Embed Size (px)
Citation preview
1
OBJETIVO DEL TRABAJO PRACTICO
El objetivo principal de este trabajo, es que a partir de la investigación, recaudación y procesamiento de las informaciones obtenidas vía internet, el alumno a partir de los temas proporcionados por parte de la profesora, elabore un trabajo práctico con todas las informaciones obtenidas, y posteriormente la comprensión de los temas que contiene dicho trabajo.
2
TRABAJO INDIVIDUAL
PROFESORA: LIC. SOFIA VIOLETA BROZZONALUMNO: RAMON CESAR MAIDANACARRERA: CIENCIAS CONTABLES MATERIA: AUDITORIA DE SISTEMAS INFORMATICOSTEMA: SEGURIDAD Y PROTECCION SEDE: MAYOR OTAÑOAÑO: 2010
3
INDICE
4
La protección de los activos de la compañía
El sistema utilizado debe ser debidamente configurado y adecuado para que permita conocer en tiempo y exactitud los rubros que se pretenden controlar, así como la rápida respuesta a la generación de información útil y veraz. Con accesos debidamente asignados.Ya que en la mayoría de los actuales casos ya no es posible verificar manualmente y es impráctico con las nuevas herramientas informáticas que en la actualidad calculan, clasifican e integran los datos, tenemos bases confiables para hacer el trabajo más eficiente y de mucha mayor calidad.
SEGURIDAD LÓGICA Y CONFIDENCIAL
La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional.Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. Antes esta situación, en el transcurso del siglo XX, el mundo ha sido testigo de la transformación de algunos aspectos de seguridad y de derecho.En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar el llamado ""virus" de las computadoras, el cual aunque tiene diferentes intenciones se encuentra principalmente para paquetes que son copiados sin autorización ("piratas") y borra toda la información que se tiene en un disco.Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus.El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos ajenos de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de modificar la información con propósitos fraudulentos.Un método eficaz para proteger sistemas de computación es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial. Dichos paquetes han sido populares desde hace muchos años en el mundo de las computadoras grandes, y los principales proveedores ponen a disposición de clientes algunos de estos paquetes.
5
El sistema integral de seguridad debe comprender:Elementos administrativosDefinición de una política de seguridadOrganización y división de responsabilidadesSeguridad física y contra catástrofes (incendio, terremotos, etc.)Prácticas de seguridad del personalElementos técnicos y procedimientosSistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.Aplicación de los sistemas de seguridad, incluyendo datos y archivosEl papel de los auditores, tanto internos como externosPlaneación de programas de desastre y su prueba.Se debe evaluar el nivel de riesgo que puede tener la información para poder hacer un adecuado estudio costo/beneficio entre el costo por pérdida de información y el costo de un sistema de seguridad, para lo cual se debe considerar lo siguiente:Clasificar la instalación en términos de riesgo (alto, mediano, pequeño).Identificar aquellas aplicaciones que tengan un alto riesgo.Cuantificar el impacto en el caso de suspensión del servicio en aquellas aplicaciones con un alto riesgo.Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera.La justificación del costo de implantar las medidas de seguridad para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo, se debe preguntar lo siguiente:Que sucedería si no se puede usar el sistema?Si la contestación es que no se podría seguir trabajando, esto nos sitúa en un sistema de alto riego.La siguiente pregunta es:¿Que implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podríamos estar sin utilizarlo?¿Existe un procedimiento alterno y que problemas nos ocasionaría?¿Que se ha hecho para un caso de emergencia?Una vez que se ha definido, el grado de riesgo, hay que elaborar una lista de los sistemas con las medias preventivas que se deben tomar, así como las correctivas en caso de desastre señalándole a cada uno su prioridad.Hay que tener mucho cuidado con la información que sale de la oficina, su utilización y que sea borrada al momento de dejar la instalación que está dando respaldo.Para clasificar la instalación en términos de riesgo se debe:Clasificar los datos, información y programas que contienen información confidencial que tenga un alto valor dentro del mercado de competencia de una organización, e información que sea de difícil recuperación.Identificar aquella información que tenga un gran costo financiero en caso de pérdida o bien puede provocar un gran impacto en la toma de decisiones.Determinar la información que tenga una gran pérdida en la organización y, consecuentemente, puedan provocar hasta la posibilidad de que no pueda sobrevivir sin esa información.Para cuantificar el riesgo es necesario que se efectúen entrevistas con los altos niveles administrativos que sean directamente afectados por la suspensión en
6
el procesamiento y que cuantifiquen el impacto que les puede causar este tipo de situaciones.
