Universidad Nacional Experimental de Guayana Vicerrectorado Acadmico Dpto.

de Ciencia y Tecnologa Ingeniera en Informtica Auditoria Seccin 01

Auditoria Forense y la Seguridad de la Informacin.

Integrantes: Marlys Villafranca 18.885.673 Guillermo Seminario 19.093.070

Puerto Ordaz, 30 de Enero de 2011

Introduccin El fraude es la mayor preocupacin en el ambiente de los negocios en la actualidad, por lo que combatir este flagelo se ha convertido en uno de los objetivos corporativos tanto a nivel privado como gubernamental, debido a estas crecientes necesidades surge la denominada: Auditora Forense. La Auditoria Forense es una ciencia que permite tratar de identificar y evitar algn movimiento ilcito dentro de una organizacin, de esta manera aumentar la creabilidad de las actividades tanto contable, financieras, como administrativas dentro de la empresa permitiendo que este tipo de actividades se manejen de forma legal. Es muy importante hoy en da el manejo del fraude dentro de las organizaciones ya que existen muchas maneras de llevarlo acabo ya sea por la corrupcin administrativa, el fraude contable, el delito en los seguros, el lavado de dinero o el terrorismo. Actualmente debido al avance de la tecnologa se suma diferentes amenazas que conllevan al fraude mediante los sistemas de informacin.

Mediante el presente trabajo se estudiara las distintas amenazas que pueden conllevar al fraude as como tambin al robo o manejo ilicito de informacin.

Auditoria Forense

Definicin La Auditora Forense es una ciencia que permite reunir y presentar informacin financiera, contable, legal, administrativa e impositiva, en una forma que ser aceptada por una corte de jurisprudencia contra los perpetradores de un crimen econmico, por ello existe la necesidad de preparar personas con visin integral, que faciliten evidenciar especialmente, delitos como: la corrupcin administrativa, el fraude contable, el delito en los seguros, el lavado de dinero y el terrorismo, entre otros. Caractersticas: La auditoria forense, investiga, analiza, evala, interpreta, y con base en ello testifica y persuade a jueces, jurados y a otros acerca de la informacin financiera sobre la cual pesa una presuncin de delito, por lo tanto: Se analiza la informacin en forma exhaustiva. Se piensa con creatividad. Debe poseer un sentido comn de los negocios. Domina los elementos bsicos del procesamiento electrnico de datos y tiene excelente capacidad de comunicacin. Debe tener completa discrecin, amplia experiencia y absoluta confianza. Es conocedora de temas contables, de auditora, criminologa, de investigacin y legales.

Historia

A travs de los aos se han desarrollado diferentes tipos de auditora a entidades pblicas y privadas. El significado de Auditor es persona que oye, se le dio este nombre porque en esa poca los registros de contabilidad gubernamental eran aprobados solamente despus de la lectura pblica en la cual las cuentas eran ledas en voz alta. Desde la poca medieval, y la revolucin Industrial, se realizaban auditoras para determinar si las personas en posiciones de responsabilidad oficial en el gobierno y en el comercio estaban actuando y presentado informacin de forma honesta. Antes del 1900 la auditora tena como objetivo principal detectar errores y fraudes, con frecuencia incluan el estudio de todas o casi todas las transacciones registradas. Posteriormente en el siglo XX la auditora se alej del enfoque de la deteccin de fraudes y se diseccion hacia la determinacin de si los estados financieros presentaban razonablemente la posicin financiera y los resultados de las operaciones.

