RIESGOS DEL USO DE AMBIENTES COMPUTARIZADOS. Tema: Sistemas de Información y Gestión: Auditoria y seguridad

Transcripción

1 RIESGOS DEL USO DE AMBIENTES COMPUTARIZADOS Área: Administración y Sistemas Tema: Sistemas de Información y Gestión: Auditoria y seguridad Congreso: 18 Congreso Nacional de Profesionales en Ciencias Económicas, Lugar de realización: Sede Consejo Profesional de Ciencias Económicas, Ciudad Autónoma de Buenos Aires, Fecha: de Junio del 2010 Código de Identificación:

2 RIESGOS DEL USO DE AMBIENTES COMPUTARIZADOS Área: Administración y Sistemas Tema: Sistemas de Información y Gestión: Auditoria y seguridad Congreso: Congreso Nacional de Profesionales en Ciencias Económicas, Lugar de realización: Sede Consejo Profesional de Ciencias Económicas, Ciudad Autónoma de Buenos Aires, Fecha: de Junio del 2010

3 Resumen...5 Ambiente computarizado Introducción Definición de ambiente computarizado Beneficios del ambiente computarizado Involucramiento de la Alta Gerencia Normas y Procedimientos Participación Activa Control interno vs Ambientes computarizados CAVR Modelo de Control Interno COSO Report Detalle de componentes del COSO Report Controles automáticos Características distintivas de controles automáticos Impacto sobre el ambiente de control Efectos de una aplicación deficiente de controles automáticos Auditorias aplicadas en ambientes computarizados Implicancias de la auditoria Impacto del procesamiento de información Controles aplicados en ambientes computarizados Riesgos claves para el Control Interno Objetivos Compartidos COBIT Definición Áreas de enfoque de COBIT...21

4 6.3 Integración mediante la implementación de COBIT...23 Fraude Informático Introducción Definición de Fraude Informático Objetivo del Fraude Informático Causas del Fraude Informático Técnicas comunes de Fraude Informático Pishing Funcionamiento del Pishing Pharming Vishing/Smishing Herramientas principales para mitigar el fraude informático Auditoria Forense Definición Objetivos Implementación Regulaciones relacionadas al Fraude Informático Locales Banco Central de la Republica Argentina Congreso Nacional de la Argentina...30 Gestión del Riesgo Introducción Definición de Gestión del Riesgo Capacidades de Gestión del Riesgo Eventos Riesgos y Oportunidades Definición de la Gestión de Riesgos Corporativos Metodologías aplicables COSO ERM (Enterprise Risk Management)...34

5 2.2 Magerit (Metodología de análisis y gestión del riesgo) Objetivos Beneficios de MAGERIT...36 CONCLUSIÓN...37 Bibliografía...40 Resumen Los procesos administrativos aplicados por las distintas organizaciones cada vez poseen un mayor grado de participación de los sistemas computarizados. La primera impresión del uso de los mismos es altamente positiva para los operarios finales, ya que los ayuda a realizar sus tareas rutinarias en un mayor tiempo y con una menor probabilidad de error. Pero, los riesgos de los sistemas computarizados son correctamente analizados? Todos los usuarios poseen sus permisos correctamente asignados sobre el aplicativo utilizado? La estrategia de IT se encuentra alineada con la estrategia general del negocio? La administración y aplicación de la seguridad informática, es la correcta? El objetivo del trabajo desarrollado es poder contestar estás preguntas a las personas interesadas y lograr así, la concientización necesaria para que a la hora de automatizar los procesos administrativos claves de una organización, no se cometan errores que en el corto o largo plazo, podrían afectar la confiabilidad en la organización y en los estados contables informados a los distintos stakeholders intervinientes.

6 Ambiente computarizado 1. Introducción 1.1 Definición de ambiente computarizado 1 Cuando una organización procesa su información de negocio y/o contable, total o parcialmente, mediante el uso de sistemas computarizados, debe entenderse que el ámbito en donde se realizan dichas operaciones es el denominado Ámbito Computarizado : Los aspectos considerados relevantes para definir el ambiente computarizado son: 1. Planificación del área de Sistemas a. Existencia de un plan de sistemas a corto y largo plazo debidamente formalizado y aprobado. Debe estar integrado a los objetivos del negocio y comunicado en forma tota. 2. Organización del área de sistemas a. Estructura integral cubriendo todas las áreas claves, con la descripción de misiones y funciones para cada puesto con responsabilidad en la organización. 3. Definición de políticas y procedimientos a. Definición y publicación de las normas y procedimientos que hacen al área de sistemas (Cambios a programas, seguridad informática, procesos de backups, etc.) 4. Datos: Es el componente principal de los ambientes computarizados, ya que de la calidad de estos, depende la calidad de la información que se procese y se genere. La principal consideración es el acceso a los mismos por personal 1 Cansler,L, Elissondo, L. Godoy, L. Rivas, R, Auditoria en Ambientes Computarizados, Noviembre 2004