Para evaluar las medidas de seguridad se debe:Especificar la aplicación, los programas y archivos.Las medidas en caso de desastre, pérdida total, abuso y los planes necesarios.Las prioridades que se deben tomar en cuanto a las acciones a corto y largo plazo.En cuanto a la división del trabajo se debe evaluar que se tomen las siguientes precauciones, las cuales dependerán del riesgo que tenga la información y del tipo y tamaño de la organización.El personal que prepara la información no debe tener acceso a la operación.Los análisis y programadores no deben tener acceso al área de operaciones y viceversa.Los operadores no debe tener acceso irrestringido a las librerías ni a los lugares donde se tengan los archivos almacenados; es importante separar las funciones de librería y de operación.Los operadores no deben ser los únicos que tengan el control sobre los trabajos procesados y no deben hacer las correcciones a los errores detectados.Al implantar sistemas de seguridad puede, reducirse la flexibilidad en el trabajo, pero no debe reducir la eficiencia.
SEGURIDAD FÍSICA
El objetivo es establecer políticas, procedimientos y prácticas para evitar las interrupciones prolongadas del servicio de procesamiento de datos, información debido a contingencias como incendio, inundaciones, huelgas, disturbios, sabotaje, etc. y continuar en medio de emergencia hasta que sea restaurado el servicio completo.Entre las precauciones que se deben revisar están:Los ductos del aire acondicionado deben estar limpios, ya que son una de las principales causas del polvo y se habrá de contar con detectores de humo que indiquen la posible presencia de fuego.En las instalaciones de alto riesgo se debe tener equipo de fuente no interrumpible, tanto en la computadora como en la red y los equipos de teleproceso.En cuanto a los extintores, se debe revisar en número de estos, su capacidad, fácil acceso, peso y tipo de producto que utilizan. Es muy frecuente que se tengan los extintores, pero puede suceder que no se encuentren recargados o bien que sean de difícil acceso de un peso tal que sea difícil utilizarlos.Esto es común en lugares donde se encuentran trabajando hombres y mujeres y los extintores están a tal altura o con un peso tan grande que una mujer no puede utilizarlos.Otro de los problemas es la utilización de extintores inadecuados que pueden provocar mayor perjuicio a las máquinas (extintores líquidos) o que producen gases tóxicos.También se debe ver si el personal sabe usar los equipos contra incendio y si ha habido prácticas en cuanto a su uso.
7
Se debe verificar que existan suficientes salidas de emergencia y que estén debidamente controladas para evitar robos por medio de estas salidas.Los materiales más peligrosos son las cintas magnéticas que al quemarse, producen gases tóxicos y el papel carbón que es altamente inflamable.
SEGURIDAD EN LA UTILIZACIÓN DEL EQUIPO
En la actualidad los programas y los equipos son altamente sofisticados y sólo algunas personas dentro del centro de cómputo conocen al detalle el diseño, lo que puede provocar que puedan producir algún deterioro a los sistemas si no se toman las siguientes medidas:1) Se debe restringir el acceso a los programas y a los archivos.2) Los operadores deben trabajar con poca supervisión y sin la participación de los programadores, y no deben modificar los programas ni los archivos.3) Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados, procurando no usar respaldos inadecuados.4) No debe permitirse la entrada a la red a personas no autorizadas, ni a usar las terminales.5) Se deben realizar periódicamente una verificación física del uso de terminales y de los reportes obtenidos.6) Se deben monitorear periódicamente el uso que se le está dando a las terminales.7) Se deben hacer auditorías periódicas sobre el área de operación y la utilización de las terminales.8) El usuario es el responsable de los datos, por lo que debe asegurarse que los datos recolectados sean procesados completamente. Esto sólo se logrará por medio de los controles adecuados, los cuales deben ser definidos desde el momento del diseño general del sistema.9) Deben existir registros que reflejen la transformación entre las diferentes funciones de un sistema.10) Debe controlarse la distribución de las salidas (reportes, cintas, etc.).11) Se debe guardar copias de los archivos y programas en lugares ajenos al centro de cómputo y en las instalaciones de alta seguridad; por ejemplo: los bancos.12) Se debe tener un estricto control sobre el acceso físico a los archivos.13) En el caso de programas, se debe asignar a cada uno de ellos, una clave que identifique el sistema, subsistema, programa y versión.También evitará que el programador ponga nombres que nos signifiquen nada y que sean difíciles de identificar, lo que evitará que el programador utilice la computadora para trabajos personales. Otro de los puntos en los que hay que tener seguridad es en el manejo de información. Para controlar este tipo de información se debe:1) Cuidar que no se obtengan fotocopias de información confidencial sin la debida autorización.2) Sólo el personal autorizado debe tener acceso a la información confidencial.3) Controlar los listados tanto de los procesos correctos como aquellos procesos con terminación incorrecta.