Fue en la dcada de los 60s cuando en Estados Unidos la deteccin de fraudes asumi un papel ms importante en el proceso de auditora. En 1972 se dio inicio al anlisis del fraude en los Estados Financieros, el fraude de Watergate , a la luz de este escndalo que involucraban funcionarios del gobierno de Estados Unidos. El gran auge de la auditoria forense se sita en los aos 1970 y 1980, como una herramienta para suministrar pruebas a los fiscales. El Congreso tom mayor responsabilidad por los fraudes en gran escala: Procesos judiciales que reclamaban informes financieros fraudulentos no detectados en las auditoras externas. La Comisin Treadway de los Estados Unidos (Comisin Nacional sobre Reportes Financieros Fraudulentos) formada en 1985, dio un impulso y direccionamiento importante frente al fraude administrativo y revelaciones financieras engaosas y algunas de las Normas Internacionales de Auditora (NIAs) emitidas por la Federacin Internacional de Contadores IFAC, se refieren al Fraude y error, a la evidencia de auditora, las consideraciones adicionales sobre partidas especficas, con respecto a las revelaciones de los Estados Financieros, a la observacin de inventarios fsicos, confirmacin de cuentas por cobrar, indagacin sobre litigios y reclamos. En 1990 inicia la globalizacin de la disciplina. En 1996 la Junta de Normas de Auditora, emiti una gua para los auditores requiriendo una evaluacin explcita del riesgo de errores en los estados financieros en todas las auditoras, debido al fraude. La clave para evitar problemas, era la reglamentacin de leyes efectivas y las exigencias por parte de los auditores, en el cumplimiento de esas leyes y regulaciones. En 1998, surge la Asociacin de Examinadores de Fraude Certificados ACFE por sus siglas en ingls. ACFE es la principal organizacin anti-fraude en el mundo y agrupa a especialistas, investigadores, auditores, abogados, contadores, peritos, profesionales y consultores interesados en el tema. Como consecuencia de diversos actos fraudulentos las principales organizaciones de contabilidad patrocinaron la Comisin Nacional sobre Presentacin de Informes Financiero Fraudulentos, muchas de las recomendaciones a los auditores fueron reglamentadas por la Junta de Normas y Auditora, una de la ms importante fueron sobre la efectividad del control interno y la demanda de la declaracin de los auditores. La evolucin de la auditora ha buscado adaptarse a nuevos procesos derivado de la globalizacin, como parte de esta evolucin se ha tratado de ofrecer nuevos modelos de auditoras dentro de las cuales se encuentra la Forense.

Objetivo de la Auditoria Forense Los principales objetivos de la Auditora Forense son los siguientes: Luchar contra la corrupcin y el fraude, para el cumplimiento de este objetivo busca identificar a los supuestos responsables de cada accin a efectos de informar a las entidades competentes las violaciones detectadas. Evitar la impunidad, para ello proporciona los medios tcnicos validos que faciliten a la justicia actuar con mayor certeza, especialmente en estos tiempos en los cuales el crimen organizado utiliza medios ms sofisticados para lavar dinero, financiar operaciones ilcitas y ocultar diversos delitos. Disuadir, en los individuos, las prcticas deshonestas, promoviendo la responsabilidad y transparencia en los negocios. Credibilidad de los funcionarios e instituciones pblicas, al exigir a los funcionarios corruptos la rendicin de cuentas ante una autoridad superior, de los fondos y bienes del Estado que se encuentran a su cargo.

Perfil del Auditor Forense El auditor forense debe tener amplios conocimientos en el campo a auditar. Los principios y las disposiciones legales vigentes, las normas internacionales de auditora, tcnicas y procedimientos de auditora a emplearse y experiencia en la realizacin de estas labores. El auditor debe estar altamente calificado para manejar la informacin y las tcnicas de anlisis y revisar el proceso de control designado por la administracin. Asimismo, entre las principales competencias para asumir el compromiso de una auditora forense, tenemos: Ser perspicaz, Conocimiento de Psicologa, Una mentalidad investigadora, Mucha auto motivacin, rabajo bajo presin, Mente creativa, Habilidades de comunicacin y persuasin, Habilidad de comunicar en las condiciones de ley, Habilidades de mediacin y negociacin, Habilidades analticas, Creatividad para poder adaptarse a las nuevas situaciones, Experiencia en el campo de la auditora. Actualmente, para la formacin de los Auditores Forenses no existen programas de tipo universitario, dado de que la formacin bsica es la de Contador Pblico. Sin embargo, en los Estados Unidos de Norteamrica existen programas de entrenamiento y conferencias organizadas por el Institute of Internal Auditors, la Nacional Asociacin of Certified Fraud Examiners, y la National Associations of Accountants, con un marcado sello de tipo profesional.

Componentes del Planteamiento de un Proyecto (AuditoraForense)

Evaluacin del Riesgo de Aceptacin: El auditor evala los riesgos que conlleva aceptar o continuar con un proyecto. Es parte integral del flujo de trabajo de una Auditora Forense. Definicin de los Trminos del Trabajo: El auditor formaliza el acuerdo con el cliente sobre la naturaleza de los servicios que le prestar. Delimita los trabajo y lo documenta en una Carta Convenio o Contrato de Servicios.

