SEGURIDAD INFORMÁTICA




SEGURIDAD INFORMÁTICA

La seguridad informática es una disciplina que se encarga de proteger la integridad y la privacidad de la informacion almacenada en un sistema informático. De todas formas, no existe ninguna técnica que permita asegurar la inviolabilidad de un sistema.

Un sistema informático puede ser protegido desde un punto de vista lógico (con el desarrollo de software) o físico (vinculado al mantenimiento eléctrico, por ejemplo). Por otra parte, las amenazas pueden proceder desde programas dañinos que se instalan en la computadora del usuario (como un virus) o llegar por vía remota (los delincuentes que se conectan a Internet e ingresan a distintos sistemas).

En el caso de los virus hay que subrayar que en la actualidad es amplísima la lista de ellos que existen y que pueden vulnerar de manera palpable cualquier equipo o sistema informático. Así, por ejemplo, nos encontramos con los llamados virus residentes que son aquellos que se caracterizan por el hecho de que se hallan ocultos en lo que es la memoria RAM y eso les da la oportunidad de interceptar y de controlar las distintas operaciones que se realizan en el ordenador en cuestión llevando a cabo la infección de programas o carpetas que formen parte fundamental de aquellas.

De la misma forma también están los conocidos virus de acción directa que son aquellos que lo que hacen es ejecutarse rápidamente y extenderse por todo el equipo trayendo consigo el contagio de todo lo que encuentren a su paso.
Los virus cifrados, los de arranque, los del fichero o los sobre escritura son igualmente otros de los peligros contagiosos más importantes que pueden afectar a nuestro ordenador.
Entre las herramientas más usuales de la seguridad informática, se encuentran los programas antivirus, los cortafuegos o firewalls, la encriptación de la información y el uso de contraseñas (passwords).

Herramientas todas ellas de gran utilidad como también lo son los conocidos sistemas de detección de intrusos, también conocidos como anti-spyware. Se trata de programas o aplicaciones gracias a los cuales se puede detectar de manera inmediata lo que son esos programas espías que se encuentran en nuestro sistema informático y que lo que realizan es una recopilación de información del mismo para luego ofrecérsela a un dispositivo externo sin contar con nuestra autorización en ningún momento. Entre este tipo de espías destaca, por ejemplo, Gator.

Un sistema seguro debe ser íntegro (con información modificable sólo por las personas autorizadas), confidencial (los datos tienen que ser legibles únicamente para los usuarios autorizados), irrefutable (el usuario no debe poder negar las acciones que realizó) y tener buena disponibilidad (debe ser estable).

De todas formas, como en la mayoría de los ámbitos de la seguridad, lo esencial sigue siendo la capacitación de los usuarios. Una persona que conoce cómo protegerse de las amenazas sabrá utilizar sus recursos de la mejor manera posible para evitar ataques o accidentes.
En otras palabras, puede decirse que la seguridad informática busca garantizar que los recursos de un sistema de información sean utilizados tal como una organización o un usuario lo ha decidido, sin intromisiones.

En nuestro servicio de auditoría de seguridad de sistemas de información (SI) elaboramos un estudio que comprende el análisis y gestión de sistemas para identificar las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de redes de comunicaciones o servidores. Una vez obtenidos los resultados, se reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y/o corrección.

La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores.

LA SEGURIDAD INFORMÁTICA ESTÁ CONCEBIDA PARA PROTEGER LOS ACTIVOS INFORMÁTICOS, ENTRE LOS QUE SE ENCUENTRAN LOS SIGUIENTES

La infraestructura computacional: es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar por que los equipos funcionen adecuadamente y anticiparse en caso de fallos, robos, incendios, sabotajes, desastres naturales, fallos en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.

Los usuarios: son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable.

La información: esta es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios.

AMENAZAS
No sólo las amenazas que surgen de la programación y el funcionamiento de un dispositivo de almacenamiento, transmisión o proceso deben ser consideradas, también hay otras circunstancias no informáticas que deben ser tomadas en cuenta. Muchas son a menudo imprevisibles o inevitables, de modo que las únicas protecciones posibles son las redundancias y la descentralización, por ejemplo mediante determinadas estructuras de redes en el caso de las comunicaciones o servidores en clúster para la disponibilidad.


