gerardo alejandro santéliz garcía auditor de sistemas

Gerardo Alejandro Santéliz GarcíaAuditor de Sistemas

Aspectos importantes en la seguridad y riesgo de la información digitalizada

en los Sistemas Informáticos

Términos importantes

Dato El dato es una representación simbólica (numérica, alfabética,

algorítmica, entre otros) de un atributo o característica de una entidad. Los datos describen hechos empíricos, sucesos y entidades.

» 796,807

Los datos aisladamente pueden no contener información humanamente relevante. Sólo cuando un conjunto de datos se examina conjuntamente a la luz de un enfoque, hipótesis o teoría se puede apreciar la información contenida en dichos datos.

Definición

En programación, un dato es la expresión general que describe las características de las entidades sobre las cuales opera un algoritmo.

En Estructura de datos, es la parte mínima de la información.

Un dato por sí mismo no constituye información, es el procesamiento de los datos lo que nos proporciona

información.

Términos importantes

Información En sentido general, la información es un conjunto organizado de

datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje.

Para Gilles Deleuze, la información es un sistema de control, en tanto que es la propagación de consignas que deberíamos de creer o hacer que creemos. En tal sentido la información es un conjunto organizado de datos capaz de cambiar el estado de conocimiento en el sentido de las consignas trasmitidas.

Definición

Desde el punto de vista de la ciencia de la computación, la información es un conocimiento explícito extraído por seres vivos o sistemas expertos como resultado de interacción con el entorno o percepciones sensibles del mismo entorno. En principio la información, a diferencia de los datos o las percepciones sensibles, tienen estructura útil que modificará las sucesivas interacciones del ente que posee dicha información con su entorno.

EntradaDe

Datos

EntradaDe

Datos

ProcesoProceso Reportes e Informes

Interface automática de entrada


AlmacénAlmacén



Sistemas de Información

1) Automatización de procesos operativos.

2) Proporcionar información que sirva de apoyo al proceso de toma de decisiones

3) Lograr ventajas competitivas a través de su implantación y uso.




Sistemas Transaccionales. Sus principales características son:

i. A través de éstos suelen lograrse ahorros significativos de mano de obra, debido a que automatizan tareas operativas de la organización.

ii. Con frecuencia son el primer tipo de Sistemas de Información que se implanta en las organizaciones. Se empieza apoyando las tareas a nivel operativo de la organización.

iii. Son intensivos en entrada y salida de información; sus cálculos y procesos suelen ser simples y poco sofisticados.

iv. Tienen la propiedad de ser recolectores de información, es decir, a través de estos sistemas se cargan las grandes bases de información para su explotación posterior.

v. Son fáciles de justificar ante la dirección general, ya que sus beneficios son visibles y palpables.

área de ventas, finanzas, marketing, administración y recursos humanos




Sistemas de Apoyo de las Decisiones. Suelen introducirse después de haber implantado los Sistemas Transaccionales más relevantes de la empresa, ya que estos últimos constituyen su plataforma de información.

i. La información que generan sirve de apoyo a los mandos intermedios y a la alta administración en el proceso de toma de decisiones.

ii. Suelen ser intensivos en cálculos y escasos en entradas y salidas de información. Así, por ejemplo, un modelo de planeación financiera requiere poca información de entrada, genera poca información como resultado, pero puede realizar muchos cálculos durante su proceso.

iii. No suelen ahorrar mano de obra. Debido a ello, la justificación económica para el desarrollo de estos sistemas es difícil, ya que no se conocen los ingresos del proyecto de inversión.

iv. Suelen ser con altos estándares de diseño gráfico y visual, ya que están dirigidos al usuario final.

v. Apoyan la toma de decisiones, por ejemplo, un Sistema de Compra de Materiales que indique cuándo debe hacerse un pedido al proveedor.

programación de la producción, compra de materiales, flujo de fondos, proyecciones financieras, modelos de simulación de negocios, modelos de inventarios, etcétera



3) Lograr ventajas competitivas a través de su implantación y uso.


Sistemas Estratégicos. Sus principales características son:i. Su función primordial no es apoyar la automatización de procesos operativos ni

proporcionar información para apoyar la toma de decisiones. ii. Suelen desarrollarse in house, es decir, dentro de la organización, por lo tanto no

pueden adaptarse fácilmente a paquetes disponibles en el mercado. iii. Típicamente su forma de desarrollo es a base de incrementos y a través de su

evolución dentro de la organización. Se inicia con un proceso o función en particular y a partir de ahí se van agregando nuevas funciones o procesos.

iv. Su función es lograr ventajas que los competidores no posean, tales como ventajas en costos y servicios diferenciados con clientes y proveedores. i. En este contexto, los Sistema Estratégicos son creadores de barreras de

entrada al negocio. Por ejemplo, el uso de cajeros automáticos en los bancos en un Sistema Estratégico, ya que brinda ventaja sobre un banco que no posee tal servicio. Si un banco nuevo decide abrir sus puerta al público, tendrá que dar este servicio para tener un nivel similar al de sus competidores.

v. Apoyan el proceso de innovación de productos y proceso dentro de la empresa.

Las empresas tienen dos tipos de entornos: el interno y el externo.

A. Los entornos internos están controlados por la compañía y pueden incluir elementos como la estructura de la organización y la fuerza de trabajo.

B. Los entornos externos, sin embargo, existen fuera de la compañía y no están bajo su control. Como tal, las compañías pueden ser vulnerables a muchas amenazas que los entornos externos pueden imponer.