8
4) Controlar el número de copias y la destrucción de la información y del papel carbón de los reportes muy confidenciales.El factor más importante de la eliminación de riesgos en la programación es que todos los programas y archivos estén debidamente documentados.El siguiente factor en importancia es contar con los respaldos, y duplicados de los sistemas, programas, archivos y documentación necesarios para que pueda funcionar el plan de emergencia.Equipo, programas y archivosControl de aplicaciones por terminalDefinir una estrategia de seguridad de la red y de respaldosRequerimientos físicos.Estándar de archivos.Auditoría interna en el momento del diseño del sistema, su implantación y puntos de verificación y control.
SEGURIDAD AL RESTAURAR EL EQUIPOEn un mundo que depende cada día mas de los servicios proporcionados por las computadoras, es vital definir procedimientos en caso de una posible falta o siniestro. Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño causado, lo que permitirá recuperar en el menor tiempo posible el proceso perdido. También se debe analizar el impacto futuro en el funcionamiento de la organización y prevenir cualquier implicación negativa.En todas las actividades relacionadas con las ciencias de la computación, existe un riesgo aceptable, y es necesario analizar y entender estos factores para establecer los procedimientos que permitan analizarlos al máximo y en caso que ocurran, poder reparar el daño y reanudar la operación lo mas rápidamente posible.En una situación ideal, se deberían elaborar planes para manejar cualquier contingencia que se presente.Analizando cada aplicación se deben definir planes de recuperación y reanudación, para asegurarse que los usuarios se vean afectados lo menos posible en caso de falla o siniestro. Las acciones de recuperación disponibles a nivel operativo pueden ser algunas de las siguientes:En algunos casos es conveniente no realizar ninguna acción y reanudar el proceso.Mediante copias periódicas de los archivos se puede reanudar un proceso a partir de una fecha determinada.El procesamiento anterior complementado con un registro de las transacciones que afectaron a los archivos permitirá retroceder en los movimientos realizados a un archivo al punto de tener la seguridad del contenido del mismo a partir de él reanudar el proceso.Analizar el flujo de datos y procedimientos y cambiar el proceso normal por un proceso alterno de emergencia.Reconfigurar los recursos disponibles, tanto de equipo y sistemas como de comunicaciones.Cualquier procedimiento que se determine que es el adecuado para un caso de emergencia deberá ser planeado y probado previamente.Este grupo de emergencia deberá tener un conocimiento de los posibles procedimientos que puede utilizar, además de un conocimiento de las
9
características de las aplicaciones, tanto desde el punto técnico como de su prioridad, el nivel de servicio planeado y su influjo en la operación de la organización.Además de los procedimientos de recuperación y reinicio de la información, se deben contemplar los procedimientos operativos de los recursos físicos como hardware y comunicaciones, planeando la utilización de equipos que permitan seguir operando en caso de falta de la corriente eléctrica, caminos alternos de comunicación y utilización de instalaciones de cómputo similares. Estas y otras medidas de recuperación y reinicio deberán ser planeadas y probadas previamente como en el caso de la información.
PROCEDIMIENTOS DE RESPALDO EN CASO DE DESASTRESe debe establecer en cada dirección de informática un plan de emergencia el cual ha de ser aprobado por la dirección de informática y contener tanto procedimiento como información para ayudar a la recuperación de interrupciones en la operación del sistema de cómputo.El sistema debe ser probado y utilizado en condiciones anormales, para que en casó de usarse en situaciones de emergencia, se tenga la seguridad que funcionará.La prueba del plan de emergencia debe hacerse sobre la base de que la emergencia existe y se ha de utilizar respaldos.Se deben evitar suposiciones que, en un momento de emergencia, hagan inoperante el respaldo, en efecto, aunque el equipo de cómputo sea aparentemente el mismo, puede haber diferencias en la configuración, el sistema operativo, en disco etc.El plan de emergencia una vez aprobado, se distribuye entre personal responsable de su operación, por precaución es conveniente tener una copia fuera de la dirección de informática.En virtud de la información que contiene el plan de emergencia, se considerará como confidencial o de acceso restringido.La elaboración del plan y de los componentes puede hacerse en forma independiente de acuerdo con los requerimientos de emergencia, La estructura del plan debe ser tal que facilite su actualización.Para la preparación del plan se seleccionará el personal que realice las actividades claves del plan. El grupo de recuperación en caso de emergencia debe estar integrado por personal de administración de la dirección de informática, debe tener tareas específicas como la operación del equipo de respaldo, la interfaz administrativa.