7 autorizado, debido a que si no son correcta protegidos, pueden ser alterados y modificar los estados financieros de la organización 5. Control en el ingreso de los datos: Los sistemas de gestión y administración deben contemplar la funcionalidad de control de datos al comienzo de cada operación, ya sea a través de la validez de los datos como de la integridad de los mismos en relación al conjunto de datos que se deben completar previos a la ejecución de la operación. 6. Procesamiento de los datos: a. Los archivos maestros son adecuadamente actualizados por la información ingresada. Del mismo modo, se depuran los datos para evitar la permanencia de aquellos erróneos o sin valor, que puedan afectar la calidad de la información. b. Las funciones de procesamiento son realizadas por las personas autorizadas a ello. c. Existe un registro o log de las transacciones críticas que se realizan y el mismo es revisado periódicamente. 7. Infraestructura Tecnológica: Comprende el hardware (equipos de computación), dispositivos de comunicaciones, sistemas operativos, sistemas de bases de datos, instalaciones, y demás componentes necesarios para poder llevar a cabo el procesamiento de los sistemas de información (SIC).Es necesario que: El uso de estos debe estar planificado y coordinado en conjunto con el Plan de Sistemas. 8. Seguridad y Continuidad de las operaciones: Tanto las mejores prácticas de auditoría como las resoluciones de las leyes que soportan el procesamiento de la información, exigen que las organizaciones posean un Plan de Continuidad de Negocio (PCN) y la

8 seguridad de usuarios y perfiles, correctamente establecida y monitoreada. El objetivo es permitir la continuidad de la empresa en marcha ante posibles fallas en los sistemas principales. 9. Actividades de Monitoreo de los Sistemas de Información. Es recomendable que: Exista un área que se encargue de monitorear las actividades realizadas en el ambiente computarizado. Los hallazgos sean comunicados oportunamente a los niveles directivos. Se realice un seguimiento adecuado y oportuno de las medidas correctivas que la organización haya instrumentado. 1.2 Beneficios del ambiente computarizado 2 Las organizaciones se encuentran procesando información constantemente con riesgos latentes de producirse. Los riesgos podrían ser: - Por fallas humanas - Fraudes internos o externos - Robo de información por personal interno Del mismo modo, los controles pueden clasificarse, según la oportunidad de detección del riesgo en: - Preventivos (son comunes en organizaciones que poseen sus procesos sistematizados) - Detectivos (son comunes en organizaciones cuyos controles claves son realizados de forma manual) Pasamos a detallar un gráfico explicativo: 2 IT Governance Institute COBIT

9 Están expuestos a ACTIVOS Interesan por su AMENAZAS VALOR Causan un cierto IMPACTO REDUCEN Con una cierta PROBABILIDAD CONTROLES 1.3 Involucramiento de la Alta Gerencia Normas y Procedimientos RIESGO RESIDUAL L La aplicación de un ambiente computarizado y la respectiva asociación al modelo de control interno utilizado por la organización, exige un desarrollo

10 de normas y procedimientos que estandarice las tareas rutinarias de los usuarios finales. Para realizar lo mismo, la organización deberá desarrollar: Misiones y funciones de cada puesto en particular de la organización Procedimientos formales y estándares para la ejecución de actividades especificas Metodologías especificas y apropiadas para el desarrollo y mantenimiento de aplicaciones y/o la adquisición de nuevos software Documentos formales sobre el formato y contenido de la documentación respaldatoria de las operaciones criticas Participación Activa 3 Es necesario que el nivel directivo de una organización promueva medidas efectivas y oportunamente encaminadas a tratar las cuestiones que hacen a la Alta Gerencia, como ser planificación de estrategia, recursos necesarios, definición de la estructura de TI según necesidades, etc. Por consiguiente, la dirección y la administración ejecutiva deben extender su manejo al área de TI y proporcionar el liderazgo, procesos y estructuras de la organización para asegurar que el ambiente computarizado sustente y amplíe los objetivos y las estrategias de la organización. El manejo de la TI no es una disciplina aislada, sino que debe convertirse en parte integral del manejo total de una empresa; es decir; la TI necesita adoptarse como parte integral de la empresa, en lugar de concebirse como algo que se práctica en un rincón aislado o como simple teoría. Si bien algunos han tenido éxito, en muchas organizaciones las expectativas y la realidad con frecuencia no van de la mano. Las direcciones a menudo se enfrentan a: 3 Solano, M III Foro Regional de Tecnología Auditoria en Sistemas- Por qué es importante que su entidad realice auditoría en sistemas Deloitte, Marzo 2008

11 i. El fracaso de las iniciativas de la TI en producir los beneficios y la innovación que prometían ii. iii. Tecnología inadecuada u obsoleta Plazos incumplidos y presupuestos excedidos Las direcciones que ejercen un manejo adecuado de la TI a menudo descubren y atienden los problemas con anticipación al simplemente hacerse las siguientes preguntas: Qué tan importante es la TI para mantener a la organización? Cuál es la trascendencia para el crecimiento de la compañía? Qué tan críticos son los riesgos inherentes al negocio de la organización? El costo de mitigarlos, justifica los medios a utilizar? La TI es un tema regular en el programa de la dirección y se atiende de manera estructurada? El nivel de los informes del director de mayor rango de la TI corresponde a la importancia que tiene la misma en la organización? La importancia otorgada a un buen ambiente de control interno soportado por ambientes computarizados, se debe a las siguientes necesidades de negocio, provenientes de los más altos cargos de las organizaciones: Nuevas Regulaciones Eliminar redundancia y Mejoras en la eficiencia y en la consistencia Presión competitiva INCREMENTO DE LA DEMANDA DE TECNOLOGIA Incremento en la transparencia y rendición de cuentas Incremento de expectativas de los Stakeholders

12 2. Control interno vs Ambientes computarizados CAVR El procesar la información bajo el soporte de sistemas aplicativos, facilita el cumplimiento de los siguientes objetivos de procesamiento de la información: OBJETIVO DESCRIPCIÓN C Completitud de la información A Exactitud de los datos procesados V Validez de la información R Acceso restringido de los usuarios finales a la información procesada Definición de Control Interno El control interno se define como un proceso efectuado por la dirección, la gerencia y otros miembros de una organización, destinado a proporcionar una seguridad razonable, en cuanto al logro de objetivos, en los siguientes aspectos: ASPECTOS CLAVES DEL CONTROL INTERNO CONTROL INTERNO Efectividad y eficiencia de las operaciones Confiabilidad de la información administrativa y contable Cumplimiento de las leyes y normas aplicables Los conceptos fundamentales para completar una definición del Control Interno son: CONCEPTOS CLAVES DEL CONTROL INTERNO CONTROL INTERNO Es un proceso para alcanzar un fin Es implementado por personas, no es solo definir políticas y procedimientos 4 Committee Spnsoring Organizations of the Treadway Commission COSO REPORT