LAS AMENAZAS PUEDEN SER CAUSADAS POR:
Usuarios: causa del mayor problema ligado a la seguridad de un sistema informático. En algunos casos sus acciones causan problemas de seguridad, si bien en la mayoría de los casos es porque tienen permisos sobredimensionados, no se les han restringido acciones innecesarias, etc.



Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado en el ordenador, abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica, un programa espía o spyware, en general conocidos como malware.

Errores de programación: la mayoría de los errores de programación que se pueden considerar como una amenaza informática es por su condición de poder ser usados como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en sí mismo, una amenaza. La actualización de parches de los sistemas operativos y aplicaciones permite evitar este tipo de amenazas.

Intrusos: personas que consiguen acceder a los datos o programas a los cuales no están autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.).

Un siniestro (robo, incendio, inundación): una mala manipulación o mala intención derivan en la pérdida del material o de los archivos.

Personal técnico interno: técnicos de sistemas, administradores de bases de datos, técnicos de desarrollo, etc. Los motivos que se encuentran entre los habituales son: disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.
Fallos electrónicos o lógicos de los sistemas informáticos en general.

Catástrofes naturales: rayos, terremotos, inundaciones, rayos cósmicos, etc.

INGENIERÍA SOCIAL ATAQUE DE VIRUS
Existen diferentes tipos de ataques en Internet como virus, troyanos u otros; dichos ataques pueden ser contrarrestados o eliminados pero hay un tipo de ataque, que no afecta directamente a los ordenadores, sino a sus usuarios, conocidos como “el eslabón más débil”. Dicho ataque es capaz de conseguir resultados similares a un ataque a través de la red, saltándose toda la infraestructura creada para combatir programas maliciosos. Además, es un ataque más eficiente, debido a que es más complejo de calcular y prever. Se pueden utilizar infinidad de influencias psicológicas para lograr que los ataques a un servidor sean lo más sencillo posible, ya que el usuario estaría inconscientemente dando autorización para que dicha inducción se vea finiquitada hasta el punto de accesos de administrador.

Tipos de amenaza
Existen infinidad de modos de clasificar un ataque y cada ataque puede recibir más de una clasificación. Por ejemplo, un caso de phishing puede llegar a robar la contraseña de un usuario de una red social y con ella realizar una suplantación de la identidad para un posterior acoso, o el robo de la contraseña puede usarse simplemente para cambiar la foto del perfil y dejarlo todo en una broma (sin que deje de ser delito en ambos casos, al menos en países con legislación para el caso, como lo es España).

Amenazas por el origen
El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún atacante pueda entrar en ella y hurtar información o alterar el funcionamiento de la red. Sin embargo el hecho de que la red no esté conectada a un entorno externo, como Internet, no nos garantiza la seguridad de la misma. De acuerdo con el Computer Security Institute (CSI) de San Francisco, aproximadamente entre el 60 y 80 por ciento de los incidentes de red son causados desde dentro de la misma. Basado en el origen del ataque podemos decir que existen dos tipos de amenazas:

Amenazas internas: generalmente estas amenazas pueden ser más serias que las externas, por varias razones como:
Si es por usuarios o personal técnico, conocen la red y saben cómo es su funcionamiento, ubicación de la información, datos de interés, etc. Además tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo, lo que les permite mínimos movimientos.
Los sistemas de prevención de intrusos o IPS, y firewalls son mecanismos no efectivos en amenazas internas por no estar, habitualmente, orientados al tráfico interno. Que el ataque sea interno no tiene que ser exclusivamente por personas ajenas a la red, podría ser por vulnerabilidades que permiten acceder a la red directamente: rosetas accesibles, redes inalámbricas desprotegidas, equipos sin vigilancia, etc.

Amenazas externas: Son aquellas amenazas que se originan fuera de la red. Al no tener información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos.

