SEGURIDAD INFORMATICA

MATRIZ DE RIESGO, EVALUACIN Y GESTIN DE RIESGOS

INTRODUCION

Cualquier actividad que el ser humano realice est expuesta a riesgos de diversa ndole los cuales influyen de distinta forma en los resultados esperados.

La capacidad de identificar estas probables eventualidades, su origen y posible impacto constituye ciertamente una tarea difcil pero necesaria para el logro de los objetivos.

MATRIZ DE RIESGO?

En el caso especfico de las entidades de intermediacin de Informacin, el desempeo de estas instituciones depende de la gestin de los riesgos inherentes a su actividad, tales como Robo de informacin, Venta de Informacin, Suplantacin, entre otros, algunos de ellos de compleja identificacin y de difcil medicin.

TENDENCIA
El siguiente cuadro muestra la diferencia entre el modelo tradicional y el nuevo enfoque de evaluacin de la gestin de riesgos, segn las ltimas tendencias:
Esquema anterior Enfoque Nuevo

La evaluacin de riesgo es histrica y se desempea eventualmente

La evaluacin de riesgo detecta y reaccin

La evaluacin de riesgo es continua y recurrente

La evaluacin de riesgo anticipa y previene

La evaluacin de riesgos se enfoca en la La evaluacin de riesgos se enfoca en las identificacin, medicin y control de transacciones financieras y los controles riesgos, velando que la organizacin logre internos sus objetivos con un menor impacto de riesgo posible.
Cada funcin es independiente. Pocas La evaluacin de riesgo est integrada en funciones tratan de la evaluacin de riesgo. todas las operaciones y lneas de negocios No hay una poltica de evaluacin de riesgo La poltica de evaluacin de riesgo es formal y claramente entendida.

QU ES UNA MATRIZ DE RIESGO?

Una matriz de riesgo constituye una herramienta de control y de gestin normalmente utilizada para identificar las actividades (procesos y conductas) ms importantes de una empresa, el tipo y nivel de riesgos inherentes a estas actividades y los factores exgenos y endgenos relacionados con estos riesgos (factores de riesgo).

Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada gestin y administracin de los riesgos financieros que pudieran impactar los resultados y por ende al logro de los objetivos de una organizacin.

HERRAMIENTA DE AYUDA A LA TOMA DESICIONES La matriz debe ser una herramienta flexible que documente los procesos y evale de manera integral el riesgo de una institucin, a partir de los cuales se realiza un diagnstico objetivo de la situacin global de riesgo de una entidad. Exige la participacin activa de las unidades de negocios, operativas y funcionales en la definicin de la estrategia institucional de riesgo de la empresa. Una efectiva matriz de riesgo permite hacer comparaciones objetivas entre proyectos, reas, productos, procesos o actividades.

QU ELEMENTOS DEBEN CONSIDERARSE EN EL DISEO DE UNA MATRIZ DE RIESGO?

A partir de los objetivos estratgicos y plan de negocios, la administracin de riesgos debe desarrollar un proceso para la identificacin de las actividades principales y los riesgos a los cuales estn expuestas; entendindose como riesgo la eventualidad de que una determinada entidad no pueda cumplir con uno o ms de los objetivos.

QU ELEMENTOS DEBEN CONSIDERARSE EN EL DISEO DE UNA MATRIZ DE RIESGO?

QU ELEMENTOS DEBEN CONSIDERARSE EN EL DISEO DE UNA MATRIZ DE RIESGO?

Consecuentemente, una vez establecidas todas las actividades, se deben identificar las fuentes o factores que intervienen en su manifestacin y severidad, es decir los llamados factores de riesgo o riesgos inherentes. El riesgo inherente es intrnseco a toda actividad, surge de la exposicin y la incertidumbre de probables eventos o cambios en las condiciones del negocio o de la economa que puedan impactar una actividad.

QU ELEMENTOS DEBEN CONSIDERARSE EN EL DISEO DE UNA MATRIZ DE RIESGO? El siguiente paso consiste en determinar la probabilidad de que el riesgo ocurra y un clculo de los efectos potenciales sobre el capital o las utilidades de la entidad. La valorizacin del riesgo implica un anlisis conjunto de la probabilidad de ocurrencia y el efecto en los resultados; puede efectuarse en trminos cualitativos o cuantitativos, dependiendo de la importancia o disponibilidad de informacin; en trminos de costo y complejidad la evaluacin cualitativa es la ms sencilla y econmica.