13 Colabora a mejorar o robustecer la seguridad de las operaciones, pero no es total El fin del Control Interno es facilitar el logro de los objetivos organizacionales. 3. Modelo de Control Interno COSO Report El modelo utilizado por excelencia es el denominado COSO, cuyas siglas hacen referencia al Comitee of Sponsoring Organizations, formado por: 1. American Accounting Association (AAA) 2. American Institute of Certified Public Accountants (AICPA) 3. Financial Executives Internacional (FEI) 4. Institute of Internal Auditors (IIA) 5. Institute of Management Accountants (IMA) El objetivo principal de este modelo es colaborar en la mejora del control de actividades, estableciendo un marco de control de sus actividades, estableciendo una definición común entre el control interno y la identificación de sus componentes. Bajo el paradigma de la implementación del modelo COSO, las organizaciones tuvieron que incorporar el concepto de Gestión del Riesgo, entendiéndose como un proceso, de aplicación por directores, gerentes y resto del personal, destinado a establecer las estrategias de toda la empresa, diseñado para identificar eventos potenciales que pudieran dañar a la entidad, y administrar los riesgos para que se encuentren dentro de los límites de su disposición al riesgo, con el fin de proporcionar una razonable seguridad respecto al logro de los objetivos de la organización. 5 Committee Spnsoring Organizations of the Treadway Commission COSO REPORT

14 Pasamos a detallar los componentes del COSO y los objetivos de la Gestión del Riesgo 3.2 Detalle de componentes del COSO Report Los componentes del COSO Report se detallan a continuación: COMPONENTE S COSO Supervisión Información y Comunicación Actividades de Control Evaluación de los Riesgos DESCRIPCIÓN COSO Toda gestión del riesgo debe ser supervisada por personal idóneo y con experiencia. La misma puede aplicarse en tiempo real o a posteriori de los hechos. Siendo la primera, la más recomendada. La información, tanto interna como externa, debe ser identificada, captada y comunicada en tiempo y forma para poder así evaluar los riesgos y tomar las medidas correspondientes. Son las políticas, normas y procedimientos establecidos por las organizaciones para asegurar la estandarización de tareas de los empleados, y que ante eventuales riesgos, cualquier empleado sepa actuar en tiempo y forma. Son herramientas que se utilizan para que cada organización pueda reconocer sus riesgos, para que en el momento de detectar alguno de estos, los pueda analizar y tratar para mitigar sus impactos.

15 Entorno de Control Hace referencia a la cultura generalizada de la empresa con respecto a los mecanismos de control utilizados diariamente. Se toma en cuenta conceptos como ser: integridad de las personas, valores éticos, filosofía de gestión, reconocimiento y motivación al persona, etc. 4. Controles automáticos 4.1 Características distintivas de controles automáticos La aplicación de controles automáticos permite robustecer las evidencias llamadas de auditoria que podrían asegurar el correcto procesamiento de la información, por la persona adecuada, en tiempo y forma solicitada. Las principales características de los controles automáticos se detallan a continuación: CARACTERISTICA Log de auditoria Evidencia Documental Intervención humana Recupero de información DESCRIPCIÓN En la actualidad, el 99% de los aplicativos posee la funcionalidad del resguardo de las operaciones realizadas durante el día, conteniendo los siguientes datos: Fecha y Hora, Usuario creador, Usuario Autorizador, Monto de la operación, Acciones realizadas (Delete, Modify, Created, etc) Al ser controles automáticos, la evidencia de resguardo sería electrónica y no física. Del mismo modo, con una sola copia de la evidencia es suficiente, y no es necesario una muestra de XX cantidad de casos, usados para validar controles manuales. Al ser procesamiento automático, se disminuye la intervención humana, por ende, la posibilidad de error involuntario es menor. Al realizar el procesamiento bajo ambiente computarizado, y el resguardo en memorias o backups, el recupero y en consiguiente, el reprocesamiento de la información es mayor.

16 Al necesitarse menor volumen de evidencia de auditoría, Disminución de de realizar procesamiento automático e ingreso de uso de papeles información directa, disminuye el uso de papeles y colabora en la disminución de la contaminación. 4.2 Impacto sobre el ambiente de control La constante evolución de los negocios, ya sea por globalización o por necesidades de mercados internos, hace que la administración de las operaciones sea cada vez más compleja y que las tareas operativas manuales ya no sean suficientes para garantizar la confiabilidad de los estados financieros de cada organización. Las transformaciones producidas sobre los ambientes operativos de las organizaciones son: - Información globalizada, intercambiada sin limitaciones de tiempo, - Dependencia de la información y de los sistemas que la proveen - El aumento de la vulnerabilidad de las estructuras y la amplitud de las amenazas - El costo de las inversiones en los sistemas de información - La manera en que las tecnologías influyen en las organizaciones Ante este panorama es necesario comprender y manejar las técnicas para la identificación y evaluación de los riesgos que surgen como consecuencia de los cambios tecnológicos. Con respecto a los recursos, se debe optimizar el uso de aquellos que las organizaciones disponen, incluyendo las personas, instalaciones, tecnología, sistemas de aplicación y datos. Para el logro de este objetivo, es necesario establecer un sistema adecuado de control interno, el que debe brindar soporte a los procesos de negocio, definiendo cómo cada actividad de control afecta a los recursos y satisface los requerimientos de información. 4.3 Efectos de una aplicación deficiente de controles automáticos Una deficiente administración de controles automáticos, podría generar:

