Casos para analizar el porqué de las auditorías en los sistemas
“EL ENEMIGO EN CASA: INFRACCIONES INFORMÁTICAS DE LOS TRABAJADORES
La proliferación de las nuevas tecnologías en la empresa conlleva también la proliferación de nuevos peligros. Ya no son sólo los ataques y sabotajes informáticos desde el exterior, sino las infracciones desde dentro, las producidas por los propios empleados, y contra las que las organizaciones son, al parecer, más vulnerables. Hace poco más de un mes, la firma Landwell de Abogados y Asesores Fiscales, perteneciente a ricewaterhouseCoopers, presentaba un excelente estudio titulado Actos desleales de trabajadores usando sistemas informáticos, el cual merece lapena conocer con algo de detalle en estas páginas.
El estudio se ha elaborado a partir del análisis de informes, sentencias, autos y procedimientos judiciales de 393 casos reales sufridos por empresas españolas y protagonizados por trabajadores en plantilla, durante el trienio 2001-2003; y se ha completado con entrevistas personales con los responsables de las compañías afectadas.
Para empezar, el informe reconoce que se desconoce el nivel de incidencia en el conjunto total de las empresas españolas, ya que una gran parte de las empresas afectadas por este tipo de acciones prefieren llegar a un acuerdo amistoso y no divulgar los hechos. Las infracciones más habituales que han sido detectadas son así sistematizadas en el estudio:
Creación de empresa paralela, utilizando activos inmateriales de la empresa. Consiste en la
explotación en una empresa de nueva creación, de la propiedad intelectual, la propiedad
industrial o el know how de la empresa en la que el trabajador trabaja. Generalmente, el
trabajador constituye la nueva compañía antes de solicitar la baja voluntaria y realiza un
proceso de trasvase de información mediante soportes informáticos o a través de
Internet. Es posible que el trabajador actúe aliado con otros compañeros de la empresa.
Daños informáticos y uso abusivo de recursos informáticos. Los daños informáticos se
producen generalmente como respuesta a un conflicto laboral o a un despido que el
trabajador considera injusto. Consisten en la destrucción, alteración o inutilización de los
datos, programas o cualquier otro activo inmaterial albergado en redes, soportes o
sistemas informáticos de la empresa. Los casos más habituales son los virus informáticos,
el sabotaje y las bombas lógicas, programadas para que tengan efecto unos meses
después de la baja del trabajador.
También es habitual el uso abusivo de recursos informáticos, especialmente el acceso a
Internet. Información confidencial y datos personales. Consiste en el acceso no autorizado
y en la posterior revelación a terceros, generalmente competidores o clientes, de
información confidencial de la empresa. En algunas ocasiones, la revelación la realizan
trabajadores que tienen un acceso legítimo, pero con obligación de reserva, a la
información posteriormente divulgada. En este capítulo también se contempla la cesión
no autorizada a terceros de datos personales de trabajadores y clientes. Amenazas,
injurias y calumnias. El medio utilizado habitualmente es el correo electrónico corporativo,
aunque también se han utilizado cuentas anónimas, e incluso se ha suplantado la
identidad de otro trabajador de la misma empresa. En el caso de las amenazas, se busca
un beneficio material o inmaterial para el trabajador. Si el beneficio no se produce, el
trabajador llevará a cabo la conducta anunciada en el mensaje amenazador. En el caso de
las injurias y las calumnias, se busca desacreditar a la empresa, o a alguno de sus
directivos.
También se han producido insultos a clientes habituales o a clientes potenciales de la
empresa con el que el trabajador tenía algún conflicto. Infracción propiedad intelectual e
introducción de obras de la empresa en redes P2P. Consiste en la copia de activos
inmateriales de la empresa, especialmente obras protegidas por la propiedad intelectual,
con el fin de cederlas posteriormente a terceros.
En los últimos dos años se han dado casos de difusión a través de Internet, mediante el uso de redes de intercambio de ficheros (peer to peer). De esta manera, una multitud de usuarios acceden de forma gratuita a programas de ordenador desprotegidos, información o contenidos multimedia. Intercambio de obras de terceros a través de redes P2P.
Este es el caso más habitual y se detecta generalmente en el curso de una auditoría de seguridad informática, mediante el análisis del caudal de datos transferido por los trabajadores a través de la red corporativa. En algunas ocasiones, se ha detectado directamente la instalación del programa P2P o el uso de puertos típicos para el acceso a redes P2P. Este caso es especialmente grave, ya que la empresa se convierte en proveedora directa de copias no autorizadas de música, películas y
programas de ordenador. Infracción de derechos de propiedad industrial.
El caso más habitual ha sido la infracción de marcas de la empresa mediante el registro del
nombre de dominio por parte del trabajador. En algunos casos, se ha creado una página
web con contenidos ofensivos para conseguir un mayor efecto nocivo para la empresa o
para obtener una suma de dinero por la transferencia.