Planificacin: El auditor decide: El enfoque general Equipo de trabajo y atribuciones Oportunidad de los procedimientos El uso de especialistas Programas de Auditora (procedimientos planeados) Estrategia general de auditora Estas decisiones sern consistentes con los Trminos del Trabajo. Ejecucin: El auditor lleva a cabo los procedimientos planificados, rene la evidencia de auditora, produce papeles de trabajo que documentan su labor y la calidad y cantidad de evidencia recolectada. Conclusin : El auditor evala la calidad de la evidencia y la utiliza para determinar si los objetivos fueron alcanzados. Determina la naturaleza y contenido del Informe, que es el producto final de una auditora En esta etapa se lleva a cabo lo siguiente: Evaluacin de los resultados de la auditora. Identificacin de los problemas a solucionar . Identificacin de las mejoras a reportar . Evaluacin de los riesgos y sus efectos. Anlisis de las causas y posibles soluciones a los problemas que dan ori gen a riesgos.

o o o o o

Informe de Auditora Forense La fase final de toda auditora es presentar los resultados. Esto supone un reto en el caso de la Auditora Forense, ya que el informe de fraude normalmente es la evidencia primaria disponible y en algunos casos nica sustentatoria de la investigacin realizada. El informe es de vital importancia puesto que los pleitos judiciales se ganan o se pierden mayormente en base a la calidad del informe presentado. Algunas recomendaciones importantes para la elaboracin de un buen informe de auditora Forense son: Preciso. Oportuno. Exhaustivo. Imparcial. Claro. Relevante. Completo. Un informe de Auditora Forense nunca debe contener una opinin de cmo el fraude tuvo lugar. Cuando un caso se inicia en la justicia el informe de fraude es admitido como prueba. Si el mismo contiene opiniones y conclusiones errneas, el abogado defensor puede usarlo para demostrar prejuicios contra su cliente. El informe consiste en un documento formal en donde se plasman las observaciones, conclusiones y recomendaciones a las que el auditor gubernamental y los servidores pblicos que realizan auditora ha llegado como consecuencia de las pruebas realizadas; es el medio a travs del cual se emite un juicio tcnico sobre la situacin que ha examinado. El informe de auditora comunica los resultados de la auditora, persuade a las autoridades o gerencia de la Entidad para tomar acciones, respecto a algunas situaciones que podran afectar sus actividades y operaciones No se debe extender ningn informe de auditora, sin darle a la administracin la oportunidad de discutir las observaciones y presentar sus opiniones; estas acciones evitarn que los informes de auditora contengan observaciones y conclusiones que no estn debidamente sustentadas o bien hubiere sido posible solucionarlas en el transcurso del trabajo de auditora. Los informes de Auditora Forense debern contener al menos los siguientes prrafos: 1. Informe Ejecutivo 2. Carta de Envo

3. Informe de Auditora, que contenga: a) Introduccin que seale el objeto operaciones especficas sujetas a examen. del examen, referido a las

b) De los antecedentes que dieron lugar a la auditora forense. c) Fundamento legal de la auditora. d) Los objetivos especficos del examen, e) El alcance del examen, sealando que se realiz de acuerdo con las NAGUN, los tipos de evidencia obtenida, el perodo, dependencias revisadas y otra informacin relevante. f) Los procedimientos de auditora utilizados para alcanzar los objetivos de auditora, as como los procedimientos legales aplicados como garanta del debido proceso. g) Limitaciones al alcance de la auditora disposiciones legales y otros, si los hubiere. forense, producida por

h) Los hallazgos de auditora estructurados en base a los atributos consignados en la NAGUN 2.80 i) Las conclusiones en la cual se resuma las responsabilidades, delimitando el o los responsables, el perjuicio econmico, las disposiciones legales incumplidas.

Los hechos del informe deben reunir los siguientes requisitos: 1. Clara expresin de los hechos y distinguirse de los pronsticos sobre los que se basan las conclusiones. 2. Excluir aquellas caractersticas de las cuentas que se presten a controversias a menos que se relacionen con las conclusiones del informe. El informe debe ser preparado en lenguaje sencillo y fcilmente entendible, tratando los asuntos en forma concreta y concisa, los que deben coincidir de manera exacta y objetiva con los hechos observados. Para que un informe sea conciso no debe ser ms extenso de lo necesario para transmitir su mensaje, por tanto requiere: 1. Un adecuado uso de las palabras, segn su significado, excluyendo las innecesarias; 2. La inclusin de detalles especficos cuando fuere necesario a juicio del auditor.

1. Informe Ejecutivo Consiste en un informe de los auditores gubernamentales dirigido al Consejo Superior de la Contralora o Auditor Interno, en el que mencionan a los auditores gubernamentales que estn rindiendo el informe, redactado en forma precisa y sintetizada que describe: 1.1 El perodo en que se suscitaron los hechos; 1.2 El Fundamento legal que da origen a la auditora 1.3 Los actos u omisiones de los servidores pblicos que dan origen a la irregularidad, especificando posteriormente la consecuencia; es decir, si su conducta ocasion un dao o perjuicio o en su caso el riesgo al que se expuso el patrimonio de la dependencia o entidad, o conducta ir regular que lesion el estricto apego a la legalidad en el ejercicio de un cargo pblico. 2. Contenido del informe El informe deber presentar la siguiente estructura: 2.1 Introduccin: Sealar el objeto del examen, referido a las operaciones especficas sujetas a examen; comprender la informacin general concerniente al ex amen y a la entidad examinada. 2.2 Antecedentes que dieron lugar a la auditora forense.