17 EFECTO Operaciones procesadas Segregación funciones Concentración información mal de de DESCRIPCIÓN Las fallas en los sistemas de información pueden alterar significativamente los montos operados, impactando erróneamente en la contabilidad de la organización La mala asignación de perfiles de usuarios, tanto para las tareas administrativas como contables, podría debilitar el ambiente de control interno La concentración de información critica ocasionaría mayor vulnerabilidad ante ataques a esa base de datos o aplicativo critico 5 Auditorias aplicadas en ambientes computarizados 5.1 Implicancias de la auditoria El uso de computadoras puede, y efectivamente produce cambios significativos en el ingreso, procesamiento, almacenamiento y comunicación de la información contable y, por tal razón, tener efecto sobre los sistemas de contabilidad y control interno, empleados por la organización. Un ambiente SIC puede afectar: - Los procedimientos seguidos por el auditor para obtener una comprensión suficiente de los sistemas de contabilidad y control interno. - La consideración del riesgo inherente y del riesgo de control a través de la cual el auditor llega a la evaluación del riesgo, y - El diseño y desarrollo de pruebas de control y procedimientos sustantivos apropiados para cumplir con el objetivo de la auditoría. 5.2 Impacto del procesamiento de información La importancia y complejidad del procesamiento realizado por medio de computadoras, tiene que ver con la significación de las afirmaciones de los estados contables que se encuentran vinculados al referido proceso, y el grado de complejidad tiene que ver con cuestiones como las que se detallan

18 a continuación. Ambas circunstancias determinan el impacto que produce este ambiente. Alto porcentaje de procesos computarizados sustanciales de la organización que generan información para los estados contables. Alto volumen de transacciones que impide la adecuada identificación y control de los errores de procesamiento a través de aplicación de técnicas tradicionales. Existencia de áreas de desarrollo de nuevos sistemas y mantenimiento de los existentes. Cambios continuos en los sistemas de información, esencialmente originados en nuevas demandas de los distintos sectores de la organización. Operaciones de negocio implementadas a través del uso de aplicaciones vía WEB (por Internet o por redes privadas Intranet/extranet-), que implican una fuerte interacción con clientes y proveedores. Utilización intensiva de sistemas de información computarizados (SIC) para asistir la toma de decisiones (sistemas de información gerenciales, sistemas de soporte a las decisiones, herramientas de análisis de datos para la revisión de la toma de decisiones u otros programas de estas características). Grado de descentralización importante de las actividades de SIC. Alta proporción de procesos sustanciales de la organización que se encuentran tercerizados. 5.3 Controles aplicados en ambientes computarizados Los procedimientos de controles a instrumentar en ambientes de SIC, pueden ser clasificados en Controles Generales y Controles de las Aplicaciones. Los Controles Generales son aquellos que se ocupan de todo cuanto incide en la totalidad del ambiente y no es específico de las Aplicaciones (controles programados). Los Controles Generales proponen el

19 establecimiento de estándares para controlar el diseño, seguridad y uso de los programas de cómputo y la seguridad de los archivos de datos en toda la institución. Los Controles de Aplicación son controles específicos únicos para cada aplicación computarizada, como nómina, cuentas por cobrar y procesamientos de pedidos. Consisten en controles aplicados desde el área funcional de usuarios de un sistema en particular o de procedimientos previamente programados. Más concretamente aplicaciones que se refieran a las actividades propias del negocio donde se utilizan. Estos controles se instrumentan a través de una serie de procedimientos, que se tratan en los puntos que se irán desarrollando seguidamente. 5.4 Riesgos claves para el Control Interno 6 Los principales riesgos a mitigar por el correcto funcionamiento del Control Interno y a validar por las distintas auditorias son: RIESGO FRAUDE INTERRUPCIÓN DEL NEGOCIO ERRORES CLIENTES INSATISFECHOS IMPLICANCIAS Perdidas de beneficios. Daños a la imagen de la organización Perdidas de operaciones, beneficios y de competitividad y marketing Decisiones equivocadas por saldos contables erróneos. Perdida de cartera de clientes, producto de la no renovación de cuentas/productos o desafectación del servicio por descontento. 5.5 Objetivos Compartidos 6 IT Governance Institute - COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition:

20 El objetivo buscado tanto por las auditorias, ya sean internas o externas y por la aplicación de un ambiente computarizado por parte de la organización, es el mismo: Definir el grado de confianza sobre los reportes financieros emitidos y publicados por la organización, de interés tanto para los STAKEHOLDERS actuales (Accionistas, Directores, Gerentes, Empleados, Proveedores, Acreedores, Clientes, Gobierno, etc) como para futuros. Bajo esta premisa, los objetivos de control buscados para dar confianza sobre el sistema contable utilizado en la organización son: - que las transacciones se realicen de acuerdo a la autorización, general o específica, de la dirección; - que todas las transacciones y hechos se registren con prontitud por el importe correcto, en la cuenta adecuada y en el período en que han tenido lugar, de modo que sea posible la preparación de los estados contables en el marco de un conjunto completo de principios contables generalmente aceptados y adecuadamente identificados; - que el acceso a los activos y registros sólo se permita con autorización de la dirección, utilizando para ello los recursos de hardware y de software disponibles de la forma más adecuada, y - que los saldos de los activos se comparen con la existencia real de los mismos a intervalos razonables, y se tomen las medidas oportunas cuando se detecten diferencias. Mencionada la importancia del correcto funcionamiento del ambiente de control computarizado, hacemos mención a un gráfico representativo de la ubicación del área de TI en base a la importancia en la organización estándar actual. 6 COBIT Definición 7 IT Governance Institute COBIT