Ante la aparición de esta clase de situaciones, ¿cuál ha sido la estrategia de respuesta de las empresas?
El informe de Landwell nos dice que la mayoría de las empresas prefieren encomendar la
investigación de los posibles actos desleales de un trabajador a un equipo interno, generalmente formado por miembros del departamento de RRHH y del departamento de sistemas.
Sólo un 22 por ciento (22%) de las empresas que sospechan de un empleado deciden externalizar la investigación. El tipo de investigación depende de la intención de la empresa de llegar a un acuerdo o plantear una reclamación judicial.
Cuando se toma la decisión de llevar la infracción a los tribunales, la obtención de las evidencias electrónicas se encarga a un tercero, con el fin de conseguir mayor objetividad y valor probatorio.
El procedimiento de recopilación de las evidencias debe respetar los derechos del trabajador para que sea válido judicialmente. Una investigación se inicia a partir de las sospechas e indicios generados por la propia conducta del trabajador, por un consumo de recursos poco usual o por el descubrimiento de los efectos de la infracción.
No obstante, Sólo el 26 por ciento de las infracciones detectadas acaban en los tribunales. El resto de las infracciones son objeto de un acuerdo privado o de una sesión finalizada con avenencia en un organismo de mediación y conciliación laboral. En general, las empresas prefieren solucionar sus conflictos de forma privada y ello incide en la forma de investigar y tratar las posibles infracciones de sus trabajadores.
Ahora bien, si los daños producidos están previstos en la cobertura de un seguro, es muy probable que la empresa deba plantear una reclamación judicial para poder solicitar la correspondiente compensación económica”.
Con los anteriores casos que nos presentaron en el anterior artículo, debemos recordar que toda la información de la empresa es muy importante y hoy en día es parte de los activos de la organización, y así mismo debe invertirse en la protección de la misma, y esto es bien logrado con unos procesos de auditoría de sistemas.
Estas auditorías entran en especial funcionamiento en el momento en el que hay grandes cambios fuertes en los sistemas de la organización.
Las organizaciones a través de sus auditorías internas, pueden ir evaluando sus procesos y la seguridad de sus sistemas informáticos.
Así mismo la organización debe acudir a las auditorías externas cuando se percibe debilidad en la ejecución de los procesos de la misma. Algunos ítems que nos podrían llamar la atención para aplicar una auditoría externa, de acuerdo al portal de Auditoría de Sistemas en:
http://auditoriasistemas.com/auditoria-de-sistemas-informaticos/ son:
“SÍNTOMAS DE DESCOORDINACIÓN Y DESORGANIZACIÓN:
No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
Los estándares de productividad se desvían sensiblemente de los promedios conseguidos
habitualmente.
SÍNTOMAS DE MALA IMAGEN E INSATISFACCIÓN DE LOS USUARIOS:
No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.
No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.
SÍNTOMAS DE DEBILIDADES ECONÓMICO-FINANCIERO
Incremento desmesurado de costes.
Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente
convencida de tal necesidad y decide contrastar opiniones).
Desviaciones Presupuestarias significativas.
Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de
Proyectos y al órgano que realizó la petición).
SÍNTOMAS DE INSEGURIDAD: EVALUACIÓN DE NIVEL DE RIESGOS
Seguridad Lógica
Seguridad Física
Confidencialidad: [Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales]
CENTRO DE PROCESO DE DATOS FUERA DE CONTROL
Si tal situación llegara a percibirse, sería prácticamente inútil la auditoria. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio”.
Ahora veamos un ejemplo de un caso de estudio (Auditoría de Sistemas) realizada por un grupo de estudiantes de la Universidad de Caldas, a una empresa de Lácteos, en el proceso de Administración de datos. (En: http://ingenieria.ucaldas.edu.co/auditoria/index.php/Grupo_7).
Ejemplo auditoría
Se determina el propósito u Objetivo de la Auditoría como carta de
navegación de todo el proceso de auditoría
ORIGEN DE LA AUDITORIA.
La presente auditoria se realiza en cumplimiento de la solicitud que la empresa Natura Lácteos Ltda. Ha hecho a Chauditoria Consultores S.A, en su afán de detectar posibles síntomas de debilidad y de evaluar la eficiencia y efectividad en sus procesos de administración de datos.
1. GUÍA AUDITORA
Objetivos de Control
- Planificar la infraestructura tecnológica.
- Supervisar las futuras tendencias y regulaciones.
- Tener planes de contingencia de la infraestructura tecnológica.
- Tener planes de adquisiciones de hardware y software.
- Poseer estándares tecnológicos.
Obtención de Conocimiento
Recurso Humano a consultar
Gerente General Jefe del Departamento de Finanzas Gerencia de Sistemas
Información a conocer
- Políticas y procedimientos relacionados con planificación y el seguimiento de la infraestructura tecnológica.