Estar referido a las causas que originan la accin de control, as como la referencia al documento de acreditacin. Debern exponerse las razones por las cuales se llev a cabo la auditora. 2.3 Fundamento legal de la auditora. Indicacin de la legislacin que faculta a la Contralora General de la Repblica, Unidad de Auditora Interna o Firma de Contadores Pblicos Independientes a realizar la auditora

2.4 Alcance del examen: En este apartado se precisar la naturaleza o tipo de examen efectuado, sealando que se realiz de acuerdo con las NAGUN, los tipos de evidencia obtenida, el perodo, dependencias revisadas y otra informacin relevante. Deber indicarse claramente la cobertura y profundidad del trabajo que se haya realizado para cumplir los objetivos de la auditora, precisndose el

perodo examinado, el mbito geogrfico donde se haya practicado la auditora y las reas materia de examen. Tambin debern revelarse las modificaciones efectuadas al enfoque de la auditora, como consecuencia de las limitaciones de la informacin o del alcance de la auditora. 2.5 Procedimientos de auditora: Indicar los procedimientos utilizados para alcanzar los objetivos de auditora, as como los procedimientos legales aplicados como gar anta del debido proceso. 2.6 Limitaciones al alcance.

De ser el caso, el auditor revelar las limitaciones al alcance que se presenten en el proceso del trabajo. Si se emplean datos que no hayan sido verificados, ese hecho deber manifestarse. 2.7 Hallazgos de auditora Descripcin de los Hallazgos de auditora estructurados en base a los atributos consignados en la NAGUN 2.80 siendo stos: Condicin Este trmino se refiere a la descripcin de la situacin irregular o deficiencia hallada, cuyo grado de desviacin debe ser demostrad a. Se debe escribir en forma pormenorizada todas y cada una de las circunstancias que tengan relacin directa o in directa con la comisin de la irregularidad, describiendo todos los documentos integrados en su expediente, considerando: a) cuantificar el dao o perjuicio ocasionado. b) sealar la forma en que se llevaron a cabo las irregularidades, aportando los elementos de prueba suficientes y competentes que muestren de manera clara y contundente la comisin de los actos, las omisiones en que incurrieron los servidores pblicos y, en consecuencia, la existencia de una conducta irregular. c) citar el nombre y cargo de los servidor es pblicos, ex servidores que participaron en los hechos irregulares; as como, de los terceros involucrados.

Criterio Son las normas transgredidas de carcter legal, operativo o de control que regulan el accionar de la entidad examinada. El desarrollo del criterio en la presentacin de la observacin debe citar especficamente la normativa pertinente y el texto aplicable de la misma. Para cada situacin irregular se debe sealar los preceptos legales transgredidos, y la normatividad interna e inclusive puede incluirse una

sntesis de cada norma irregularidades cometidas

violada,

a efecto de hacer ms claras las

Causa Es la razn fundamental por la cual ocurri la condicin, o el motivo por el que no se cumpli el criterio o norma. Su identificacin requiere de la habilidad y juicio profesional del auditor y es necesaria para el desarrollo de una recomendacin constructiva que prevenga la recurrencia d e la condicin. Efecto Es la consecuencia real o potencial, cuantitativa o cualitativa, que ocasiona el hallazgo, indispensable para establecer su importancia y recomendar a la Administracin que tome las acciones requeridas para corregir la condicin. Se debe revelar en su informe la cuantificacin del efecto. En este apartado se debe mencionar el monto de la irregularidad ocasionado por el o los actos u omisiones d e los servidores pblicos de la dependencia o entidad y en su caso el lucro indebido; para lo cual deber precisar el procedimiento seguido par a determinarlos. El dao es la prdida o menoscabo sufrido y perjuicio es la ganancia lcita que se deja de obtener, ambas en detrimento de la dependencia o entidad, ocasionados por el incumplimiento a una obligacin Comentarios del Auditado Al trmino del desarrollo de cada observacin, se indicarn de modo conciso los comentarios que presenten las personas comprendidas en la misma, as como los recibidos. Conclusin Sintetiza las irregularidades o hechos principales, los daos o perjuicios ocasionados, as como los preceptos legales y normatividad interna infringida, cuidando que las irregularidades y los montos que ah se citen, sean los mismos en todos los captulos del informe.