21 Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT ) brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones habilitadas por TI, asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera: Estableciendo un vínculo con los requerimientos del negocio Organizando las actividades de TI en un modelo de procesos generalmente aceptado Definiendo los objetivos de control gerenciales a ser considerados La orientación al negocio que enfoca COBIT consiste en alinear las metas de negocio con las metas de TI, brindando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los dueños de los procesos de negocio y de TI. 6.2 Áreas de enfoque de COBIT COBIT da soporte al gobierno de TI al brindar un marco de trabajo que garantiza que: TI está alineada con el negocio TI habilita al negocio y maximiza los beneficios Los recursos de TI se usan de manera responsable Los riesgos de TI se administran apropiadamente La medición del desempeño es esencial para el gobierno de TI. COBIT le da soporte e incluye el establecimiento y el monitoreo de objetivos que se puedan medir, referentes a lo que los procesos de TI requieren generar (resultado del proceso) y cómo lo generan (capacidad y desempeño del proceso). Muchos estudios han identificado que la falta de transparencia en los costos, valor y riesgos de TI, es uno de los más importantes impulsores

22 para el gobierno de TI. Mientras las otras áreas consideradas contribuyen, la transparencia se logra de forma principal por medio de la medición del desempeño. La implantación de las mejores prácticas debe ser consistente con el gobierno y el marco de control de la empresa, debe ser apropiada para la organización, y debe estar integrada con otros métodos y prácticas que se utilicen. Los estándares y las mejores prácticas no son una panacea y su efectividad depende de cómo hayan sido implementados en realidad y de cómo se mantengan actualizados. Son más útiles cuando se aplican como un conjunto de principios y como un punto de partida para adaptar procedimientos específicos. La gerencia y el equipo deben entender qué hacer, cómo hacerlo y porqué es importante hacerlo para garantizar que se utilicen las prácticas. Para lograr la alineación de las mejores prácticas con los requerimientos del negocio, se recomienda que COBIT se utilice al más alto nivel, brindando así un marco de control general basado en un modelo de procesos de TI que debe ser aplicable en general a toda empresa. Las prácticas y los estándares específicos que cubren áreas discretas, se pueden equiparar con el marco de trabajo de COBIT, brindando así una jerarquía de materiales guía. COBIT resulta de interés a distintos usuarios: Dirección ejecutiva Para obtener valor de las inversiones y para balancear las inversiones en riesgo y control en un ambiente de TI con frecuencia impredecible Gerencia del negocio Para obtener certidumbre sobre la administración y control de los servicios de TI, proporcionados internamente o por terceros Gerencia de TI Para proporcionar los servicios de TI que el negocio requiere para dar soporte a la estrategia del negocio de una forma controlada y administrada Auditores Para respaldar sus opiniones y/o para proporcionar asesoría a la gerencia sobre controles internos

23 6.3 Integración mediante la implementación de COBIT COBIT asume que el diseño e implementación de los controles de aplicación automatizados (ver sección 5.3 Controles aplicados en ambientes computarizados, de esta misma sección) son responsabilidad de TI, y están cubiertos en el dominio de Adquirir e Implementar, con base en los requerimientos de negocio definidos, usando los criterios de información de COBIT. La responsabilidad operativa de administrar y controlar los controles de aplicación no es de TI, sino del dueño del proceso de negocio. Por lo tanto, la responsabilidad de los controles de aplicación es una responsabilidad conjunta, fin a fin, entre el negocio y TI, pero la naturaleza de la responsabilidad cambia de la siguiente manera: RESPONSABLE EMPRESA Tecnología de la Información (TI) TAREAS A DESARROLLAR - Definir apropiadamente los requisitos funcionales y de control - Uso adecuado de los servicios automatizados - Automatizar e implementar los requisitos de las funciones de negocio y de control - Establecer controles para mantener la integridad de controles de aplicación Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de TI, pero sólo los aspectos de desarrollo de los controles de aplicación; la responsabilidad de definir y el uso operativo es de la empresa. Fraude Informático 1 Introducción 1.1 Definición de Fraude Informático Se considera Fraude Informático a todo hecho delictivo realizado bajo el uso de elementos informáticos, o vulnerando los derechos de un titular de un derecho informático, como ser hardware o software. Los ejemplos más comunes de fraude se detallan a continuación:

24 Robos, hurtos, estafas o fraudes Alteración de programas fuentes actuales Interceptación de comunicaciones Débil segregación de funciones Sabotaje informático Violación a la seguridad lógica de terminales de autoservicios/cajeros automáticos, etc 1.2 Objetivo del Fraude Informático En la era de la información, lo más importante no es el dinero sino la información personal, como ser: - Teléfonos - Números de documentos - Tarjetas de crédito - Correo electrónicos La principal compañera del Fraude Informático es la Ingeniería Social. Si usted es un usuario final, con poco conocimiento de la informática, estará pensando: Si la ingeniería se relaciona con la construcción, desarrollo, innovación, que tendrá que ver con el fraude informático? La misma definición de ingeniería describe la relación: para realizar un fraude informático se necesita mucha creatividad, innovación y capacidad de desarrollo, pero el concepto de sociedad es porque sin la ayuda, involuntaria o voluntaria, el fraude informático no podría desarrollarse. Generalmente, las personas no se dan cuenta del riesgo que tiene abrir un Spam ( enviado a muchas personas en una misma cadena con información variada) o incluirse en esa cadena de s y reenviárselo a todos sus contactos.