QU ELEMENTOS DEBEN CONSIDERARSE EN EL DISEO DE UNA MATRIZ DE RIESGO? La valorizacin cualitativa no involucra la cuantificacin de parmetros, utiliza escalas descriptivas para evaluar la probabilidad de ocurrencia de cada evento. En general este tipo de evaluacin se utiliza cuando el riesgo percibido no justifica el tiempo y esfuerzo que requiera un anlisis ms profundo o cuando no existe informacin suficiente para la cuantificacin de los parmetros. En el caso de riesgos que podran afectar significativamente los resultados, la valorizacin cualitativa se utiliza como una evaluacin inicial para identificar situaciones que ameriten un estudio ms profundo.

QU ELEMENTOS DEBEN CONSIDERARSE EN EL DISEO DE UNA MATRIZ DE RIESGO?

La evaluacin cuantitativa utiliza valores numricos o datos estadsticos, en vez de escalas cualitativas, para estimar la probabilidad de ocurrencia de cada evento, procedimiento que definitivamente podra brindar una base ms slida para la toma de decisiones, esto dependiendo de la calidad de informacin que se utilice.

QU ELEMENTOS DEBEN CONSIDERARSE EN EL DISEO DE UNA MATRIZ DE RIESGO?

Ambas estimaciones, cualitativa y cuantitativa, pueden complementarse en el proceso del trabajo de estimar la probabilidad de riesgo.

Al respecto, debe notarse que si bien la valoracin de riesgo contenida en una matriz de riesgo es mayormente de tipo cualitativo, tambin se utiliza un soporte cuantitativo basado en una estimacin de eventos ocurridos en el pasado, con lo cual se obtiene una mejor aproximacin a la probabilidad de ocurrencia del evento.

La valorizacin consiste en asignar a los riesgos calificaciones dentro de un rango, que podra ser por ejemplo de 1 a 5 (insignificante (1), baja (2), media (3), moderada (4) o alta(5)), dependiendo de la combinacin entre impacto y probabilidad. En la siguiente grfica se puede observar un ejemplo de esquema de valorizacin de riesgo en funcin de la probabilidad e impacto de tipo numrico con escala:

DELITOS INFORMATICOS

HACKER CRAKER - LAMMER

Un Hacker es un experto informtico especialista en entrar en sistemas ajenos sin permiso, generalmente para mostrar la baja seguridad de los mismos o simplemente para demostrar que es capaz de hacerlo. Los Hackers son muy respetados por la comunidad tcnica de Internet, y proclaman tener una tica y unos principios contestatarios e inconformistas pero no delictivos. El hacker es alguien que se apasiona por las computadoras y se dedica a ellas ms all de los lmites. Los hackers tienen "un saludable sentido de curiosidad: prueban todas las cerraduras de las puertas para averiguar si estn cerradas. No sueltan un sistema que estn investigando hasta que los problemas que se le presenten queden resueltos". Es un especialista en penetrar en las bases de datos de sistemas informticos con el fin de obtener informacin secreta y valiosa. Tradicionalmente se considera Hacker al aficionado a la informtica cuya aficin es buscar defectos y puertas traseras para entrar en los sistemas. Para los especialistas, la definicin correcta sera: experto que puede conseguir de un sistema informtico cosas que sus creadores no imaginan.

Un Cracker es una persona que se dedica a la actividad de Crackear Software. Tal actividad consiste bsicamente en modificar el cdigo fuente de un software para fines variados.
Generalmente se realiza un Crackeo para permitir el uso de una aplicacin, que debe ser comprada, sin limitaciones como caractersticas deshabilitadas, uso por tiempo limitado, etc. El Crackeo de software es una accin ilegal en prcticamente todo el mundo, ya que para lograrlo es necesario utilizar la Ingeniera Inversa (obtener informacin tcnica a partir de un producto accesible al pblico, con el fin de determinar de qu est hecho, qu lo hace funcionar y cmo fue fabricado). Cracker es aquel individuo que se especializa en saltar las protecciones anti copia de software, de ah el nombre crack para definir los programas que eliminan las restricciones en las versiones de demostracin de software comercial.

Adems de estos dos adjetivos que son los mas malinterpretados hay otros especificativos dentro del tema de los hackers, estos son eleet (o elite) y lamer (o lammer).
El adjetivo de elite se lo aplican determinados hackers para dar a entender que son superiores a la mayora de los hackers ahora a cado en desuso pero de todas formas los que se llaman a si mismos elite suelen estar mas cerca de lamers.

Por ultimo lamer es todo aquel que o desconoce totalmente el mundo underground y se cree hacker por el mero hecho de saber donde bajarse programas utilizados por hackers y saber utilizarlos o bien se trata de gente sin conocimientos que se dedica a hacer mal uso del apelativo de hacker y se dedica a robar claves de correo, passwords de juegos sin otro sentido que el de darse importancia

PHISHING / PHARMING

Qu es el phishing?
El phishing es una estafa realizada a travs de Internet, por envo de falsos correos electrnicos supuestamente mandados desde instituciones reales (bancos, proveedores de Internet, tiendas, etc), que conectan al usuario con falsos sitios Web. En estos sitios falsos, engaan a los consumidores con el fin de convencerlos de entregar sus datos financieros como nmeros de tarjeta de crdito, cuenta bancaria, nombres de usuario y contraseas, entre otros. Cuando las personas responden estos mensajes engaosos y divulgan su informacin personal, se producen robos de identidad, de dinero, suplantaciones y otras estafas realizadas con la informacin conseguida.