2.8 Anexos A fin de lograr el mximo de concisin y claridad en el informe, se utilizarn los anexos indispensables que complementen o amplen la informacin de importancia contenida en el mismo. Pueden estar referidos, entre otros aspectos, a los fundamentos de los descargos presentados por las personas comprendidas en los hechos observados, a los informes tcnicos y legales, segn la naturaleza de lo s hallazgos, y a los estados financieros consolidados, en caso de no haber sido auditados.

2.9 La firma El informe deber ser firmado por el auditor encargado, el supervisor y el nivel gerencial correspondiente. En el caso de las Unidades de Auditora Interna, por el auditor encargado, el supervisor y el Responsable de la respectiva Unidad. De ameritarlo, el informe tambin ser suscrito por el asesor legal u otro profesional y/o especialista. Tratndose de la existencia de posibles delitos el auditor debe contar con una adecuada coordinacin con la asesora legal. 3. Precauciones al redacta r el informe En la redaccin del informe se recomendaciones:

deber

considerar

las

siguientes

a) No calificar las conductas posiblemente delictivas, ni mencionar las irregularidades con los nombres con que se identifican los delitos de los tipos penales, nicamente hacer afirmaciones que puedan demostrarse documentalmente. b) Quienes suscriban el informe debern indicar el nmero de su cdula Profesional. c) Abstenerse de calificar de falsas las firmas estampadas en los documentos recabados o emitir dictamen para el que se requiera poseer la calidad de perito, en todo caso se deber el correspondiente peritaje del Laboratorio de Criminalstica de la Polica Nacional; en caso de considerar que las firmas estampadas no corresponden en sus rasgos, y no se obtuvo opinin del mencionado laboratorio, nicamente mencionarlo.

Modelo de la carta de envio. Ciudad, fecha de 200_ Consejo Superior CGR / Titular de la Unidad de Auditora Gubernamental

Los que suscribimos (nombre de los auditores que firmarn el informe) Auditores Gubernamentales adscritos a la (nombre de la dependencia de ubicacin o Unidad de Auditora de ________ ), nos per mitimos someter a su atenta consideracin el informe derivado de la auditora practicada a ( entidad a la cual se practic la auditora) sobre (conforme lo indicado en la credencial), para su revisin y aprobacin. .Desarrollo del contenido del Informe Ejecutivo

Ejemplo de Programa de Auditoria Forense

DENITEX SAC PROGRAMA DE LA AUDITORIA FORENSE PERIODO: DEL 01.ENE.2004 AL 31.DIC.2004 PROCEDIMIENTO DE AUDITORIA 1) Obtener copia literal de Registros Publicos, de Denitex S.AC con una vigencia no mayor a 30 dias y verificar: razon social, objeto social, fecha de constitucion, vigencia, direccion principal. Nombre de representante legal.capital inicial, capital actu 2).Obtener la escritura de constitucion y las modificaciones realizadas y verificar los cambios importantes en la trayectoria del negocio. 3) Obtener los ultimos balances a fecha de corte 31 de diciembre , asimismo verificar que esten firmados por el contador y el representante legal, asimismo confirmar si estan autorizados. 4) Obtener el estado de perdidas y ganancias anterior al periodo de investigacion , asimismo verificar que esten firmados por el contador y el representante legal, asimismo confirmar si estan autorizados. 5) Elaborar un estado de flujo de efectivo, asi como un cuadro de activos fijo de la compaa. 6) Obtener las facturas de ventas de Denitex SAC del periodo de investigacion, verificar su orden correlativo, el detalle de cada uno (productos). 7) Obtener las facturas de compras de Denitex SAC del periodo de investigacion, verificar su orden correlativo, el detalle de cada uno (productos). 8) Identificar los principales clientes y proveedores de la organizacin, realizar cruce de comprobantes de pago (montos, fechas y detalle de productos) 9) Verificar el el correcto registro de los recibos de caja producto de las transacciones realizadas 10) Verificar los contratos suscritos por la empresa, asi como su verificacion si estan inscritos en Registros Publicos (si son obligatorios) 11) Corroborrar la tasacion en la compra de inmuebles, asi como la habilitacion del tasador. 12) Revisar la nomima de empleados de la empresa, las boletas de pago y el grado de parentesco de los mismos. 13) .Revisar y evaluar la solidez y/o debilidades del sistema de A31Control Interno y con base en dicha evaluacin REF P/T HECH FECHA TIEMPO POR TERMINO DAS