25 Estos spam dan la posibilidad de obtener una gran cantidad de direcciones de s que luego podrán ser alteradas mediante el archivo de extensión cookie (archivo que permanece dentro del disco de la PC por haber accedido al mail o al sitio web) almacenado en el interior de la PC del usuario final. 1.3 Causas del Fraude Informático Las principales causas pueden provenir, tanto por motivos individuales (personal interno de la organización o personal externo mal intencionado) como también por debilidades en el control interno de la organización en cuestión. Las causas más repetitivas en la Argentina son: Motivos Individuales - Incentivos financieros / codicia - Mantenimiento de un nivel de vida insostenible según el ingreso salarial - Negación de las consecuencias financieras del acto fraudulento - Decepciones en la carrera laboral - Proyección de ser despedido Causas corporativas (controles y cultura) - Insuficientes controles - Poco compromiso con la organización - Posibilidad de usar la autoridad para saltear controles - Gran cantidad de personas del staff en anonimato 2 Técnicas comunes de Fraude Informático Pishing El phishing es una TÉCNICA de Ingeniería Social cuyo principal propósito es obtener datos personales e información sensible y confidencial de los 8 Técnicas de Fraude Informático 1 de Abril del 2009 Falduto, F - Tecnología _que es el pishing o fraude informatico 5 de Noviembre del 2008

26 usuarios (nombres de usuario y contraseñas, PIN, números de tarjetas de crédito, etc) que luego serán utilizados con finalidades delictivas como el fraude o la estafa. 2.2 Funcionamiento del Pishing Generalmente, el uso de correos electrónicos no deseados (spam), que supuestamente provienen de entidades financieras de las cuales el usuario posee cuenta activo, es la puerta principal al Pishing. La forma de funcionar es muy fácil y muy atractiva para el usuario final: un link en el cuerpo del , direccionándolo al supuesto sitio del oferente y en realidad es un sitio fantasma que sirve para almacenar los datos en una base de datos corrupta. Una vez ingresados los datos, estos quedan en poder de los estafadores cibernéticos. También puede ser que al hacer click en el link, se inicie la descarga de un virus (o código malicioso) que, al ser ejecutado, desplegará sus instrucciones dañinas modificando ciertos archivos y funcionalidades del sistema operativo para causar el mismo efecto que en el caso anterior. 2.3 Pharming El pharming es una nueva amenaza, más sofisticada y peligrosa, que consiste en manipular las direcciones DNS (Domain Name Server) que utiliza el usuario. Los servidores DNS son los encargados de conducir a los usuarios a la página que desean ver. Pero a través de esta acción, los ladrones de datos consiguen que las páginas visitadas no se correspondan con las auténticas, sino con otras creadas para recabar datos confidenciales, sobre todo relacionados con la banca online. Para prevenir los ataques provenientes de dicha técnica, los expertos recomiendan el uso de las siguientes herramientas: Herramienta Software Antimalware Descripción Combinación de sistemas de detección proactivos y reactivos, ya que se adelantan a las posibles amenazas y las bloquean

27 Firewall Personal Actualización automática Con esta precaución se evita que un hacker pueda entrar en el ordenador a través de un puerto de comunicaciones desprotegido, y modificar el sistema. Mantener activa la función de actualizaciones automáticas de los antivirus para poseer protegida la PC de posibles nuevas amenazas. 2.4 Vishing/Smishing Tanto el Vishing como el Smishing son modalidades de estafa basadas en el uso del pishing, cuyo objetivo es el robo de identidad. El robo se focaliza en obtener contraseñas o demás datos que permitan acceder a cuentas bancarias, información de cuentas u otros datos personales por medio de engaños. La diferencia entre ambos es la materialización del hecho delictivo: Uso de s simulando ser de un banco en particular y con un teléfono de contacto. Cuando el usuario se comunica con el VISHING banco, mediante una serie de opciones, los delictivos toman posesión de su cuenta y contraseña. Se basa en enviar spam a los teléfonos móviles a través de mensajes de texto, invitando a los usuarios por ejemplo al Nuevo Sistema de Gestión del Banco. El mensaje pide o que se comunique por teléfono o bien que envíe un mensaje de SMISHING texto con una palabra clave, que luego ellos utilizarán para volver a ponerse en contacto telefónicamente con esa persona y utilizar técnicas para hacerse pasar por empleados del banco, pedirle y obtener los datos de la persona sin que ella en realidad quiera dárselos. 2.5 Herramientas principales para mitigar el fraude informático 9 La principal herramienta que utilizan hoy las compañías/entidades financieras es la aplicación del control interno en todas sus áreas de 9 Rubio, S Taich, D, Prevención e Investigación de Fraudes en la Organización PwC, 19 de Marzo del 2009

28 negocio. Como así también la estandarización de los procesos, mediante manuales, políticas y procedimientos y una herramienta muy utilizada en el comienzo de los pasos en una empresa, que son los códigos de conducta y ética que detallan que cosas puede hacer una persona y la importancia de la confidencialidad de los datos y el correcto uso de las herramientas brindadas por la compañía. Otra de las herramientas implementadas es el control de acceso y privacidad de la información, en donde el papel del área de seguridad informática es crucial, ya que los accesos y los permisos de usuarios sobre la información critica de la compañía/entidad financiera son establecidos por estos ya que son los más idóneos para realizarlo. Más allá de estas herramientas teóricas, los principales medios de detección de fraude son mediante denuncias de: - Clientes. - Empleados, - Proveedores Dada esta situación, muchas compañías han establecido una línea telefónica de denuncias de fraudes, con la que consiguieron disminuir en un 40% los costos por fraudes informáticos. La gran utilidad de este método se debe al anonimato de la persona que realiza la denuncia del fraude en cuestión. No obstante esto, según encuesta Asociación de Examinadores de Fraudes Certificados, en la actualidad el 7% de pérdidas en la facturación de las compañías proviene de Fraudes Informáticos, lo que en la Argentina representaría $ millones de pesos de pérdidas anuales por fraude. 3 Auditoria Forense Rubio, S Taich, D, Prevención e Investigación de Fraudes en la Organización PwC, 19 de Marzo del 2009