- Tareas y responsabilidades de planificación de la dirección.
- Objetivos a largo y corto plazo de Natura Lácteos.
- Objetivos a largo y corto plazo de la tecnología de la información.
- Plan de adquisición de hardware y software de Natura Lácteos.
- Plan de infraestructura tecnológica.
- Informes de estado y actas de reuniones del comité de planificación.
2. Aspectos a Evaluar
Evaluación de los controles, considerando si:
Existe un proceso para la creación y la actualización regular del plan de infraestructura tecnológica para confirmar que los cambios propuestos están siendo examinados primero para evaluar los costos y riesgos inherentes, y que la aprobación de la Dirección se obtiene antes de realizar cualquier cambio en el plan.
El plan de infraestructura tecnológica está siendo comparado con los planes a largo y corto plazo de la tecnología de la información.
Existe un proceso para la evaluación de la situación tecnológica actual de la organización para asegurar que abarca aspectos tales como la arquitectura de sistemas, la dirección tecnológica y las estrategias de migración.
La política y procedimientos de los servicios de información aseguran la consideración de la necesidad de evaluar y realizan un seguimiento de las tendencias y condiciones regulatorias tecnológicas presentes y futuras, y si éstas se tienen en consideración durante el desarrollo y mantenimiento del plan de infraestructura tecnológica.
Se planifican el impacto logístico y ambiental de las adquisiciones tecnológicas.
Las políticas y procedimientos de los servicios de información aseguran que se considera la necesidad de evaluar sistemáticamente el plan tecnológico con respecto a contingencias (por ejemplo, redundancia, resistencia, adecuación y capacidad evolutiva de la infraestructura).
La dirección de los servicios de información evalúa tecnologías de vanguardia, e incorpora
tecnologías apropiadas a la infraestructura de los servicios de información actual.
Los planes de adquisición de hardware y software suelen satisfacer las necesidades identificadas en el plan de infraestructura tecnológica y si éstos se aprueban apropiadamente.
Se encuentran establecidos los estándares de la tecnología para los componentes tecnológicos descritos en el plan de infraestructura tecnológica.
Evaluación de la suficiencia, probando que:
La dirección de los servicios de información comprende y utiliza el plan de infraestructura
tecnológica.
Se han realizado cambios en el plan de infraestructura tecnológica para identificar los costos y riesgos inherentes, y que dichos cambios reflejan las modificaciones a los planes a largo y corto plazo de la tecnología de la información.
La dirección de los servicios de información comprende el proceso de seguimiento y evaluación de las nuevas tecnologías e incorpora tecnologías apropiadas a la infraestructura de los servicios de información actual.
La dirección de los servicios de información comprende el proceso de evaluar sistemáticamente el plan tecnológico en cuanto a contingencias (por ejemplo, redundancia, resistencia, adecuación y capacidad evolutiva de la infraestructura).
Existe un espacio adecuado en los servicios de información adecuado para alojar el hardware y software actualmente instalado, así como nuevo hardware y software adquirido según el plan de adquisiciones actual aprobado.
El plan de adquisición de hardware y software cumple con los planes a largo y corto plazo de la tecnología de la información, reflejando las necesidades identificadas en el plan de infraestructura tecnológica.
El plan de infraestructura tecnológica dirige la utilización de la tecnología actual y futura.
Se cumple con los estándares de la tecnología y que éstos son agregados e incorporados como parte del proceso de desarrollo.
El acceso permitido es consistente con los niveles de seguridad definidos en las políticas y
procedimientos de los servicios de información, y se ha obtenido la autorización apropiada para el acceso.
Evaluación del riesgo
Llevando a cabo:
Mediciones ("Benchmarking") de la planificación de la infraestructura tecnológica en relación con organizaciones similares o estándares internacionales y buenas prácticas reconocidas en la industria del sector.
Una revisión detallada del diccionario de datos para verificar que está completo en lo referente a elementos clave.
Una revisión detallada de los niveles de seguridad definidos para datos confidenciales.
Identificando:
Inconsistencias en el modelo de la arquitectura de la información y en el modelo y el diccionario de datos corporativo, en los sistemas de información asociados y en los planes a largo y corto plazo de la tecnología de la información. Elementos del diccionario de datos y reglas de sintaxis de datos obsoletos.
Contingencias que no han sido consideradas en el plan de infraestructura tecnológica.
Planes de adquisición de hardware y software de la tecnología de la información que no reflejan las necesidades del plan de infraestructura tecnológica.
Estándares de la tecnología que no son consistentes con el plan de infraestructura tecnológica o con los planes de adquisición de hardware y software de la tecnología de la información.
Un plan de infraestructura tecnológica o planes de adquisición de hardware y software de la tecnología de la información que no son consistentes con los estándares de la tecnología.
Elementos clave omitidos en el diccionario de datos.
No hay comentarios:
Publicar un comentario