RRC

16.01.05

1 DIA

RRC

18.01.05

2 DIAS

EPO

20.01.05

2 DIAS

EPO

20.01.05

2 DIAS

EPO

24.01.05

4 DIAS

GAS

27.01.05

3 DIAS

GAS

27.01.05

3 DIAS

GAS EPO EPO GAS GAS

29.01.05 27.01.05 01.02.05 30.01.05 03.02.05

4 DIAS 3 DIAS 4 DIAS 3 DIAS 3 DIAS

RRC

29.01.05

7 DIAS

Mtodos Usados para abusar de las nuevas tecnologas y como prevenirlos y detectarlos. Seguridad de la informacin: Es el conjunto de medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger la informacin buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma. Ataque: Intento de destruir, exponer, alterar, inutilizar, robar o acceso o uso no autorizado de un activo, entendindose por activo todo aquello que representa un valor para la empresa. Tipos de ataque. Acceso Modificacin Denegacin de servicio Refutacin

Ataque de acceso Es un intento de obtener informacin que un atacante no esta autorizado a ver. El ataque puede ocurrir: En la fuente de almacenamiento Durante la transmicin de la informacin. Clasificacin Fisgoneo: Consiste en hurgar entre los archivos de informacin con la esperanza de encontrar algo interesante. Escuchar furtivamente: Consiste en escuchar una conversacin en la que no formas partes. Para obtener acceso no autorizado a la informacin, el atacante debe colocarseen un sitio que probablemnte circule toda la informacin o al menos la que le interesa. Intercepcin: Parecido a la escucha furtiva a diferencia que el atacante se coloca el mismo en la ruta de la informacin y la captura antes de que esta llegue a su destino.

Ataque de modificacin. Es un intento de modificar la informacin que un atacante no esta autorizado a modificar. El ataque puede ocurrir: En la fuente de almacenamiento Durante la transmisin de la informacin.

Clasificacin Cambios: Es el cambio de la informacin existente. Insercin: Agrega informacin que no exista con anterioridad. Eliminacin: Es la remocin de informacin existente.

Ataque de Denegacin de Servicio Son ataques que niegan el uso de los recursos a los usuarios legtimos del sistemas, informacin o capacidad. Clasificacin. Denegacin de acceso a la informacin: Ataque DoS en contra de la informacin provocando que no este disponible. Denegacin de acceso a la aplicacin: ataque DoS dirigido a la aplicacin que manipula o exhibe la informacin. Denegacin de acceso a sistemas: dirigido a derribar sistemas de computo. Denegacin de acceso de comunicaciones: Ataque dirigidos alas redes y medios. Consiste en congestionar las redes o daar los medios de transmisin.

Amenazas Posible causa de un incidente no deseado, que puede resultar en daos a un sistema u organizacin. Componentes Objetivos. Aspecto de la seguridad que puede ser atacado. Agentes: Las personas u organizaciones que originan la amenaza. Eventos: El tipo de accin que representa la amenaza.

Vulnerabilidad La debilidad de un activo de control que puede ser explotada por una amenaza.
ISO 27000:2009.

Posibilidad de ocurrencia de la materializacin de una amenza sobre un activo.

Las siguientes son algunas de las amenazas comunes en internet (ms all de los gusanos, los virus y los troyanos que pueden ser eliminados con un antivirus), es importante reconocerlas porque mientras no estn debidamente regulados los delitos informticos, es el sentido comn del usuario lo que puede guiarlo para evitar un ataque virtual.

Phishing

Phishing es un trmino informtico que denomina un tipo de delito encuadrado dentro del mbito de las estafas cibernticas, y que se comete mediante el uso de un tipo deingeniera social caracterizado por intentar adquirir informacin confidencial de forma fraudulenta (como puede ser una contrasea o informacin detallada sobre tarjetas de crdito u otra informacin bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicacin oficial electrnica, por lo comn un correo electrnico, o algn sistema de mensajera instantnea1 o incluso utilizando tambin llamadas telefnicas. Dado el creciente nmero de denuncias de incidentes relacionados con el phishing, se requieren mtodos adicionales de proteccin. Se han realizado intentos con leyes que castigan la prctica y campaas para prevenir a los usuarios con la aplicacin de medidas tcnicas a los programas. Pharming

Pharming es la explotacin de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra mquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, acceder en su explorador de internet a la pgina web que el atacante haya especificado para ese nombre de dominio. En el pharming no es implcito que se requiera de hacer algn tipo de respuesta a un correo electrnico, o se valga de algn programa troyano, ni en su defecto de un programa de captura de tecleo (en comparacin del phishing); sino que se valen del servidor que el atacante controle. En cualquiera de los casos se recomienda: 1) No responder a solicitudes de informacin personal a travs del correo electrnico, salvo que se conozca (y no virtualmente) a la persona solicitante. En caso de existir dudas, pngase en contacto con la entidad (casa comercial o banco) que supuestamente le est enviando el mensaje. 2) Actualmente los programas de seguridad, como los antivirus, contienen programas que permiten verificar la autenticidad del sitio web que se visita. El cono del candado cerrado de sitio seguro funciona muchas veces como una herramienta prctica que permite identificar el certificado de seguridad del sitio que se est visitando. 3) Consulte de manera frecuente sus saldos bancarios y de sus tarjetas de crdito. 4) Guarde en un lugar seguro toda la prueba fsica y electrnica de sus transacciones realizadas. 5) Si no puede verificar al autenticidad del sitio web que visita, evite hacer cualquier clase de transaccin o envo de informacin personal