Amenazas por el efecto
El tipo de amenazas según el efecto que causan a quien recibe los ataques podría clasificarse en:
-       Robo de información.
-       Destrucción de información.
-       Anulación del funcionamiento de los sistemas o efectos que tiendan a ello.
-       Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de información, venta de datos personales, etc.
-       Robo de dinero, estafas,...

Amenazas por el medio utilizado
Se pueden clasificar por el modus operandi del atacante, si bien el efecto puede ser distinto para un mismo tipo de ataque:
Virus informático: malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en una computadora, aunque también existen otros más inofensivos, que solo se caracterizan por ser molestos.
Phishing.




Ingeniería social.
Denegación de servicio.
Spoofing: de DNS, de IP, de DHCP, etc.

Ejemplos de ataques informáticos
Según Valdivia; 2014, los ataques informáticos más usuales son los siguientes:

1) Ataques por repetición: ocurre cuando un pirata informático copia una secuencia de mensajes entre dos usuarios y envía tal secuencia a uno o más usuarios. A menos que esto sea minimizado, el sistema atacado procesa este comportamiento como mensajes legítimos y producen respuestas como pedidos redundantes.

2) Ataques de modificación de bits: se basan en las respuestas predecibles de las estaciones receptoras. El pirata modifica bits de un mensaje para enviar un mensaje cifrado erróneo a la estación receptora, y éste se puede comparar entonces contra la respuesta predecible para obtener la clave a través de múltiples repeticiones.

3) Ataques de denegación de servicio (DOS, Denial of Service): consiste en colapsar total o parcialmente a un servidor para que éste no pueda dar respuesta a los comandos (no para sacar de él información). En la red internet, esto puede lograrse saturando un solo servidor con múltiples solicitudes desde múltiples ordenadores. Como el servidor es incapaz de responder a todas las solicitudes, colapsa. En las redes inalámbricas, esto se logra también provocando ruido: se coloca un teléfono a 2,4 GHz cerca del punto de acceso e iniciar una llamada. La energía de radiofrecuencia provocada es suficiente para bloquear de manera efectiva gran parte del tráfico de datos en el punto de acceso.

4) Ataques de diccionario: en ciertos modelos de autenticación de datos, para ingresar al sistema la contraseña se mantiene en secreto, mientras que el nombre de usuario es enviado en forma de texto simple y es fácilmente interceptable. En este caso, el pirata informático obtiene distintos nombres de usuarios y con ellos, desde un ordenador, empieza a adivinar las contraseñas con base en palabras de diccionarios en distintos idiomas. Este ataque es exitoso en gran medida porque muchos usuarios utilizan contraseñas poco creativas.

Amenaza informática del futuro
Si en un momento el objetivo de los ataques fue cambiar las plataformas tecnológicas ahora las tendencias cibercriminales indican que la nueva modalidad es manipular los certificados que contienen la información digital. El área semántica, era reservada para los humanos, se convirtió ahora en el núcleo de los ataques debido a la evolución de la Web 2.0 y las redes sociales, factores que llevaron al nacimiento de la generación 3.0.
Se puede afirmar que “la Web 3.0 otorga contenidos y significados de manera tal que pueden ser comprendidos por las computadoras, las cuales -por medio de técnicas de inteligencia artificial- son capaces de emular y mejorar la obtención de conocimiento, hasta el momento reservada a las personas”.

Es decir, se trata de dotar de significado a las páginas Web, y de ahí el nombre de Web semántica o Sociedad del Conocimiento, como evolución de la ya pasada Sociedad de la Información

Personal (se pasa por alto el hecho de la persona de la organización incluso a la persona ajeno a la estructura informática, puede comprometer la seguridad de los equipos)

Ex-empleados (generalmente se trata de personas descontentas con la organización que pueden aprovechar debilidades de un sistema del que conocen perfectamente, pueden insertar troyanos, bombas lógicas, virus o simplemente conectarse al sistema como si aún trabajaran en la organización)

Curiosos (son los atacantes juntos con los crakers los que más se dan en un sistema)