Qu es el pharming?
El pharming constituye otra forma de fraude en lnea, muy similar a su pariente, el phishing. Los pharmers (los autores de los fraudes basados en esta tcnica del pharming) utilizan los mismos sitios web falsos y el robo de informacin confidencial para perpetrar estafas en lnea, pero, en muchos sentidos, es mucho ms difcil detectarlos, ya que no necesitan que la vctima acepte un mensaje "seuelo". En lugar de depender por completo de que los usuarios hagan clic en los vnculos engaosos que se incluyen en mensajes de correo electrnico falsos, el pharming redirige a sus vctimas al sitio web falso, incluso si escriben correctamente la direccin web de su banco o de otro servicio en lnea en el navegador de Internet. Para redirigir a sus vctimas, los pharmers utilizan varias estratagemas. El primer mtodo, que ha conferido a esta actividad el nombre de pharming, es en realidad un antiguo tipo de ataque denominado envenenamiento de la cach del DNS. El envenenamiento de la cach del DNS es un ataque dirigido al sistema de nombres de Internet, que permite a los usuarios introducir nombres con un significado para los sitios web (www.mibanco.com)

Qu es el Spoofing?
Una forma comn de spoofing, es conseguir el nombre y password de un usuario legtimo para, una vez ingresado al sistema, tomar acciones en nombre de l, como puede ser el envo de falsos e-mails.

El intruso usualmente utiliza un sistema para obtener informacin e ingresar en otro, y luego utiliza este para entrar en otro, y en otro. Este proceso, llamado Looping, tiene la finalidad de evaporar la identificacion y la ubicacin del atacante. El camino tomado desde el origen hasta el destino puede tener muchas estaciones, que exceden obviamente los lmites de un pas. Otra consecuencia del looping es que una compaa o gobierno pueden suponer que estn siendo atacados por un competidor o una agencia de gobierno extranjera, cuando en realidad estn seguramente siendo atacado por un insider, o por un estudiante a miles de km de distancia, pero que ha tomado la identidad de otros.
Los protocolos de red tambin son vulnerables al spoofing. Con el IP spoofing, el atacante genera paquetes de Internet con una direccin de red falsa en el campo From, pero que es aceptada por el destinatario del paquete.

CARDING
Es el uso ilegitimo de las tarjetas de crdito, o de sus nmeros, pertenecientes a otras personas. Se relaciona con el hacking, porque para conseguir nmeros de tarjetas de crditos, una de las formas es utilizando Ingeniera Social y sobre todo nuestra inteligencia (esto es lo mas importante) Con nuestras tarjetas de crdito debemos ser cuidadosos ya que alguien puede leer este documento antes que uno de ustedes y ser capaz de estafarlos.

Se puede recuperar el dinero tal vez pero para eso tendran que hablar con el administrador del sitio donde se realizo el pago del artculo solicitando la IP de donde se hizo la compra y luego de todo esto tenemos que demostrar que nosotros no hicimos la compra del mismo.
El carding consiste en comprar usando la cuenta bancaria o la tarjeta crdito de otro, esto se consigue con un poco de ingeniera social y mucha perseverancia.

Qu es un ataque de denegacin de servicios (DoS)?

En uno de estos ataques, el intruso intenta evitar que usuarios legtimos accedan a informacin o servicios. Para ello, el intruso apunta a su computador o a su conexin de red, o a los computadores y redes del sitio que usted quiere usar, evitando as que usted pueda accesar su correo electrnico, ver una pgina web, una cuenta en lnea (la de su banco, por ejemplo), u otro servicio que reside en el computador afectado. El ms comn y obvio ataque de denegacin de servicio ocurre cuando un atacante "inunda" una red con informacin. Por ejemplo, cuando usted escribe una URL en su computador para ver una cierta pgina web, est haciendo una solicitud a travs de Internet para que un computador le enve informacin (una pgina web). Dicho computador puede procesar un cierto nmero de solicitudes a la vez, de manera que si un atacante puede sobrecargar al servidor con solicitudes, no podr procesar ms requerimientos. Ese es un ataque de "denegacin de servicios", porque usted ya no puede accesar el sitio.

LOS DELITOS INFORMTICOS (LEY 19.223 - CHILE) Y LA FUNCION DE AUDITORIA INFORMATICA