SPAM

SPAM es la denominacin que se le da a aquellos correos que no son solicitados y los cuales son enviados de forma masiva a la bandeja de entrada de los usuarios de la red, sin el consentimiento del receptor. El spam usualmente viene disfrazado con una lnea de asunto que el usuario lee como un mensaje personal, un mensaje de negocio (como podra ser la renovacin de una cuenta), o bien, una falta de entrega de algn mensaje.[6] Desafortunadamente, el spam no se limita solamente a correos electrnicos, puede afectar cualquier sistema que permita al usuario hacer uso de comunicaciones. El Protocolo de Inicio de Sesiones (SIP por sus siglas en ingls Session Initiation Protocol), es utilizado para las comunicaciones multimedia entre los usuarios, incluidas las de voz, video, mensajera instantnea y de presencia, en consecuencia, cualquiera de estas comunicaciones puede ser tan vulnerable al spam como lo es el correo electrnico. El spam puede presentarse de tres diferentes maneras: 1.- La llamada spam (call spam). Este tipo de spam se define como intentos de iniciacin de sesin en masa no solicitados (es decir invitar solicitudes), tratando de establecer comunicacin por medio de voz, video, mensajera instantnea o cualquier otro tipo de sesiones de comunicacin. Si el usuario debe contestar, el spammer procede a transmitir su mensaje mediante el tiempo real de medios de comunicacin. Este spam es clsico de telemercadeo, es llamado spam mediante telefona IP (protocolo de internet por sus siglas en ingls Internet Protocol IP) o spit. 2.- Spam de mensajera instantnea (IM spam). Este tipo de spam es muy similar al del correo electrnico, est definido por mensajes instantneos no solicitados enviados en abundancia, cuyo contenido es el mensaje que el spammer desea transmitir; este spam, es enviado mediante una solicitud de mensaje SIP; sin embargo, cualquier otra solicitud que genere contenido al aparecer en automtico en la pantalla del usuario, ser suficiente. Puede incluir tambin invitaciones con temas de cabecera largos o invitaciones que contengan texto HTML. Este tipo de spam es llamado spam sobre mensajera instantnea o spim. 3.- Spam de presencia (presence spam). Este tipo de spam es similar al IM spam, puesto que se define por un conjunto de solicitudes de presencia (es decir, peticiones de suscripcin) enviadas en masa, sin diferir de los tipos anteriores, no son requeridas stas, esto para la presencia de paquetes, con el fin de esta en el cuerpo de la lista o lista blanca de un usuario con el propsito de enviar mensajes instantneos o iniciar alguna otra forma de comunicacin. [7] Actualmente los proveedores del servicio de correo electrnico han establecido programas o filtros para combatir el spam, auxilindose en muchas ocasiones de las denuncias de los mismos usuarios. Botnet

Botnet es un trmino que hace referencia a un conjunto de robots informticos o bots, que se ejecutan de manera autnoma y

automtica. El artfice de la botnet (llamado pastor) puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a travs del IRC (Internet Relay Chat, es un protocolo de comunicacin en tiempo real basado en texto). Las nuevas versiones de estas botnets se estn enfocando hacia entornos de control mediante HTTP, con lo que el control de estas mquinas ser mucho ms simple. En los sistemas Windows la forma ms habitual de expansin de los "robots" suele ser en el uso de cracks y archivos distribuidos de forma que infringe la licencia copyright. Este tipo software suele contener malware el cual, una vez el programa se ejecuta, puede escanear su red de rea local, disco duro, puede intentar propagarse usando vulnerabilidades conocidas de windows, etc. Con el Botnet se realizan ataques de tipo DDoS (ataque distribuido de denegacin de servicio, ) el cual lleva a cabo generando un gran flujo de informacin desde varios puntos de conexin y por ende no se reconoce con facilidad desde cual conexin estamos siendo atacados.