Los desastres que pueden suceder podemos clasificar así:
a) Completa destrucción del centro de cómputo,b) Destrucción parcial del centro de cómputo,c) Destrucción o mal funcionamiento de los equipos auxiliares del centro de cómputo (electricidad, aire, acondicionado, etc.)d) Destrucción parcial o total de los equipos descentralizadose) Pérdida total o parcial de información, manuales o documentaciónf) Pérdida del personal claveg) Huelga o problemas laborales.El plan en caso de desastre debe incluir:
10
La documentación de programación y de operación.Los equipos:El equipo completoEl ambiente de los equiposDatos y archivosPapelería y equipo accesorioSistemas (sistemas operativos, bases de datos, programas).El plan en caso de desastre debe considerar todos los puntos por separado y en forma integral como sistema. La documentación estará en todo momento tan actualizada como sea posible, ya que en muchas ocasiones no se tienen actualizadas las últimas modificaciones y eso provoca que el plan de emergencia no pueda ser utilizado.Cuando el plan sea requerido debido a una emergencia, el grupo deberá:Asegurarse de que todos los miembros sean notificados, informar al director de informática,Cuantificar el daño o pérdida del equipo, archivos y documentos para definir que parte del plan debe ser activada.Determinar el estado de todos los sistemas en proceso,Notificar a los proveedores del equipo cual fue el daño,Establecer la estrategia para llevar a cabo las operaciones de emergencias tomando en cuenta:Elaboración de una lista con los métodos disponibles para realizar la recuperaciónSeñalamiento de la posibilidad de alternar los procedimientos de operación (por ejemplo, cambios en los dispositivos, sustituciones de procesos en línea por procesos en lote).Señalamiento de las necesidades para armar y transportar al lugar de respaldo todos los archivos, programas, etc., que se requieren.Estimación de las necesidades de tiempo de las computadoras para un periodo largo.
Cuando ocurra la emergencia, se deberá reducir la carga de procesos, analizando alternativas como:Posponer las aplicaciones de prioridad más baja,Cambiar la frecuencia del proceso de trabajos.Suspender las aplicaciones en desarrollo.Por otro lado, se debe establecer una coordinación estrecha con el personal de seguridad a fin de proteger la información.Respecto a la configuración del equipo hay que tener toda la información correspondiente al hardware y software del equipo propio y del respaldo.Deberán tenerse todas las especificaciones de los servicios auxiliares tales como energía eléctrica, aire acondicionado, etc. a fin de contar con servicios de respaldo adecuados y reducir al mínimo las restricciones de procesos, se deberán tomar en cuenta las siguientes consideraciones:Mínimo de memoria principal requerida y el equipo periférico que permita procesar las aplicaciones esenciales.Se debe tener documentados los cambios de software.En caso de respaldo en otras instituciones, previamente se deberá conocer el tiempo de computadora disponible.Es conveniente incluir en el acuerdo de soporte recíproco los siguientes puntos:
11
Configuración de equipos.Configuración de equipos de captación de datos.Sistemas operativos.Configuración de equipos periféricos.RiesgosCuando se habla de riesgo, se entiende como: “Los riesgos son condiciones del mundo real en el cual hay una exposición a la adversidad, conformada por una combinación de circunstancias del entorno, donde hay posibilidad de perdidas.Riesgo; cualquier variable importante de incertidumbre que interfiera con el logro de los objetivos y estrategias del negocio. Es decir es la posibilidad de la ocurrencia de un hecho o suceso no deseado o la no - ocurrencia de uno deseado.Ejemplo:Al asistir a las instalaciones de la Subcontraloría de Auditoría para analizarla, se revisaron las tecnologías de información con las que cuentan a la fecha, de lo cual se determinan los siguientes riesgos:
Tabla 1.2. LógicosRiesgo Probabilidad Impacto Control
Pérdida de información Media Alto No lo hay
Recomendaciones inadecuadas Baja Alto No lo hay
Fuga de información Baja Medio No lo hay
Descontrol del personal Medio Bajo No lo hayTabla 1.3. FísicosRiesgo Probabilidad Impacto Control
Incendio Baja Bajo Sistemas contra incendio
Robo Media AltaControles de acceso, resguardos e inventarios
Desastres naturales
Baja AltaProgramas de capacitación en caso de desastres naturales
Riesgo Probabilidad Impacto
Caída de la red Media Alto
Caída de servicios de producción Media Bajo
Extracción, modificación y destrucción de información confidencial
Baja Alto
Uso inadecuado de las instalaciones Alta Media
Ataques de virus informáticos Alta Alto
Fuga de información Media Alto
Inadecuados controles de acceso lógicos Baja Alto
Pérdida de información Baja Medio
Falta de disponibilidad de aplicaciones críticas Baja Alto
Descontrol del personal Medio BajoTabla 2.5. Físicos
12
Riesgo Probabilidad Impacto
Inadecuados controles de acceso físico Alta Bajo
Vulnerabilidad Media Alto
Incendio Baja Bajo
Robo Media Alto
Desastres naturales Baja AltoTeniendo en cuenta que una de las principales causas de los problemas dentro del área de sistemas, es la inadecuada administración de riesgos informáticos, se debe hacer una buena administración de riesgos, basándose en los siguientes aspectos:La evaluación de los riesgos inherentes a los procesos informáticos.La evaluación de las amenazas ó causas de los riesgos.Los controles utilizados para minimizar las amenazas a riesgos.La asignación de responsables a los procesos informáticos.