29 3.1 Definición Es un conjunto de técnicas efectivas para la prevención e identificación de actos irregulares de fraude y corrupción. Este tipo de auditorías son de investigación, ya que los auditores forenses requieren ciertos conocimientos específicos, como ser: Criminal, Legales, Técnicas de entrevistas y de investigación. 3.2 Objetivos Su principal objetivo es realizar un análisis específico, con miras a ser utilizado con fuerza probatoria en una posible instancia legal. Se trata de una herramienta fundamental a la hora de analizar denuncias de fraudes dentro de una compañía, permitiendo a los abogados incluir esta información precisa en sus denuncias y/o alegatos. Es facilitadora para determinar la existencia del fraude, la materialidad del mismo, identificar a las personas involucradas, detectar los controles y procedimientos que fueron evadidos para perpetrarlo, y proveer soporte en caso que fuera necesario diseñar una estrategia de control de daños. Además, aporta valiosa información para que la empresa continúe operando y desarrolle medidas preventivas para evitar repetición de hechos. 3.3 Implementación La iniciativa de implementar una auditoria forense en conjunto con el área de legales es para delinear estrategias y escenarios, definiendo el impacto que puedan tener las pruebas en fueros laborales y/o penales. Existen distintos marcos regulatorios para las tecnologías de la información: - Ley de Habeas Data - Ley de Firma Digital GENERAL - Ley de delitos informáticos - Protección de propiedad intelectual ENTIDADES - BCRA (Com. A 4609) FINANCIERAS - BASILEA II 2010 BOLSA NEW YORK - Sarbanes - Oxley

30 3.4 Regulaciones relacionadas al Fraude Informático Locales Banco Central de la Republica Argentina El Banco Central de la Republica Argentina (BCRA) durante el año 2006 emitió la comunicación A 4609 sobre registros de seguridad y pistas de auditoría. Esta comunicación se refiere específicamente a las normas sobre requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática y sistemas de información. Asimismo, existe el apartado 8.2, en donde se detalla específicamente que todos los sistemas aplicativos deben generar registros de auditoría que contengan mínimamente las actividades de los usuarios, las tareas realizadas, las funciones monetarias y no monetarias utilizadas Adicionalmente, el 14 de Abril del año 2008, la misma entidad emitió la comunicación A 4793, relacionada a la Gestión del Riesgo Operacional en entidades financieras, que en el apartado relacionado a Eventos de Perdidas, hace mención a las precauciones que deben contemplar las distintas entidades relacionadas al riesgo de fraude informático. Las precauciones son: Información falsa sobre posiciones (propias o de clientes), robos por parte de empleados, utilización Fraude Interno de información confidencial en beneficio de empleados, etc. Robos, falsificación, daños por intromisión en los Fraude Externo sistemas informáticos, etc. Prácticas con Abuso de información confidencial, negociaciones clientes, productos y fraudulentas en las cuentas de la entidad, lavado negocios de dinero, etc Congreso Nacional de la Argentina Banco Central de la República Argentina- Comunicación A 4609 y Comunicación A 4793, año 2006 y 2008 respectivamente. 12 Congreso Nacional de la Argentina Ley de Julio 2008

31 El Congreso Nacional de la Argentina, el 4 de Julio dictó la Ley de Delitos Informáticos (LEY 26388), que incluye los siguientes delitos informáticos: Pornografía infantil por internet u otros medios electrónicos Violación, apoderamiento y desvíos de comunicación electrónica Intercepción o captación de comunicaciones electrónicas o telecomunicaciones Acceso a un sistema o dato informático Publicación de una comunicación electrónica Acceso a un banco de datos personales Revelación de información registrada en un banco de datos personales Fraude Informático Daño o sabotaje informático Las penas establecidas son: a) prisión; b) inhabilitación (cuando el delito lo comete un funcionario público o el depositario de objetos destinados a servir de prueba); c) multa (ej. art. 155). A partir de ahora, personas físicas, empresas, instituciones, organismos públicos, etc., deberán tomar los recaudos necesarios para no ver comprometida su responsabilidad o imagen en la comisión de delitos sobre los que, hasta hoy, la jurisprudencia se había pronunciado, aunque no de manera unánime, pero que a partir de ahora podrán ser castigados en base a un claro fundamento legal. Vale la aclaración, que las organizaciones que cotizan en la Bolsa de New York, deben atenerse, amén de las regulaciones locales, a lo exigido por la Ley Sarbanex Oxley, ya que es de estricto cumplimiento su certificación. Gestión del Riesgo

