Importancia de la Información
Cuando se habla de la función informática generalmente se tiende a hablar de tecnología nueva, de nuevas aplicaciones, nuevos dispositivos hardware, nuevas formas de elaborar información más consistente, etc.
Sin embargo se suele pasar por alto o se tiene muy implícita la base que hace posible la existencia de los anteriores elementos. Esta base es la información.
Es muy importante conocer su significado dentro la función informática, de forma esencial cuando su manejo esta basado en tecnología moderna, para esto se debe conocer que la información:
esta almacenada y procesada en computadoras
puede ser confidencial para algunas personas o a escala institucional
puede ser mal utilizada o divulgada
puede estar sujeta a robos, sabotaje o fraudes
Los primeros puntos nos muestran que la información esta centralizada y que puede tener un alto valor y lo s últimos puntos nos muestran que se puede provocar la destrucción total o parcial de la información, que incurre directamente en su disponibilidad que puede causar retrasos de alto costo.
Pensemos por un momento que hay se sufre un accidente en el centro de computo o el lugar donde se almacena la información. Ahora preguntémonos: ¿Cuánto tiempo pasaría para que la organización este nuevamente en operación?
Es necesario tener presente que el lugar donde se centraliza la información con frecuencia el centro de cómputo puede ser el activo más valioso y al mismo tiempo el más vulnerable.
Riesgo
Proximidad o posibilidad de un daño, peligro, etc.
Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro.
Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro.
Seguridad
Cualidad o estadode seguro
Garantía o conjunto de garantías que se da a alguien sobre el cumplimiento de algo.
Ejemplo: Seguridad Social Conjunto de organismos, medios, medidas, etc., de la administración estatal para prevenir o remediar los posibles riesgos, problemas y necesidades de los trabajadores, como enfermedad, accidenteslaborales, incapacidad, maternidad o jubilación; se financia con aportaciones del Estado, trabajadores y empresarios.
Se dice también de todos aquellos objetos, dispositivos, medidas, etc., que contribuyen a hacer más seguro el funcionamiento o el uso de una cosa: cierre de seguridad, cinturón de seguridad.
Con estos conceptos claros podemos avanzar y hablar la criminología ya ha calificado los "delitos hechos mediante computadora"o por "sistemas de información" en el grupo de delitos de cuello blanco.
Crónica del crimen (o delitos en los sistemas de información)
Delitos accidentales e incidentales
Los delitos cometidos utilizando la computadora han crecido en tamaño, forma y variedad.
En la actualidad (1994) los delitos cometidos tienen la peculiaridad de ser descubiertos en un 95% de forma casual. Podemos citar a los principales delitos hechos por computadora o por medio de computadoras estos son:
fraudes
falsificación
venta de información
Entre los hechos criminales más famosos en los E.E.U.U. están:
El caso del Banco Wells Fargo donde se evidencio que la protección de archivos era inadecuada, cuyo error costo USD 21.3 millones.
El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales.
El caso de un muchacho de 15 años que entrando a la computadora de la Universidad de Berkeley en California destruyo gran cantidad de archivos.
También se menciona el caso de un estudiante de una escuela que ingreso a una red canadiense con un procedimiento de admirable sencillez, otorgándose una identificación como un usuario de alta prioridad, y tomo el control de una embotelladora de Canadá.
También el caso del empleado que vendió la lista de clientes de una compañía de venta de libros, lo que causo una perdida de USD 3 millones.
Conclusión
Estos hechos y otros nos muestran claramente que los componentes del sistema de información no presentaban un adecuado nivel de seguridad. Ya que el delito se cometió con y sin intención. Donde se logró penetrar en el sistema de información.
Virus informático
Definición: El virus informático es un programa elaborado accidental o intencionadamente, que se introduce y se transmite a través de diskettes o de la red telefónica de comunicación entre ordenadores, causando diversos tipos de daños a los sistemas computarizados. Ejemplo: el virus llamado viernes trece o Jerusalén, que desactivó el conjunto de ordenadores de la defensa de Israely que actualmente se ha extendido a todo el mundo.
Históricamente los virus informáticos fueron descubiertos por la prensael 12 de octubre de 1985, con una publicación del New York Times que hablaba de un virus que fue se distribuyo desde un BBS y aparentemente era para optimizar los sistemas IBM basados en tarjeta gráfica EGA, pero al ejecutarlo salía la presentación pero al mismo tiempo borraba todos los archivos del disco duro, con un mensaje al finalizar que decía "Caíste".
Bueno en realidad este fue el nacimiento de su nombre, ya que los programas con códigointegrado, diseñados para hacer cosas inesperadas han existido desde que existen las computadoras. Y ha sido siempre la obra de algún programador delgado de ojos de loco.
Pero las primeras referencias de virus con fines intencionales surgieron en 1983 cuando Digital Equipament Corporation (DEC) empleo empleó una subrutina para proteger su famoso procesadorde textos Decmate II, que el 1 de abril de 1983 en caso de ser copia ilegal borraba todos los archivos de su unidad de disco.
Los principales casos de crímenes cometidos empleando por virus informáticos son:
12 de diciembre de 1987. El virus de Navidad Una tarjeta navideña digital enviada por medio de un BBS de IBM atasco las instalaciones en los EE.UU. por 90 minutos. Cuando se ejecutaba el virus este tomaba los Adress Book del usuario y se retransmitía automáticamente, ademas que luego colgaba el ordenador anfitrión.
Esto causo un desbordamiento de datosen la red.
10 de enero de 1988. El virus Jerusalénse ejecuta en una universidad hebrea y tiene como fecha límite el primer viernes 13 del año, como no pudieron pararlo se sufría una disminución de la velocidad cada viernes 13.