La evaluación de los elementos del análisis de riesgos.
Riesgos en AuditoríaCada vez que un auditor ejecute una auditoría, no importando como se llame ésta, sé vera enfrentado a una serie de riesgos los cuales deben ser identificados, evaluados y considerados adecuadamente, para lograr en forma satisfactoria su labor, es decir, con eficiencia y eficacia profesional.Hoy en día, cuando un auditor se enfrenta al tema de los riesgos en la auditoría, su mayor dificultad no está en el conocimiento y manejo de la teoría que lo sustenta, sino más bien en como evaluarlos para así poder minimizarlos al máximo. El auditor cada vez que se enfrenta a una auditoría debe considerar la posible existencia de riesgos, los que tienen relación con su actividad profesional y los relacionados con el trabajo de la auditoría como proceso.Riesgo; cualquier variable importante de incertidumbre que interfiera con el logro de los objetivos y estrategias del negocio. Es decir es la posibilidad de la ocurrencia de un hecho o suceso no deseado o la no - ocurrencia de uno deseado.Riesgos de enfermedades o accidentes :
Caídas Golpes Hernias Aplastamiento Del oído De la piel Cortaduras De la vista Intoxicaciones De los nervios Riesgo De Trabajo En la integridad física: Regular En el uso y manejo del equipo: Regular En las instalaciones de la empresa. Regular En el servicio al cliente. Alta, por tratar directamente con ellos En el uso de los materiales: Regular
13
Control Interno
Control Interno Informático es una herramienta enfocada a la adecuada gestión de los Sistemas de la Información.Muchos de los problemas informáticos se originan dentro de la misma empresa.Por ello es cada vez más necesario un completo análisis del tráfico de:* Los correos electrónicos corporativos.* Las páginas web que se visitan desde los ordenadores de la empresa.
Empresas vigilan el acceso de sus empleados a Internet.¿Cuántas veces uno se queja en la oficina por lo lenta que está la conexión a Internet? Es bastante común que este problema tenga que ver con el uso indiscriminado que se hace de la web dentro de la empresa. El uso de Internet para fines personales en horario de oficina es una práctica muy difundida en todo el mundo.Las empresas tratan de controlarlo cada vez más, porque repercute en sus costos y en el menor tiempo que los empleados trabajan. Y esto sin tener en cuenta los riesgos informáticos que implica la navegación por sitios poco seguros.De acuerdo con un estudio realizado por la American Management Association, el 78 por ciento de las empresas estadounidenses vigila las comunicaciones de sus empleados.En Europa este porcentaje llega al 70 por ciento. Mientras en América Latina y en la Argentina todavía no existe una cultura empresaria proclive al control, pero de a poco se está imponiendo el modelo estadounidense.“Por lo general, en la Argentina las empresas empiezan a tener en cuenta desde el año pasado que Internet no puede ser de libre uso dentro de la empresa”, sostiene Gustavo Aldegani, consultor especializado en seguridad informática.Los motivos son diversos, y tienen que ver con el costo que representa para una empresa el servicio de banda ancha, la baja en la productividad laboral de aquellos que navegan varias horas por día, el riesgo informático que representa recibir cadenas de e-mails con virus o navegar por sitios poco seguros, el peligro de que un empleado envíe información confidencial a la competencia, e incluso con el impacto en la imagen de la compañía si algún empleado envía mensajes racistas o agresivos desde su e-mail corporativo.“En la primera línea lo que se mira es el costo”, indica Gabriel Zurdo, Director de Práctica de Seguridad Informática de Ernst & Young. “Las empresas ven que están perdiendo capacidad de trabajo y de producción porque la gente abusa de Internet, y ése es un costo”.