32 1 Introducción 1.1 Definición de Gestión del Riesgo La premisa subyacente en la gestión de riesgos corporativos es que las entidades existen con el fin último de generar valor para sus grupos de interés. Todas se enfrentan a la ausencia de certeza y el reto para su dirección es determinar cuánta incertidumbre se puede aceptar mientras se esfuerzan en incrementar el valor para sus grupos de interés. La incertidumbre implica riesgos y oportunidades y posee el potencial de erosionar o aumentar el valor. La gestión de riesgos corporativos permite a la dirección tratar eficazmente la incertidumbre y sus riesgos y oportunidades asociados, mejorando así la capacidad de generar valor. Se maximiza el valor cuando la dirección establece una estrategia y objetivos para encontrar un equilibrio óptimo entre los objetivos de crecimiento y rentabilidad y los riesgos asociados, además de desplegar recursos eficaces y eficientemente a fin de lograr los objetivos de la entidad. 1.2 Capacidades de Gestión del Riesgo Las organizaciones, a través de la gestión del riesgo, podrán: Alinear el riesgo aceptado y la estrategia Mejorar las decisiones de respuesta Reducir las sorpresas y pérdidas operativas Mejorar la dotación de capital Reducir las sorpresas y pérdidas operativas Identificación y gestión de la diversidad de riesgos para toda la entidad Aprovechar las oportunidades La gestión de riesgos corporativos permite asegurar una información eficaz y el cumplimiento de leyes y normas, además de ayudar a evitar daños a la reputación de la entidad y sus consecuencias derivadas. 1.3 Eventos Riesgos y Oportunidades

33 Los eventos pueden tener un impacto negativo, positivo o de ambos tipos a la vez. Los que tienen un impacto negativo representan riesgos que pueden impedir la creación de valor o erosionar el valor existente. Los eventos con impacto positivo pueden compensar los impactos negativos o representar oportunidades, que derivan de la posibilidad de que ocurra un acontecimiento que afecte positivamente al logro de los objetivos, ayudando a la creación de valor o a su conservación. La dirección canaliza las oportunidades que surgen, para que reviertan en la estrategia y el proceso de definición de objetivos, y formula planes que permitan aprovecharlas. 1.4 Definición de la Gestión de Riesgos Corporativos La gestión de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la creación de valor o su preservación. Se define de la siguiente manera: La gestión de riesgos corporativos es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos. Esta definición recoge los siguientes conceptos básicos de la gestión de riesgos corporativos: Se aplica en el establecimiento de la estrategia. Se aplica en toda la entidad, en cada nivel y unidad, e incluye adoptar una perspectiva del riesgo a nivel conjunto de la entidad. Está diseñado para identificar acontecimientos potenciales que, de ocurrir, afectarían a la entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado. Es capaz de proporcionar una seguridad razonable al consejo de administración y a la dirección de una entidad. Dentro del contexto de misión o visión establecida en una entidad, su dirección establece los objetivos estratégicos, selecciona la estrategia y fija

34 objetivos alineados que fluyen en cascada en toda la entidad. El Marco de gestión de riesgos corporativos está orientado a alcanzar los objetivos de la entidad, que se pueden clasificar en cuatro categorías: Estrategia Objetivos alineados con la misión de la entidad y dándole soporte Operaciones Información Objetivos vinculados al uso eficaz y eficiente de recursos Objetivos de fiabilidad de la información suministrada Cumplimiento Objetivos relativos al cumplimiento de leyes y normas aplicables Esta clasificación de los objetivos de una entidad permite centrarse en aspectos diferenciados de la gestión de riesgos corporativos. Estas categorías distintas, aunque solapables un objetivo individual puede incidir en más de una categoría- se dirigen a necesidades diferentes de la entidad y pueden ser de responsabilidad directa de diferentes ejecutivos. También permiten establecer diferencias entre lo que cabe esperar de cada una de ellas. Otra categoría utilizada por algunas entidades es la salvaguarda de activos. Dado que los objetivos relacionados con la fiabilidad de la información y el cumplimiento de leyes y normas están integrados en el control de la entidad, puede esperarse que la gestión de riesgos corporativos facilite una seguridad razonable de su consecución. 2 Metodologías aplicables 2.1 COSO ERM (Enterprise Risk Management) 13 El marco COSO ERM define Enterprise Risk Management como un proceso, llevado a cabo por el Directorio y todo el personal de una organización, aplicado desde la definición de la estrategia a través de toda 13 Committee Spnsoring Organizations of the Treadway Commission COSO ERM

35 la organización, diseñado para identificar eventos potenciales que pudieran afectar a la organización, y para administrar el riesgo de manera que éste quede en niveles aceptables, para proveer una seguridad razonable acerca de logro de los objetivos fijados. Haciendo mención nuevamente al gráfico del COSO Report, explicaremos las 4 dimensiones claves para la gestión del riesgo (ver sección Ambiente Computarizado sección 3 - Modelo de Control Interno) 1. Establecimiento de Objetivos El establecimiento de objetivos claros es una precondición para poder realizar de manera efectiva la identificación de eventos, evaluación de riesgos, y para definir adecuadas respuestas a cada riesgo. 2. Identificación de eventos Eventos con impacto negativo representan riesgos que requerirán una evaluación y respuesta por parte de la organización. Eventos con impacto positivo representan oportunidades las cuales pueden ser aprovechadas por la organización. 3. Evaluación de los Riesgos La evaluación de riesgos permite a la organización considerar el nivel en el cual los potenciales eventos identificados impactarán en el logro de los objetivos fijados. Esto se analiza desde dos perspectivas: probabilidad e impacto, y pueden utilizarse métodos cualitativos, cuantitativos, o una combinación de ambos. Por último, todos los riesgos deben ser considerados en forma inherente (antes de la aplicación de medidas de respuesta) como residual (luego de aplicar las medidas de respuesta). 4. Evaluación de los Riesgos Habiendo evaluado los riesgos relevantes, el siguiente paso es determinar cómo se responderá a ellos. Los tipos de respuesta pueden pertenecer a alguna de las siguientes categorías generales: Evitar el riesgo