Herramientas y mtodos utilizados para evitar el abuso de las nuevas tecnologas Firewall (cortafuegos) Es una parte de un sistema o una red que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinacin de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a travs del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. Antivirus; Aplicacin o grupo de aplicaciones dedicadas a la prevencin, bsqueda, deteccin y eliminacin de programas malignos en sistemas informticos. Antispam:

Es lo que se conoce como mtodo para prevenir el "correo basura o spam.Tanto los usuarios finales como los administradores de sistemas de correo electrnico utilizan diversas tcnicas contra ello. Algunas de estas tcnicas han sido incorporadas en productos, servicios y software para aliviar la carga que cae sobre usuarios y administradores. No existe la frmula perfecta para solucionar el problema del spam por lo que entre las mltiples existentes unas funcionan mejor que otras, rechazando as, en algunos casos, el correo deseado para eliminar completamente el spam, con los costes que conlleva de tiempo y esfuerzo. Filtros de Contenido: Los filtros de contenido son la herramienta ms comn de proteccin. Son programas diseados para controlar y gestionar el contenido que se visualiza desde un equipo. Es decir, el filtro decidir qu contenido es apto. El principal motivo de su existencia es prevenir a los usuarios de ciertas informaciones que no nos son deseadas. Cuando se impone sin el consentimiento del usuario, puede constituir censura. Los usos comunes de estos programas incluyen padres que desean limitar los sitios que sus hijos ven en sus computadoras domsticas, escuelas con el mismo objetivo, empleadores para restringir qu contenidos pueden ver los empleados en el trabajo. Auditoria en la Seguridad de la Informacin: Es el estudio que comprende el anlisis y gestin de sistemas llevado a cabo por profesionales generalmente por Ingenieros o Ingenieros Tcnicos en Informtica, para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisin exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores. Una vez obtenidos los resultados, se detallan, archivan y reportan a responsables quienes debern establecer medidas preventivas de refuerzo correccin siguiendo siempre un proceso secuencial que permita a administradores mejorar la seguridad de sus sistemas aprendiendo de errores cometidos con anterioridad. los y/o los los

Las auditoras de seguridad de SI (Sistemas de Informacin) permiten conocer en el momento de su realizacin cul es la situacin exacta de sus activos de informacin en cuanto a proteccin, control y medidas de seguridad. Realizacin de una Auditoria en un Sistema de Informacin: Una auditora se realiza con base a un patrn o conjunto de directrices o buenas prcticas sugeridas. Existen estndares orientados a servir como base para auditoras de informtica. Uno de ellos es COBIT (Objetivos de Control de la Tecnologas de la Informacin), dentro de los objetivos definidos como parmetro, se encuentra el "Garantizar la Seguridad de los Sistemas".

Adicional a este estndar podemos encontrar el estndar ISO 27002, el cual se conforma como un cdigo internacional de buenas prcticas de seguridad de la informacin, este puede constituirse como una directriz de auditora apoyndose de otros estndares de seguridad de la informacin que definen los requisitos de auditora y sistemas de gestin de seguridad, como lo es el estndar ISO 27001. La publicacin del estndar ISO 27002 en 2.005 incluye las siguientes secciones principales, las cuales deben ser tomadas en cuenta al evaluar un sistema de informacin o auditar el mismo: 1. Poltica de Seguridad de la Informacin. 2. Organizacin de la Seguridad de la Informacin. 3. Gestin de Activos de Informacin. 4. Seguridad de los Recursos Humanos. 5. Seguridad Fsica y Ambiental. 6. Gestin de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin. 9. Gestin de Incidentes en la Seguridad de la Informacin. 10. Gestin de Continuidad del Negocio. 11. Cumplimiento.

Dentro de cada seccin, se especifican los objetivos de los distintos controles para la seguridad de la informacin. Para cada uno de los controles se indica asimismo una gua para su implantacin. El nmero total de controles suma 133 entre todas las secciones aunque cada organizacin debe considerar previamente cuntos sern realmente los aplicables segn sus propias necesidades.

Conclusin. La Auditoria Forense brinda un aporte muy positivo ya que evala las actividades y el desarrollo de estas, identificando que todo se lleve acabo como lo dictan las leyes establecidas, de esta manera se estara resguardando el patrimonio del Estado. La lucha contra la corrupcin, valor agregado para los procesos operativos, transparencia en las operaciones, credibilidad de los funcionarios e instituciones pblicas, son unos de los aportes significativos que nos brinda la Auditoria Forense, gracias a estos aportes hoy en da existe una mejora en la administracin publica. Actualmente as como existen muchas maneras de vernos afectos por actividades ilcitas realizadas sin darnos cuenta, tambin existen distintos mtodos de salvaguardar y prevenir nuestros bienes. Todo depender de lo precavido que seamos al realizar nuestras actividades ya sea de nuestra organizacin como el manejo de los sistemas de informacin.