Hackers (una persona que intenta tener acceso no autorizado a los recursos de la red con intención maliciosa aunque no siempre tiende a ser esa su finalidad)

Crackers(es un término más preciso para describir una persona que intenta obtener acceso no autorizado a los recursos de la red con intención maliciosa)

Intrusos remunerados (se trata de personas con gran experiencia en problemas de seguridad y un amplio conocimiento del sistema que son pagados por una tercera parte generalmente para robar secretos o simplemente para dañar la imagen de la organización)

En este sentido, las amenazas informáticas que viene en el futuro ya no son con la inclusión de troyanos en los sistemas o softwares espías, sino con el hecho de que los ataques se han profesionalizado y manipulan el significado del contenido virtual.
“La Web 3.0, basada en conceptos como elaborar, compartir y significar, está representando un desafío para los hackers que ya no utilizan las plataformas convencionales de ataque, sino que optan por modificar los significados del contenido digital, provocando así la confusión lógica del usuario y permitiendo de este modo la intrusión en los sistemas”, La amenaza ya no solicita la clave de homebanking del desprevenido usuario, sino que directamente modifica el balance de la cuenta, asustando al internauta y, a partir de allí, sí efectuar el robo del capital”.

Obtención de perfiles de los usuarios por medios, en un principio, lícitos: seguimiento de las búsquedas realizadas, históricos de navegación, seguimiento con geoposicionamiento de los móviles, análisis de las imágenes digitales subidas a Internet, etc.
Para no ser presa de esta nueva ola de ataques más sutiles, se recomienda:
Mantener las soluciones activadas y actualizadas.
Evitar realizar operaciones comerciales en computadoras de uso público o en redes abiertas.
Verificar los archivos adjuntos de mensajes sospechosos y evitar su descarga en caso de duda.
DMS en el Data Center



¿Por qué es tan importante la seguridad informática?

Prevenir el robo de datos tales como números de cuentas bancarias, información de tarjetas de crédito, contraseñas, documentos relacionados con el trabajo, hojas de cálculo, etc. es algo esencial durante las comunicaciones de hoy en día. Muchas de las acciones de nuestro día a día dependen de la seguridad informática a lo largo de toda la ruta que siguen nuestros datos.
Y como uno de los puntos iniciales de esa ruta, los datos presentes en un ordenador también pueden ser mal utilizados por intrusiones no autorizadas. Un intruso puede modificar y cambiar los códigos fuente de los programas y también puede utilizar tus imágenes o cuentas de correo electrónico para crear contenido perjudicial, como imágenes pornográficas o cuentas sociales falsas.

Hay también ciberdelincuentes que intentarán acceder a los ordenadores con intenciones maliciosas como pueden ser atacar a otros equipos o sitios web o redes.



Crear el caos. Los hackers pueden bloquear un sistema informático para propiciar la pérdida de datos. También son capaces de lanzar ataques DDoS para conseguir que no se pueda acceder a sitios web mediante consiguiendo que el servidor falle.
Todos los factores anteriores vuelven a hacer hincapié en la necesidad de que nuestros datos deben permanecer seguros y protegidos confidencialmente. Por lo tanto, es necesario proteger tu equipo y eso hace que sea necesario y muy importante todo lo que es la seguridad informática.

Medidas para el mantenimiento de la seguridad informática y la prevención de intrusiones

Los ataques más utilizados en contra de un sistema informático son los troyanos, los gusanos y la suplantación y espionaje a través de redes sociales. También son populares los ataques DoS/DDoS, que pueden ser usados para interrumpir los servicios. A menudo algunos usuarios autorizados pueden también estar directamente involucrados en el robo de datos o en su mal uso. Pero si se toman las medidas adecuadas, la gran mayoría de este tipo de ataques pueden prevenirse, por ejemplo a través de la creación de diferentes niveles de acceso, o incluso limitando el acceso físico.

