ser
un fallo de suministro eléctrico o un
fallo de hardware de forma que no
se pierdan datos. Cabe señalar que
la redundancia no protege contra el
borrado accidental, la operación
negligente, etc. ya que cualquier
operación (aún las erróneas) es
automáticamente duplicada en todas
las unidades. Así, la redundancia,
junto con los sistemas de
alimentación ininterrumpida (UPS y
grupos electrógenos) proporcionan
seguridad solamente en caso de
cortes de suministro o fallos del
hardware.

44
 • El "backup" consiste en realizar copias de El back-up
seguridad de la información. Estas copias
pueden realizarse de forma manual y
periódica. Pero, ¿cual es el objeto de hacer
copias manualmente si tenemos un sistema
redundante?. La ventaja de los "backups" es
que por efectuarse según ciertos períodos, la
información respaldada no es exactamente
igual a la actual. Esto permite cierta
protección contra los errores humanos,
borrado accidental o uso negligente ya que si
nos damos cuenta a tiempo (esto es, antes de
que se haga un "backup" del error) podremos
recuperar los datos con cierto desfase de
tiempo y solo será necesario actualizar ese
desfase. Hay multitud de sistemas de copia de
seguridad. Las más recomendables son las
que dejan dos desfases (diarios y semanales
por ejemplo) ya que proporcionan una mejor
seguridad, i.e. si se copió el error en el primer
período aún nos queda un segundo para
recuperar.

45
 Virus:
• Finalmente tenemos las amenazas de los virus y programas
troyanos. Los mecanismos conocidos hasta el momento para la
propagación de virus son los archivos ejecutables (con extensión
.exe, .com o .bat) y los componentes de Microsoft Office que aceptan
macros con el lenguaje Visual Basic para Aplicaciones
(principalmente Word y Excel con macros). Los troyanos se propagan
a través de archivos ejecutables. Así la única forma conocida en que
un virus puede instalarse en un equipo es
• Ejecutando un programa infectado, ya sea directamente desde un
diskette, bajado desde Internet o abierto desde un "attach" recibido
por correo electrónico
• Abriendo un documento de MS-Office 97 (o superior) teniendo
deshabilitada o haciendo caso omiso a la alerta contra macrovirus
habilitada por defecto en Office.
• Es decir que las precauciones elementales contra la adquisición de
un virus son:
– No usar programas grabados en diskette (particularmente
juegos o utilidades) de procedencia desconocida.
– No usar programas bajados de sitios poco confiables de
Internet.
– No abrir attach de correo electrónico cuyo contenido o remitente
se desconozcan o no sean de confianza.

46
 Diferencia entre virus y troyanos
• Existe una gran variedad de virus (varios miles, de
hecho) cuyos efectos van desde los simplemente
molestos hasta los que destruyen información
específica o bien toda la contenida en el disco duro.
Lo característico de los virus es que una vez que se
instalan en el ordenador pasan largo tiempo sin
provocar ningún efecto, aparte de infectar a todos
los demás programas que se ejecuten. Después de
este período el virus actúa sobre el equipo en que
estaba instalado. Los troyanos son programas que
permiten a extraños intervenir en un ordenador
remoto que está conectado a internet, es lo que se
conoce como "hackear" o más correctamente
"nukear" un computador remoto. Existen una
multitud de programas que permiten hacer esto
como es netbus, mere, back oriffice,
Backdoor.SubSeven.20, etc.
• Pese a sus diferentes efectos, virus y troyanos
comparten características comunes en su forma de
operar y propagarse, pero cabe señalar que los
antivirus actuales detectan indistintamente virus y
troyanos.

47
 Métodos de proteción contra
intrusiones remotas
• En su aspecto más básico, la protección contra
"caballos de troya" se basa en el uso de
antivirus que tienen la capacidad de detectar
los troyanos más conocidos. Sin embargo
existe la posibilidad de ataques más
sofisticados por lo que se hace necesario el uso
de software del tipo cortafuegos (firewalls) o
detectores de Intrusiones, que monitorizan los
intentos de introducirse a un sistema sin la
debida autorización (ataques a la Intranet).
• Estos detectores pueden estar basados en los
Host (Omni Guard, Stalker y otros) o en la red
(Real Secure, Cyber Cop, Net Ranger). La
detección de intrusos es bastante cara y
constituye solo parte de un sistema completo
de seguridad, que puede complementarse con
sistemas autentificación fuerte como Safeguard
VPN.