14
Aldegani, por su parte, brinda un ejemplo: “si una compañía tiene que recibir información de archivos financieros que proveen los clientes para procesar, y el ancho de banda está estancado porque hay gente navegando, va a tener un impacto operativo y económico”.
Marco jurídico de la auditoría informática - Presentation Transcript
Universidad Técnica Particular de Loja Escuela de Ciencias de la Computación Auditoría Informática Galo LalanguiINTRODUCCIÓNLa protección de los datos de carácter personalLa protección jurídica de los programas de computadorLas bases de datos y la multimediaLos delitos informáticosLos contratos informáticosEl intercambio electrónico de datosLa transferencia electrónica de fondosLa contratación electrónicaEl documento electrónicoLa protección de los datos de carácter personalPrincipio de finalidadPrincipio de pertenenciaPrincipio de utilización abusivaPrincipio de exactitudPrincipio de derecho al olvidoPrincipio del consentimientoPrincipio de los datos especialmente protegidosPrincipio de seguridadPrincipio de acceso individualPrincipio de publicidadLas bases de datos y la multimediaBase de datos: se compone de un contenido y una estructura para organizar gran variedad de información de acuerdo a sus requerimientos.Media: término informático para describir elementos como texto, gráficos, sonidos, imágenes fijas e imágenes en movimiento (todas estas en formato digital)Participantes: creador o promotor, distribuidor y usuarioMultimedia: la combinación de todo tipo de señales de voz, datos, imágenes, escrituraObras multimedia: Videojuegos, Educación y entretenimiento, Edutainment, Revistas, Publicidad, Simuladores.La protección jurídica de los programas de computadorDefinición de programa de computador (ProgComp):“Toda secuencia de instrucciones o indicaciones destinadas a ser utilizadas directa o indirectamente en un sistema informático, para realizar una función o una tarea o para obtener un resultado determinado, cualquiera que fuera su forma de expresión o fijación”
15
Un ProgComp es un bien inmaterial producto de la mente necesita ser plasmado en un soporte para hacerse perceptiblePuede ser disfrutado simultáneamente por muchas personasSe rige a normas de propiedad intelectualPodríamos tomar como ejemplo los tipos de derechos que nos ofrecen las licencias Creative Comámonos.Los delitos informáticosDelito: es una acción antijurídica realizada por un ser humano, tipificado, culpable y sancionado con una pena.Figuras delictivas:Delitos contra la intimidad: descubrir secretos o vulnerar la intimidad de otro se apodera de mensajes de correo electrónico o cualesquier otros documentosDelitos contra el patrimonio: se refiere al trato que se debe dar a la utilización de llaves falsas las mismas que generan una nueva variedad de delitos (Estafas informáticas, defraudaciones, daños informáticos, propiedad intelectual)Falsedades documentales: hace referencia a la falsificación de documentos públicos oficiales y mercantiles y de los despachos trasmitidos por los servicios de telecomunicación.Los contratos informáticosDefinición de contrato informático:“Es aquel cuyo objeto es un bien o un servicio informático – o ambos – o que una de las prestaciones de las partes tenga por objeto ese bien o servicio informático”Los contratos informáticos se los a dividido de la siguiente manera:Contratación del hardware: hace referencia a las partes físicas (compraventa, arrendamiento, arrendamiento financiero, mantenimiento)Contratación del software: son bienes inmateriales (desarrollo de software, licencia de uso, adaptación de un software producto, mantenimiento, garantía de acceso al código fuente)Contratación de datos: Hace referencia a comercialización de bases de datos (distribución de la información, suministro de información)Contratación de servicios: (consultoría informática, auditoría informática, etc)Contratos complejos: Contemplan al sistema informático como un todoEl intercambio electrónico de datosEDI (Electronic Data Interchange): El intercambio de datos en un formato normalizado entre los sistemas informáticos de quienes participan en transacciones comerciales o administrativas.Requisitos que debe cumplir este tipo de sistemas:El intercambio se ha realizado por medios electrónicos.El formato tiene que estar formalizadoLa conexión ha de ser de computador a computadorRazones para la implantación del EDIPrecisiónVelocidadAhorroBeneficios tangiblesSatisfacción del clienteTransferencia electrónica de fondos
16
TEF (Transferencia Electrónica de Fondos): se puede definir como la transferencia de fondos que de forma automática es ejecutada inmediata y simultáneamente a la orden dada por el titular de la cuenta bancaria por medio de un sistema electrónico.Existen cuatro tipos principales de TEF que han ido apareciendo en el tiempo:Transferencia entre entidades financieras.Transferencias entre otras organizaciones y las entidades financieras.El usuario colabora y, mediante las tarjetas de plástico y los cajeros automáticos, obtiene una serie de servicios bancariosSe potencia el sistema con terminales en los puntos de venta y el banco en casa.La contratación electrónicaSe refiere a todo intercambio electrónico de datos o documentos cuyo objeto sea la contratación.La formación del contrato de las nuevas tecnologías influye desde tres ópticas diferentes:
Desde el grado de inmediatez Desde la calidad del diálogo Desde la seguridad
Auditoría interna. La lleva a cabo un departamento dentro de la organización y existe una relación laboral.
