Incertidumbre existente por la posible realizacin de un suceso relacionado con la amenaza de dao respecto a los bienes o servicios informticos,

como equipos informticos, perifricos, instalaciones, programas de cmputo, etc. Es importante en toda organizacin contar con una herramienta, que garantice la correcta evaluacin de los riesgos, a los cuales estn sometidos los procesos y actividades que participan en el rea informtica; y por medio de procedimientos de control se pueda evaluar el desempeo del entorno informtico. TIPO DE RIESGOS 1. Riesgo de integridad: Este tipo abarca todos los riesgos asociados con la autorizacin, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organizacin. Estos riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y estn presentes en mltiples lugares, y en mltiples momentos en todas las partes de las aplicaciones; no obstante estos riesgos se manifiestan en los siguientes componentes de un sistema:

Interfase del usuario: Los riesgos en esta rea generalmente se relacionan con las restricciones, sobre las individualidades de una organizacin y su autorizacin de ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una razonable segregacin de obligaciones. Otros riesgos en esta rea se relacionan a controles que aseguren la validez y completitud de la informacin introducida dentro de un sistema. Procesamiento: Los riesgos en esta rea generalmente se relacionan con el adecuado balance de los controles defectivos y preventivos que aseguran que el procesamiento de la informacin ha sido completado. Esta rea de riesgos tambin abarca los riesgos asociados con la exactitud e integridad de los reportes usados para resumir resultados y tomar decisiones de negocio. Procesamiento de errores: Los riesgos en esta rea generalmente se relacionan con los mtodos que aseguren que cualquier entrada/proceso de informacin de errores (Excepciones) sean capturados adecuadamente, corregidos y reprocesados con exactitud completamente. Administracin de cambios: Estos riesgos estn asociados con la administracin inadecuadas de procesos de cambios de organizaciones que incluyen: Compromisos y entrenamiento de los usuarios a los cambios de los procesos, y la forma de comunicarlos e implementarlos. Informacin: Estos riesgos estn asociados con la administracin inadecuada de controles, incluyendo la integridad de la seguridad de la informacin procesada y la administracin efectiva de los sistemas de bases de datos y de estructuras de datos.

2. Riesgos de relacin: Los riesgos de relacin se refieren al uso oportuno de la informacin creada por una aplicacin. Estos riesgos se relacionan directamente a la informacin de toma de decisiones (Informacin y datos correctos de una persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones correctas). 3 Riesgos de acceso:

Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e informacin. Estos riesgos abarcan: Los riesgos de segregacin inapropiada de trabajo, los riesgos asociados con la integridad de la informacin de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la informacin. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la informacin: Administracin de la informacin: El mecanismo provee a los usuarios acceso a la informacin especfica del entorno. Entorno de procesamiento: Estos riesgos en esta rea estn manejados por el acceso inapropiado al entorno de programas e informacin. Redes: En esta rea se refiere al acceso inapropiado al entorno de red y su procesamiento. Nivel fsico: Proteccin fsica de dispositivos y un apropiado acceso a ellos. 4. Riesgo de utilidad: Estos riesgos se enfocan en tres diferentes niveles de riesgo: * Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran. *Tcnicas de recuperacin/restauracin usadas para minimizar la ruptura de los sistemas. *Backups y planes de contingencia controlan desastres en el procesamiento de la informacin. 5. Riesgos de infraestructura: Estos riesgos se refieren a que en las organizaciones no existe una estructura informacin tecnolgica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos riesgos estn asociados con los procesos de la informacin tecnolgica que definen, desarrollan, mantienen y operan un entorno de procesamiento de informacin y las aplicaciones asociadas (servicio al cliente, pago de cuentas, etc. 6. Riesgos de seguridad general: Los estndar IEC 950 proporcionan los requisitos de diseo para lograr una seguridad general y que disminuyen el riesgo:

 Riesgos de choque de elctrico: Niveles altos de voltaje. Riesgos de incendio: Inflamabilidad de materiales. Riesgos de niveles inadecuados de energa elctrica. Riesgos de radiaciones: Ondas de ruido, de lser y ultrasnicas. Riesgos mecnicos: Inestabilidad de las piezas elctricas.