Los Virus Informáticos

Son sencillamente programas maliciosos (malwares) que “infectan” a otros archivos del sistema con la intención de modificarlo o dañarlo. Dicha infección consiste en incrustar su código malicioso en el interior del archivo “víctima” (normalmente un ejecutable) de forma que a partir de ese momento dicho ejecutable pasa a ser portador del virus y por tanto, una nueva fuente de infección.

Su nombre lo adoptan de la similitud que tienen con los virus biológicos que afectan a los humanos, donde los antibióticos en este caso serían los programas Antivirus.
Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, no se replican a sí mismos porque no tienen esa facultad como los del tipo  Gusano informático (Worm), son muy nocivos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil.
.
¿Cuál es el funcionamiento básico de un virus?
Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario.
-       El código del virus queda residente (alojado) en la memoria RAM de la computadora, aun cuando el programa que lo contenía haya terminado de ejecutarse.
-       El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables (.exe., .com, .scr, etc) que sean llamados para su ejecución.
-       Finalmente se añade el código del virus al programa infectado y se graba en el disco, con lo cual el proceso de replicado se completa.
.


Las principales vías de infección son:
-       Redes Sociales.
-       Sitios webs fraudulentos.
-       Redes P2P (descargas con regalo)
-       Dispositivos USB/CDs/DVDs infectados.
-       Sitios webs legítimos pero infectados.
-       Adjuntos en Correos no solicitados (Spam)
.
¿Cómo eliminar un virus informático?
Si sospecha haber sido víctima de un virus o malwares en su equipo, le recomendamos seguir nuestra “Guía de detección y eliminación de Malwares 2011” paso a paso y si no consigue solucionarlo, puede solicitarnos ayuda de forma gratuita, directamente en nuestro Foro de InfoSpyware.
.
¿Cómo protegernos de los virus informáticos?
La prevención consiste en un punto vital a la hora de proteger nuestros equipos ante la posible infección de algún tipo de virus y para esto hay tres puntos vitales que son:
-       Un programa Antivirus.
-       Un programa Cortafuegos.
-       Un “poco” de sentido común.
.

 Programas Antivirus
Un antivirus es una gran base de datos con la huella digital de todos los virus conocidos para identificarlos y también con las pautas que más contienen los virus. Los fabricantes de antivirus avanzan tecnológicamente casi en la misma medida que lo hacen los creadores de virus. Esto sirve para combatirlos, aunque no para prevenir la creación e infección de otros nuevos.
Actualmente existen técnicas, conocidas como heurísticas, que brindan una forma de "adelantarse" a los nuevos virus. Con esta técnica el antivirus es capaz de analizar archivos y documentos y detectar actividades sospechosas. Esta posibilidad puede ser explotada gracias a que de los 6-20 nuevos virus diarios, sólo aparecen unos cinco totalmente novedosos al año.
Debe tenerse en cuenta que:
Un programa antivirus forma parte del sistema y por lo tanto funcionará correctamente si es adecuado y está bien configurado.
No será eficaz el 100% de los casos, no existe la protección total y definitiva.
Las funciones presentes en un antivirus son:
Detección: se debe poder afirmar la presencia y/o accionar de un VI en una computadora. Adicionalmente puede brindar módulos de identificación, erradicación del virus o eliminación de la entidad infectada.

Identificación de un virus: existen diversas técnicas para realizar esta acción:
Scanning: técnica que consiste en revisar el código de los archivos (fundamentalmente archivos ejecutables y de documentos) en busca de pequeñas porciones de código que puedan pertenecer a un virus (sus huellas digitales). Estas porciones están almacenadas en una base de datos del antivirus. Su principal ventaja reside en la rápida y exacta que resulta la identificación del virus. En los primeros tiempos (cuando los virus no eran tantos ni su dispersión era tan rápida), esta técnica fue eficaz, luego se comenzaron a notar sus deficiencias. El primer punto desfavorable es que brinda una solución a posterior y es necesario que el virus alcance un grado de dispersión considerable para que llegue a mano de los investigadores y estos lo incorporen a su base de datos (este proceso puede demorar desde uno a tres meses). Este modelo reactivo jamás constituirá una solución definitiva.

