Академический Документы
Профессиональный Документы
Культура Документы
Ing. Wilson Andia Cuiza, CISA, ISO 27001 LA Auditor de Sistemas de Informacin Certificado CISA por ISACA de EEUU. Auditor Lder de Seguridad de la Informacin ISO 27001 certificado en Madrid-Espaa. Ingeniero de Sistemas, Post-Grados en: Gestin de la Seguridad y Auditora de Sistemas de Informacin y Educacin Superior. Ex - Analista Programador de la Contralora General de la Repblica. Ex - Auditor de Sistemas de la Contralora General de la Repblica efectuando Auditoria de Sistemas a Entidades Pblicas Ex - Consultor de Desarrollo y Seguridad del SIGMA Proyecto ILACO Ministerio de Hacienda Financiado por el BID y Banco Mundial. Ex - Consultor Lder de Gestin y Control de Calidad de Sistemas del Proyecto RUAT Ex - Consultor Auditor de Sistemas del Fondo Nacional de Desarrollo (FNDR). Actualmente Socio y Gerente General de AUD IT Consulting Group S.R.L. Actual docente en la EMI Maestra en Gestin de la Seguridad de la Informacin Docente pre-grado: Universidad Franz Tamayo, Universidad Salesiana de Bolivia Perito en Deteccin de Fraude Informtico Experto en Software de Auditora (IDEA, ACL, TEAM MATE, MEYCOR COBIT, EnCase Forensic ToolKit) Experto en COBIT, COSO, ITIL, Ley Sarbanes Oxley (SOX) Experto en Normas ISO 27001, 17799, 12207, 9126, 15504 Coordinador de investigacin y estndares ISACA Bolivia Captulo 173
Modus Operandi
Los cajeros con pocas habilidades informticas o en colusin con personal de sistemas: Se instalaban el FOXPRO en las terminales Indagaban las bases de datos donde se registraban los cobros de recaudaciones y los parmetros de construccin de inmuebles que hacen al clculo del impuesto. Al finalizar el da de la recaudacin lograban acceso a las bases de datos Modificaban parmetros de construccin del inmueble para reprocesar la liquidacin del impuesto de algunos inmuebles logrando que se reduzca el importe a pagar. Reimprimian boletas de pago, quedndose con el saldo en efectivo del cobro. En otros casos, modificaban directamente en la base de datos, el importe cobrado o cambiaban la fecha de cobro para evitar que se reporte en el arqueo de cajas. Esto por la ausencia de seguridades y deficiente ambiente de control interno
Modus Operandi El cajero vendedor desde la sucursal en colusin con el encargado de cmputo de la central efectuaban: Modificacin de los saldos del inventario en la base de datos Salida fsica de autopartes de la sucursal o venderlas sin reportarlas debido a que esa cantidad ya fue retirada de los saldos. Hacan coincidir los saldos fsicos con los saldos del sistema cuando se vena un inventario fsico de autopartes, para ello el encargado de computo desde la central ya alertaba al vendedor de tener todo en orden, para evitar tener diferencias en saldos. Llevaban un control particular de sus movimientos en archivos y se contactaban por correo electrnico.
El ao 2006 a travs de la Empresa AUD IT Consulting Group S.R.L. detectamos fraude informtico en programas fuente con cdigo malicioso que efectuaba el proceso de las planillas de sueldo de una Entidad Publica y no tomaba en cuenta los atrasos, faltas en el clculo de descuentos nicamente para el personal de sistemas, por lo que ninguno tena un descuento cada mes, pese a que era evidente los continuos atrasos y faltas al trabajo.
Modus Operandi El analista/programador que desarroll el sistema de planillas de sueldo para la Entidad: Inclua dentro del programa fuente, luego compilarlo, instrucciones de condicin que preguntaban si el registro en curso para el proceso de planillas corresponda a un tem del personal de sistemas no llamaba a la funcin para el clculo de multas por atrasos o faltas, caso contrario efectuaba el proceso normal para todo el resto del personal. La incorporacin del cdigo malicioso efectuaba das antes del procesamiento de planillas cerca de fin de mes. Pasado el proceso de planillas y emisin de boleas de pago, el Analista/Programador restitua el programa original sin el cdigo malicioso.
Modus Operandi Las cajas se cerraban a las 5 de la tarde, sin embargo, una de las cajeras cerraba la caja 10 minutos antes de la cinco de la tarde. Retena entre cinco y diez comprobantes diarios que fueron introducidos al sistema Inmediatamente entregaba al encargado de sistemas, quien abra la base de datos y les borraba como ingresos del da realmente recaudado y les registraba en un mes anterior con importes mnimos. Ambos, la cajera y el encargado de sistemas tomaban el dinero
Apoyo del Gobierno y de las Mximas Autordades Ejecutivas en las Entidades Pblicas para la aplicacin de Polticas Gubernamentales en temas de seguridad en Tecnologas de la informacin (a la fecha no se hizo nada). Apoyo de los Directores Ejecutivos en las Empresas Privadas para la implementacin de Sistemas de Gestin de la Seguridad de la Informacin
Entidades Pblicas y Privadas, lograr la Certificacin en el Sistema de Gestin de la Seguridad de la Informacin basado en Norma ISO 27001 (En Bolivia no hay Empresa certificada).
Japn 1.850 Reino Unido 333 India con 255. Mxico 11. Brasil 11 Espaa 9 Argentina 3 Colombia 2 Chile 1 Per 1 Uruguay 1 Bolivia ?
Fuente http://seguinfo.blogspot.com/2006/12/3233-empresas-certificadas-en-iso-27001.html
Fortalecer a las Direcciones de Tecnologa, en infraestructura tecnolgica de seguridad tanto en hardware y software. Implementacin de polticas, procedimientos, instructivos de trabajo en las Empresas/Entidades referidas a la seguridad de la informacin as como se hace en la base documental de las normas ISO 9000. Implementacin de mejores prcticas y controles de seguridad basados en Normas ISO 17799 y 27001. Efectuar Auditoras a la Seguridad de la Informacin basados en COBIT, ISO 27001 y 17799.
Efectuar Auditoras de Sistemas basados en COBIT, Normas ISO 27001, 17799, 12207 y 9126. Incorporar a Oficiales de Seguridad de la Informacin (OSI) con certificaciones internacionales en las Empresas Pblicas y Privadas. Fortalecimiento de las Unidades de Auditora Interna con Auditores de la seguridad de la informacin y Auditores de Sistemas. Realizacin de conferencias, seminarios, talleres, cursos relacionados con la Seguridad de la Informacin y la Auditora de Sistemas.
!! MUCHAS GRACIAS!!
Ing. Wilson Andia Cuiza, CISA, ISO 27001 LA
www.auditsrl.com wandia@auditsrl.com