1.- INTRODUCCION Y CONCEPTOS
Desde el momento en que se realiza una acción que reúna las características que delimitan el concepto de delito, y sea llevada a cabo utilizando un elemento informático o vulnerando los derechos del titular de un elemento informático, ya sea de hardware o de software, estamos en presencia de un delito informático.
Estos delitos informáticos pueden adoptar alguna de las siguientes formas:
-Robos, hurtos, vaciamientos, desfalcos, estafas o fraudes cometidos mediante manipulación y uso de computadoras.
-Apropiación no autorizada de los datos de entrada o de salida.
-Cambios no autorizados en programas, que consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas.
-Sabotaje Informático.
-Falsificaciones informáticas.
-Violación de la privacidad.
-Interceptación de comunicaciones.
-Robo de servicios.- se alude a las conductas que tienen por objeto el acceso ilícito a los equipos físicos o a los programas informáticos, para utilizarlos en beneficio del delincuente.
-Hurto por transacciones electrónicas de fondos.- Hurto que se comete mediante la utilización de sistemas de transferencia electrónica de fondos, de la telemática en general, o también cuando se viola el empleo de claves secretas.
Para las organizaciones empresariales, es vital que se evalúen constante y regularmente todos los procesos que en ellas se llevan a cabo, con el fin de verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad.
Los sistemas informáticos se han constituido en una de las herramientas más poderosas para materializar uno de los recursos más relevantes para cualquier organización empresarial: la información (Piattini y Del Peso, 1998; Ruiz, 1999; Echenique, 2001).
Se requiere de sistemas, normas y/o programas que puedan ser utilizados en la evaluación y el análisis de la eficiencia del sistema de control interno, del funcionamiento de los sistemas de información que utiliza, además de la verificación del cumplimiento de la normativa general de la empresa en este ámbito y la revisión de la gestión eficaz de los recursos materiales y humanos informáticos.
¿Qué es la Auditoria Informática en Redes y Telecomunicaciones?
La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. También permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es critica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.
¿Qué características tiene la Auditoria Informática en Redes y Telecomunicaciones?
La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática.
Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.
Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.
Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.
¿Cuál es el perfil del Auditor Informático en Redes y Telecomunicaciones?
El perfil de un auditor informático en redes y telecomunicaciones es el que corresponde a un Ingeniero en Informática o en Sistemas especializado en el área de telemática.
2.- USO
¿Por qué y Para qué se hace la Auditoria Informática en Redes y Telecomunicaciones?
a) Asegurar la integridad, confidencialidad y confiabilidad de la información.
b) Minimizar existencias de riesgos en el uso de Tecnología de información
c) Conocer la situación actual del área informática para lograr los objetivos.
d) Asegurar seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático, así como también seguridad del personal, los datos, el hardware, el software y las instalaciones.
e) Incrementar la satisfacción de los usuarios de los sistemas informáticos.
f) Capacitar y educar sobre controles en los Sistemas de Información.
g) Buscar una mejor relación costo-beneficio de los sistemas automáticos y tomar decisiones en cuanto a inversiones para la tecnología de información.
3.- METODOLOGIAS
¿Qué metodologías sigue la Auditoria Informática en redes y Telecomunicaciones?
Las metodologías son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz.
Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático, se puede agrupar en dos grandes familias:
Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo, están diseñadas par producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numérico. Están diseñadas para producir una lista de riesgos que pueden compararse entre si con facilidad por tener asignados unos valores numéricos. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el numero de incidencias tiende al infinito.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/guía). Basadas en métodos estadísticos y lógica borrosa, que requiere menos recursos humanos / tiempo que las metodologías cuantitativas.
En la actualidad existen tres tipos de metodologías de auditoria informática:
R.O.A. (RISK ORIENTED APPROACH), diseñada por Arthur Andersen.
CHECKLIST o cuestionarios.
AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestión de base de Datos DB2; paquete de seguridad RACF, etc.).
4.- APLICACIONES
¿A que tipos de empresas se aplica la Auditoria Informática en Redes y Telecomunicaciones?
La Auditoria Informática en Redes y Telecomunicaciones se lo aplica en especial a empresas que poseen ciertamente de tecnologías de comunicaciones y/o sistemas de información que están conectados ya sea mediante intranet o internet, en Bolivia podemos citar a las siguientes principales empresas:
- Entel Movil
- Viva GSM
- Tigo
- AXS
- Cotel