Auditoría externa. No existe relación laboral y la hacen personas externas al negocio para que los resultados que nos arroje sean imparciales como pueden ser las firmas de contadores o administradores independientes.
Aspectos principales de la seguridadDiferentes tipos de seguridad:La seguridad de la información se puede dividir en los siguientes tipos:FísicaLógicaOrganizativo–AdministrativaJurídicaLa seguridad física, siguiendo a Ribagorda Garnacho comprende las medidas externasa los Centros de Procesos de Datos, de proteger a estos y a su entorno de amenazas físicas tanto procedentes de la naturaleza de los propios medios, como del hombre.Entre las amenazas previsibles podemos citar: inundaciones, fuego, cortes de fluido eléctrico, interferencias, atentados, robos, hurtos, etc.La seguridad lógica pretende proteger el patrimonio informacional que se compone tanto de las aplicaciones informáticas como del contenido de las bases de datos y de los ficheros. La protección de este tipo se puede realizar a través de contraseñas, tanto lógicas como biométricas, conocimientos y hábitos del usuario, firmas digitales y principalmente la utilización de métodos criptográficos.La seguridad organizativo–administrativa pretende cubrir el hueco dejado por las dos anteriores y viene, cierto modo a complementarlas. Difícilmente se
17
puede lograr de forma eficaz la seguridad de la información si no existen claramente definidas:Políticas de seguridad.Políticas de personal.Políticas de contratación Análisis de riesgos.Planes de ContingenciaLa seguridad jurídica pretende, a través de la aprobación de normas legales, fijar el marco jurídico necesario para proteger los bienes informáticos.
CONTROL INTERNO INFORMÁTICO- AUDITORÍA INFORMÁTICA
El Control Interno Informático controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o la Dirección de Informática, así como los requerimientos legales.La misión del Control Interno Informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.El Control Interno Informático suele ser un órgano staff de la dirección del Departamento de Informática, y como principales objetivos se pueden indicar los siguientes:- Controlar que todas las actividades se realizan cumpliendo los
procedimientos y normas finados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
- Asesorar sobre el conocimiento de las normas.- Colaborar y apoyar el trabajo de Auditoría Informática, así como de las
auditorías externas.
Auditoria Externa y sus objetivos Aplicando el concepto general, se puede decir que la auditoría Externa es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un Contador Público sin vínculos laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir una opinión independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento.El dictamen u opinión independiente tiene trascendencia a los terceros, pues da plena validez a la información generada por el sistema ya que se produce bajo la figura de la Fe Pública, que obliga a los mismos a tener plena credibilidad en la información examinada.La Auditoría Externa examina y evalúa cualquiera de los sistemas de información de una organización y emite una opinión independiente sobre los mismos, pero las empresas generalmente requieren de la evaluación de su sistema de información financiero en forma independiente para otorgarle validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el término Auditoría Externa a Auditoría de Estados Financieros, lo cual como se observa no es totalmente equivalente, pues puede existir
18
Auditoría Externa del Sistema de Información Tributario, Auditoría Externa del Sistema de Información Administrativo, Auditoría Externa del Sistema de Información Automático etc.La Auditoría Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella información producida por los sistemas de la organización.Una Auditoría Externa se lleva a cabo cuando se tiene la intención de publicar el producto del sistema de información examinado con el fin de acompañar al mismo una opinión independiente que le dé autenticidad y permita a los usuarios de dicha información tomar decisiones confiando en las declaraciones del Auditor.Una auditoría debe hacerla una persona o firma independiente de capacidad profesional reconocidas. Esta persona o firma debe ser capaz de ofrecer una opinión imparcial y profesionalmente experta a cerca de los resultados de auditoría, basándose en el hecho de que su opinión ha de acompañar el informe presentado al término del examen y concediendo que pueda expresarse una opinión basada en la veracidad de los documentos y de los estados financieros y en que no se imponga restricciones al auditor en su trabajo de investigación.Bajo cualquier circunstancia, un Contador profesional acertado se distingue por una combinación de un conocimiento completo de los principios