Amenazas a que estamos expuestos


spam, malware, virus, adware, troyanos, keyloggers, spywares, sniffing, phishing, robo de identidad, robo de información, alteración de información

EconómicasCompetidoresMedio AmbientePolíticoNueva Tecnología


¿Por qué debería la empresa temer las amenazas internas?

i. El 30-40% del tiempo que se gasta en internet en el trabajo no está relacionado con éste

ii. El 25.5% de los empleados considera que las horas de trabajo son el mejor momento para el manejo online de sus asuntos personales; el 75% de ellos no siente remordimiento alguno por ello.

iii. El 57% de los empleados que tiene una cuenta en una red social pasa tiempo de trabajo en ellas

iv. Estos empleados pasan un promedio de 40 minutos al día en redes sociales, lo que representa alrededor de una semana de pérdida de tiempo al año.

v. El 23% de los empleados de las empresas británicas se marcha con datos personales de los clientes cuando sale del trabajo

vi. La misma investigación indica que alrededor del 17% de los empleados se marcha con información y planos del producto manufacturado

Estos datos proceden de las estadísticas de Morse, Internacional Data Corp. And Harris Interactive


Wikileaks y otros

El caso más famoso de fuga de datos es el asunto de la página web de Wikileaks, donde se publicaron despachos diplomáticos de varios países del mundo. Parte de estos despachos procedían del ejército de EEUU, sacados por el cabo Manning, quien enmascaraba los CD haciéndolos pasar por música de Lady Gaga. El proyecto Wikileaks incluso ha anunciado que también se centrará en el sector privado. Dos ex empleados de la rama británica de T-Mobile han robado un registro de millones de clientes. El ICO británico, que es el encargado de velar por la seguridad de los datos, les ha impuesto una multa de 73.000 libras esterlinas. La compañía T-Mobile por su parte no impuso ninguna sanción pues según la empresa había desarrollado previamente suficientes mecanismos de corrección y minimizaron la pérdida.Que incluso una señora de la limpieza pueda ser una amenaza para la seguridad de los datos, tal y como ocurrió en el hospital Motod de Praga hace dos años, debería servir de alerta. En vez de limpiar, la mujer y su cómplice cogieron tres ordenadores que contenían datos personales de los pacientes y de sus procedimientos quirúrgicos.

Estos datos proceden de las estadísticas de Morse, Internacional Data Corp. And Harris Interactive

Julian Assange

Acciones a implantar

Detección de fraudesLa gerencia es el principal responsable de establecer, implementar y mantener un marco y un diseño de controles para

alcanzar los objetivos de control interno. estar alertas a las posibles oportunidades que permiten que se materialice un fraude.

El uso de tecnología de la información para el negocio ha beneficiado inmensamente a las empresas en términos de una calidad de entrega de información significativamente mayor. Sin embargo, el uso extendido de la tecnología de información y de Internet adolece de riesgos que permiten que se perpetren errores y fraudes.

– Riesgo inherente.

– Riesgo de control.

– Riesgo de detección.

– Riesgo de auditoría general.

Las posibles opciones para tratamiento del riesgo incluyen:

– Aplicar los controles apropiados para reducir los riesgos.

– Aceptar los riesgos a sabiendas y objetivamente, a condición que los mismos satisfagan claramente la política y los criterios de la organización para aceptación de riesgos.

– Evitar riesgos al no permitir acciones que causarían que ocurrieran los riesgos.

– Transferir los riesgos asociados a otras partes.

Acciones a implantar

Las siguientes son técnicas para la recopilación de evidencia:

• Revisión de las estructuras organizacionales de SI.• Revisión de políticas y procedimientos de SI.• Revisión de los estándares de SI.• Revisión de la documentación de SI.• Entrevistas al personal apropiado.• Observación de procesos y desempeño de empleados.• Repetición de ejecución.• Inspección y verificación.

Regulaciones Internacionales

ISO/IEC 27000 Series

Este Grupo de estándares son conocidos como la serie ISO/IEC 27000, siendo las mejores prácticas de la industria para la administración de controles de seguridad de manera transversal en organizaciones de todo el mundo.

ISO/IEC 27000: Overview and vocabularyISO/IEC 27001: ISMS requerimentsISO/IEC 27002: Code of practice for information security managementISO/IEC 27003: Guideline for ISMS implementationISO/IEC 27004: Guideline for information security management measurement and metrics frameworkISO/IEC 27005: Guideline for information security risk managementISO/IEC 27006: Guideline for bodies providing audit and certification of ISMS.ISO/IEC 27011: Information security management guidelines for telecomunications organizationsISO/IEC 27031: Guideline for information and communications technology readiness for business continuityISO/IEC 27033-1: Guideline for network securityISO 27799: Guide for information security management in health organizations

The following ISO/IEC standards are in develpment:

ISO/IEC 27007: Guideline for information security management systyems auditingISO/IEC 27013: Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001ISO/IEC 27014: Guideline for information security governanceISO/IEC 27015: Information security management guidelines for the finance and insurance setors.ISO/IEC 27032: Guideline for cybersecurityISO/IEC 27033: Guideline for IT network security, a multipart standard based on ISO/IEC 18028:2006ISO/IEC 27034: Guideline for application securityISO/IEC 27035: Guideline for security incident managementISO/IEC 27036: Guideline for security of outsourcingISO/IEC 27037: Guideline for identification, collection, and/or acquisition and preservation of digital evidence.

Preguntas y Respuestas

Muchas Gracias

Gerardo Alejandro Santéliz Garcí[email protected]

gerardo alejandro santéliz garcía auditor de sistemas

Documents