Heurística: búsqueda de acciones potencialmente dañinas perteneciente a un virus informático. Esta técnica no identifica de manera certera el virus, sino que rastrea rutinas de alteración de información y zonas generalmente no controlada por el usuario (MBR, Boot Sector, FAT, y otras). Su principal ventaja reside en que es capaz de detectar virus que no han sido agregados a las base de datos de los antivirus (técnica proactiva). Su desventaja radica en que puede "sospechar" de demasiadas cosas y el usuario debe ser medianamente capaz de identificar falsas alarmas.

Chequeadores de Integridad: Consiste en monitorear las actividades de la PC señalando si algún proceso intenta modificar sectores críticos de la misma. Su ventaja reside en la prevención aunque muchas veces pueden ser vulnerados por los virus y ser desactivados por ellos, haciendo que el usuario se crea protegido, no siendo así.
Es importante diferencia los términos detectar: determinación de la presencia de un virus e identificar: determinación de qué virus fue el detectado. Lo importante es la detección del virus y luego, si es posible, su identificación y erradicación.

Comentarios

Publicar un comentario

Entradas populares de este blog

ESTÁNDARES INTERNACIONALES DE AUDITORIA INFORMATICA

Imagen
ESTÁNDARES INTERNACIONALES DE AUDITORIA INFORMATICA Normas de control interno COSO         Algunos grupos de interés de países como: Canadá, Estados Unidos, Reino Unido, Francia, Nueva Zelanda entre otros integraron la (Comisión Treadway), quienes   realizaron muchos esfuerzos para definir formalmente el Modelo de Control Interno COSO,   que contiene objetivos y elementos del control interno, así mismo establecieron los roles de todos los interesados incluyendo la Junta Directiva, los directivos, los jefes de mandos medios, los supervisores y empleados. Descripción de la metodología La presente metodología está estructurada en tres secciones principales: a)     La organización del proyecto b)     Las fases para el desarrollo de sistemas de información c)     La evolución de los sistemas de información En la primera de estas secciones se hace referencia a las funciones y responsabilidades de cada uno de los involucrados en el desarrollo del proy
Leer más

SOFTWARE DE AUDITORIA

Imagen
SOFTWARE DE AUDITORIA El software de auditoría ayuda a centralizar la información de auditoría para que las empresas puedan tomar decisiones coordinadas con una idea generalizada de las estadísticas financieras de la empresa. El software de auditoría también se suele diseñar para acelerar los procesos de auditoría para que las empresas no tengan que dedicarle tanto tiempo. Son programas utilizados para procesar grandes cantidades de datos generados por la contabilidad de una organización, puede ser: programas en paquete, programas escritos para un propósito específico y programas de utilería. El Software de Auditoria de Sistemas tiene como propósito y objetivo principal identificar las tendencias, señalar excepciones y áreas que requieren atención localiza errores y posibles irregularidades, comparando y analizando los archivos según los criterios especificados por los usuarios. Además permiten extraer información para su revisión, comparación y así obtene
Leer más

INFORME COSO

Imagen
INFORME COSO Es un sistema que permite implementar el control interno en cualquier tipo de entidad u organización. Sus siglas se refieren al Comité De Organizaciones Patrocinadoras De La Comisión De Normas. (Committee of Sponsoring Organizations of The Treadway Commission), quienes evaluaron y llegaron a la conclusión que la ausencia de orden en los procesos de una entidad, representa una diversidad de riesgos, por lo tanto, es necesario evaluarlos y darles una respuesta inmediata para evitar los posibles fraudes o errores que pudieren surgir. La evolución a lo largo de la historia de la estructura del Sistema COSO ha sido efectiva a partir del año 1992, en cuyo año se denominó Marco del Control Interno (COSO I), para el año 2004 se da a conocer la mejora en el Sistema de COSO I con el Marco Integral de Riesgos (COSO II ERM), y para el año 2006 se da a conocer el Sistema de COSO III para pequeñas y medianas empresas. Para facilitar a las empresas a evaluar y mejorar
Leer más