20 de septiembre de 1988 en Fort Worth, Texas, Donald Gene un programador de 39 años será sometido a juicio el 11 de julio por cargos delictivos de que intencionadamente contaminó el sistema de por ser despedido, con un virus informático el año 85. Sera la primera persona juzgada con la ley de sabotaje que entro en vigor el 1 de septiembre de 1985. El juicio duro 3 semanas y el programador fue declarado culpable y condenado a siete años de libertad condicional y a pagar USD. 12000.
Su empresaque se dedicaba a la bolsa sufrió borro de datos, aproximadamente 168000 registros.
4 de noviembre de 1988 Un virus invade miles de computadoras basadas en Unix en universidades e instalaciones de investigación militares, donde las velocidades fueron reducidas y en otros casos paradas. También el virus se propagó a escala internacional.
Se estableció que la infección no fue realizada por un virus sino por un programa gusano, diseñado para reproducirse así mismo indefinidamente y no para eliminar datos. El programa se difundió a través de un corrector de errores para correo electrónico, que se movió principalmente en Internet (Arpanet) y contamino miles de computadoras en todo el mundo contando 6000 computadoras en centros militares en los EE.UU. , incluyendo la NASA, la Fuerza Aérea, el MIT, las universidades de Berkeley, Illinois, Boston, Stanford, Harvard, Princeton, Columbia y otras. En general se determino que la infección se propago en las computadoras VAX de DEC (digital equipament corp) y las fabricadas por Sun Microsystems, que empleaban Unix.
Se halla al culpable Robert Morris, estudiante de 23 años, que declara haber cometido un error al propagar el gusano. Morris era el hijo de un experto en seguridad informática del gobierno.
El caso fue investigado por el FBI. Posiblemente se sentencie a Morris por 5 años de prisión y una multa USD. 250000.
23 de marzo del 89 virus ataca sistemas informáticos de hospitales, variando la lectura de informes de laboratorio.
Y los últimos pero recordados vaccina, hacker, cpw543, natas, antiexe, etc.
Conclusión
Estos casos y muchos otros nos muestran que al realizar la auditoríase debe estudiar con mucho cuidado lo que significan los virus. Y conocer los diferentes tipos como ser: caballo de troya, gusano, trampilla, bomba de tiempo, bomba lógica y los recientes macro virus.
Pero como principal punto de partida se debe observar que el sistema:
No tenga copias ilegales o piratas
Que no exista la posibilidad de transmisión de virus al realizar conexiones remotas o de redes
El acceso de unidades de disco flexible sea restringido solo a quienes las necesitan
Observación
Es muy importante manejar con discreción los resultados que se obtengan de los aspectos de seguridad, pues su mala difusión podría causar daños mayores. Esta información no debe ser divulgada y se la debe mantener como reservada.
Ambiente propicio para el cultivo del crimen
En la actualidad se nota que los fraudes crecen en forma rápida, incluso mayor que los sistemas de seguridad. Se sabe que en los EE.UU. se cometen crímenes computarizados denunciados o no por más de 3 mil millones de dólares.)
Es importante para el auditor conocer las causas para que se cometan delitos, ya que una vez encontrado el problema se debe observar la raíz para sugerir su solución, entre las causas podemos citar, dos grupos:
Mayor riesgo
Beneficio personal
Síndrome de Robín Hood
Odio a la organización
Mentalidad turbada
Equivocación de ego
Deshonestidad del departamento
Problemas financieros de algún individuo
Fácil modo de desfalco
Menor riesgo
Beneficio de la organización
Jugando a jugar
Conclusión
Al ingresar al área de seguridad se debe contemplar muy estrechamente las relaciones que hay entre los aspectos: tecnológicos, humano - sociales y administrativos.
Paradigmas Organizacionales en Cuanto a Seguridad
Paradigma: Modelo o ejemplo de algo, En filosofía: Conjunto de ideas filosóficas, teorías científicas y normas metodológicas que influyen en la forma de resolver los problemas en una determinada tradición científica.
Sinónimo: prototipo, muestra, canon.
Los paradigmas desempeñan un papel importante en la actual filosofía de la ciencia, a partir de la obra de Thomas S. Kuhn "La estructura de las revoluciones científicas" (1962).
Del paradigma se desprenden las reglas que rigen las investigaciones. Cuando dentro de un paradigma aparecen anomalías excesivas, se produce una revolución científica que consiste precisamente en el cambio de paradigma
Es muy importante que el auditor conozca los paradigmas que existen en las organizaciones sobre la seguridad, para no encontrarse con un contrincante desconocido.
Entre los principales paradigmas que se pueden encontrar veamos los siguientes:
Generalmente se tiene la idea que los procedimientos de auditoría es responsabilidad del personal del centro de computo, pero se debe cambiar este paradigma y conocer que estas son responsabilidades del usuario y del departamento de auditoría interna.
También muchas compañías cuentan con dispositivos de seguridad física para los computadores y se tiene la idea que los sistemas no pueden ser violados si no se ingresa al centro al centro de computo, ya que no se considera el uso terminales y de sistemas remotos.
Se piensa también que los casos de seguridad que tratan de seguridad de incendio o robo que "eso no me puede suceder a mí" o "es poco probable que suceda".
También se cree que los computadores y los programas son tan complejos que nadie fuera de su organización los va a entender y no les van a servir, ignorando las personas que puedan captar y usarla para otros fines.
Los sistemas de seguridad generalmente no consideran la posibilidad de fraude interno que es cometido por el mismo personal en el desarrollo de sus funciones.
Generalmente se piensa que la seguridad por clave de acceso es inviolable pero no se considera a los delincuentes sofisticados.
Se suele suponer que los defectos y errores son inevitables.
También se cree que se hallan fallas porque nada es perfecto.
Y la creencia que la seguridad se aumenta solo con la inspección.