CMO SUCEDEN LOS FRAUDES

Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e informacin. Estos riesgos abarcan: Los riesgos de segregacin inapropiada de trabajo, los riesgos asociados con la integridad de la informacin de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la informacin. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la informacin: Administracin de la informacin: El mecanismo provee a los usuarios acceso a la informacin especfica del entorno. Entorno de procesamiento: Estos riesgos en esta rea estn manejados por el acceso inapropiado al entorno de programas e informacin. Redes: En esta rea se refiere al acceso inapropiado al entorno de red y su procesamiento. Nivel fsico: Proteccin fsica de dispositivos y un apropiado acceso a ellos. Los fraudes pueden ser perpetuados a travs de los siguientes mtodos: 1. Ingeniera Social. Consiste en plantear situaciones para conmover o sobornar a quienes pueden proporcionar la informacin deseada o facilitar la ocurrencia de ilcitos. 2. Puertas Levadizas (Fuga o Escape de Datos). El personal de PED puede construir puertas levadizas (rutinas) en los programas de computador para permitir que los datos entren y salgan sin ser detectados. Caractersticas: a) Implica la incrustacin de instrucciones no autorizada en los programas del computador. b) Los cdigos especiales pueden ser diferentes de los cdigos de los registros de entrada. En este caso, puede haber complicidad entre los grabadores de los datos y el programador. c) En los informes de control de calidad no se dejan evidencias de la utilizacin de cdigos especiales. d) Los criminales no necesariamente deben estar presentes en el escenario del crimen. 3. Recoleccin de Basura. Se usa la basura de las aplicaciones de computador, dejada dentro de la instalacin o en su periferia despus de la ejecucin de un trabajo. La basura o deshechos del computador contiene cosas como listados de programas, listados con informacin o reportes y documentacin de los sistemas. Los cdigos correctos para accesar los archivos o las terminales, pueden ser obtenidos por los criminales usando los datos residuales que se dejan en la basura. 4. Ir a Cuestas para tener Acceso no Autorizado. es un paseo que se da el perpetrador con la

gente influyente y que es aprovechado para realizar sus hazaas de prestidigitador (tramposo) conducente a abrir las lneas de comunicacin, abrir las puertas del centro de cmputo, lograr acceso a las terminales y otras proezas para violar la seguridad de los sistemas computarizados.

Esta tcnica vara desde trampas muy simples hasta tretas electrnicas complejas. es un paseo que se da el perpetrador con la gente influyente y que es aprovechado para realizar sus hazaas de prestidigitador (tramposo) conducente a abrir las lneas de comunicacin, abrir las puertas del centro de cmputo, lograr acceso a las terminales y otras proezas para violar la seguridad de los sistemas computarizados. Esta tcnica vara desde trampas muy simples hasta tretas electrnicas complejas. 5. La Tcnica del Caballo de Troya. Consiste en insertar una rutina fraudulenta que se activa cuando cierta condicin o una fecha ocurre.Estas rutinas pueden ser introducidas preferiblemente adicionando un cambio no autorizado en el momento de implantar un cambio autorizado. 6. Tcnica del Taladro.Consiste en la utilizacin de una computadora casera para llamar con diferentes cdigos hasta que uno de resultado. Puede ser utilizada para descubrir las contraseas de acceso a terminales. En USA, Pepsi Cola Co. se vio seriamente abochornada cuando cuatro chicos de 14 aos descubrieron los cdigos de seguridad de una de sus computadoras en Canad y ordenaron para s cajas gratis de bebidas gaseosas. 7. Agujeros del Sistema Operativo o Trampas-Puerta.Trampas-Puerta son deficiencias en los sistemas operacionales. Como en Alicia en el Pas de las Maravillas, existen muchos agujeros que permiten caer en el pas de las maravillas. El uso de unas cuantas instrucciones de control son suficientes para cometer fraudes, sin necesidad de que el perpetrador sea un experto en programacin. Basta con que el System Programmer sea suficiente experto y puede aprovechar esos agujeros para introducir instrucciones adicionales malintencionadas. 8. Superzapping.Utilizacin de programas de acceso universal de algunos computadores (una especie de llave maestra) para pasar por sobre todos los controles normales y permitir el acceso a todos los archivos de datos. Esta tcnica es especialmente peligrosa porque, en manos diestras, no deja rastros o indicios. Puede ser utilizada para manipular directamente los archivos maestros.

9. Manipulacin de Transacciones.

Es el mtodo ms frecuentemente utilizado, consiste en cambiar la informacin antes o durante la entrada al computador.

Puede ser perpetrado por cualquier por cualquier persona que tenga acceso al proceso de crear, registrar, transportar, codificar, examinar o convertir la informacin que entra al computador. Se comete agregando transacciones no autorizadas, alterando transacciones, no procesando transacciones o combinando varios mtodos.

Manipulacin: maniobra o manejo destinado a engaar.

Intercepcin de Lneas de Comunicacin de Datos.

Se intervienen los circuitos de comunicacin entre:

a. Terminales y concentradores. b. Terminales y computadores c. Computadores y computadores

La intercepcin de comunicaciones por telfono, microondas o satlite, es tcnicamente posible.

El uso de hardware de criptografa es un mtodo efectivo para evitar este tipo de penetracin

TCNICAS UTILIZADAS PARA PERPETRAR LOS FRAUDES Fraude relacionado con la entrada de datos

Segregacion de funciones en las areas de usuarios y entre usuarios y personal. Conciliaciones independientes Autorizacion de cambios en los datos existentes Controles al acceso a los archivos de datos Lista y revision periodica de los datos existentes

Fraude relacionado con los programas

Autorizacion y prueba de los cambios en los programas Acceso restringido a las librerias del sistema que contienen programas de vida Uso de programas especiales de utilidad para comparar las versiones cambiadas de los programas, para asegurarse de que solo se han hecho las modificaciones autorizadas. Reducir la dependencia del personal de los sistemas clave.