48
 La seguridad es un problema
integral
• Los problemas de seguridad informática no pueden
ser tratados aisladamente ya que la seguridad de
todo el sistema es igual a la de su punto más débil.
Al asegurar nuestra casa no sacamos nada con
ponerle una puerta blindada con sofisticada
cerradura si dejamos las ventanas sin protección. De
manera similar el uso de sofisticados algoritmos y
métodos criptográficos es inútil si no garantizamos
la confidencialidad de las estaciones de trabajo. Por
otra parte existe algo que los hackers llaman
"Ingenieria Social" que consiste simplemente en
conseguir -mediante engaño- que los usuarios
autorizados revelen sus passwords. Por lo tanto, la
educación de los usuarios es fundamental para que
la tecnología de seguridad pueda funcionar. Es
evidente que por mucha tecnología de seguridad que
se implante en una organización, si no existe una
clara disposición por parte de la Dirección General y
una cultura a nivel de usuarios, no se conseguirán
los objetivos perseguidos con la implantación de un
sistema de seguridad.

49
Casos
 Caso Tributación Virtual 1:
E. Wong
• IGV: Venta se trata
como venta local, la
diferencia es que se
paga desde el
exterior.
• Renta: Fuente
peruana

51
 Caso Tributación Virtual 2:
Tortas Perú

CLIENTE PAGO CON SE ENCARGA

DEL VISA PREPARAR LA BENEFICIARIO
TORTA A LOCAL
EXTERIOR
AFILIADA MAS
CERCANA AL
DOMICILIO DEL
BENEFICIARIO

52
 Caso Tributación Virtual 2:
Tortas Perú
• IGV: Venta se trata
como venta local, la
diferencia es que se
paga desde el
exterior.
• Remuneraciones:
Honorarios Locales.
• Renta: Fuente
peruana

53
 Caso Tributación Virtual 3:
Servicios Globalizados
Cliente:
MEDIO DE PAGO: Resto del Mundo
ISLAS CAIMAN

DOMINIO: miempresa.com.uk
DNS: India
Hosting: Australia

Productos: Cuba
Empresa: HABANOS
Perú

54
 Caso Tributación Virtual 3:
Servicios Globalizados
• IGV: ¿Venta de exportación?, no
afecta a IGV?, ¿sujeta a leyes de
Cuba al resto del mundo?
• Renta: ¿Fuente peruana?,
¿Fuente del exterior?, ¿Dónde
esta la renta?
• Aparecerán: PARAÍSOS
VIRTUALES????
• Falta regulación específica.
• ¿Con que tecnología la
Administración Tributaria
controlará estas transacciones?

55
 ¿Nace un nuevo tributarista?

• El tributarista
sin papeles.
• Usa solo
software: PDT,
TEF, etc.
• Domina reglas
de la
tributación
virtual.

56
 Declaración electrónica PDT
CONTRIBUYENTE DDJJ SUNAT
PDT

Hipótesis:
•Falla del sistema.
•Alteración de datos por
negligencia, impericia,
imprudencia o dolo.
•NO HAY FORMA DE
VERIFICAR LA
INTEGRIDAD DE LA DATA
ENTREGADA POR EL
CONTRIBUYENTE

57
 REMITENTE::
Firma electrónica Ley 25262
del 28 de Mayo del 2000
•CLAVE PRIVADA SOLO LO
CONOCE EL REMITENTE

MENSAJE + CLAVE PRIVADA

MENSAJE CIFRADO

•CLAVE PÚBLICA DISPONIBLE EN

SERVIDORES PUBLICOS EN INTERNET

•CUALQUIER ALTERACIÓN AL MENSAJE

CIFRADO IMPIDE ABRIRLO.
DESTINATARIO: MENSAJE CIFRADO + CLAVE •LA LEY LE DA FUERZA VINCULANTE
PUBLICA = MENSAJE ABIERTO CON
CERTIFICACIÓN DE ORIGEN

58
 Road Map de un proyecto e-
business
1. MODELO DE 2. ESTUDIO DE LAS
NEGOCIO: MEJORES
•Suscripción EXPERIENCIAS:
•Transacción •Benckmark
Basado en negocio •Revisar sitios web: estilo
real o puramente y contenido
virtual

3. MAP SITE:
•Propuesta Grafica
5. OPERACIÓN: •Propuesta de Contenido
•Marketing •Requerimiento Funcional
•Soporte Tecnológico (Lógica y Esfuerzo)
•Logística de Transacción

4. IMPLEMENTACIÓN:
•Infraestructura Tecnológica.
•Tercerización
•Desarrollo, Pruebas y Puesta
en Producción.
59
 El Proceso del Comercio Electrónico
Ciber-Cliente,
Ciber-Cliente,
navega,
navega, sese
divierte,
divierte, Operador logístico
decide
decide recibe orden de
comprar
comprar despacho, recoje
mercadería de Entrega
tienda mercadería al
cliente

Proceso de la
transacción

Paga su
Elige sus compra
productos con
tarjeta
de
crédito/ Tienda incrementa
Descontamos
débito sus ventas
comisiones,
transferimos el
saldo
60
Técnicas

* Analizando datos con Access

* Analizando datos con Tablas Dinámicas – Excel
 ...Gracias por su Atención

Francisco Villón Bustamante

Gerente General de Tecnología de Gestión
fvillon@tecnologiadegestion.com
www.tecnologiadegestion.com

62