y procedimientos contables, juicio certero, estudios profesionales adecuados y una receptividad mental imparcial y razonable.1.2.5 Auditoría InternaLa auditoría Interna es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un profesional con vínculos laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulación interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Publica.Las auditorías internas son hechas por personal de la empresa. Un auditor interno tiene a su cargo la evaluación permanente del control de las transacciones y operaciones y se preocupa en sugerir el mejoramiento de los métodos y procedimientos de control interno que redunden en una operación más eficiente y eficaz. Cuando la auditoría está dirigida por Contadores Públicos profesionales independientes, la opinión de un experto desinteresado e imparcial constituye una ventaja definida para la empresa y una garantía de protección para los intereses de los accionistas, los acreedores y el Público.La imparcialidad e independencia absolutas no son posibles en el caso del auditor interno, puesto que no puede divorciarse completamente de la influencia de la alta administración, y aunque mantenga una actitud independiente como debe ser, esta puede ser cuestionada ante los ojos de los terceros. Por esto se puede afirmar que el Auditor no solamente debe ser independiente, sino parecerlo para así obtener la confianza del Público.La auditoría interna es un servicio que reporta al más alto nivel de la dirección de la organización y tiene características de función asesora de control, por tanto no puede ni debe tener autoridad de línea sobre ningún funcionario de la empresa, a excepción de los que forman parte de la planta de la oficina de auditoría interna, ni debe en modo alguno involucrarse o comprometerse con
19
las operaciones de los sistemas de la empresa, pues su función es evaluar y opinar sobre los mismos, para que la alta dirección toma las medidas necesarias para su mejor funcionamiento.La auditoría interna solo interviene en las operaciones y decisiones propias de su oficina, pero nunca en las operaciones y decisiones de la organización a la cual presta sus servicios, pues como se dijo es una función asesora.La auditoría interna abarca los tipos de:
1- Auditoria Administrativa2- Auditoría Operacional.3- Auditoria Financiera
1. Auditoría administrativa: es la que se encarga de verificar, evaluar y promover el cumplimiento y apego al correcto funcionamiento de las fases o elementos del proceso administrativo y lo que incide en ellos es su objetivo también el evaluar la calidad de la administración en su conjunto.2. Auditoría operacional: es la que se encarga de promover la eficiencia en las operaciones, además de evaluar la calidad de las operaciones.3. Auditoría financiera: es el examen total o parcial de la información financiera y la correspondiente operacional y administrativa, así como los medios utilizados para identificar, medir, clasificar y reportar esa información.
Auditoría interna. La lleva a cabo un departamento dentro de la organización y existe una relación laboral.Auditoría externa. No existe relación laboral y la hacen personas externas al negocio para que los resultados que nos arroje sean imparciales como pueden ser las firmas de contadores o administradores independientes.
ASPECTOS PRINCIPALES DE LA SEGURIDAD
En el estado actual de la tecnología el papel del auditor es triple: en primer lugar debe poner de manifiesto a la dirección de la empresa los importantes cambios que se están produciendo, y los riesgos asociados que se han de tener en cuenta (aconsejar). En segundo lugar, con anterioridad a la puesta en funcionamiento de estas nuevas tecnologías, el auditor debe asegurarse de que los controles que se hayan implementado, o se vayan a implementar, son adecuados. En tercer lugar el auditor debe evaluar la efectividad de los nuevos controles como consecuencia de la utilización de estas tecnologías (comprobar).
Aspectos de la auditoria informáticaEn este punto procedo a enumerar una serie de aspectos que pueden ser objeto de examen por parte de una Auditoria Informática. Con ellos se pretende obtener una visión global de la actividad auditora, fijando el ámbito de actuación.Los aspectos funcionales, es decir, la adecuación de los sistemas en función de las necesidades reales y la evaluación del rendimiento y fiabilidad de los mismos.
20
Pueden ser también objeto de estudio todos los aspectos económicos relacionados con la informática, donde el auditor informático podría criticar los presupuestos del servicio informático o los costes de desarrollo de un plan de sistemas.En lo referente a los aspectos técnicos podríamos enumerar el propio ordenador, los periféricos, los procedimientos de captura de datos, las comunicaciones, la explotación, etc.De manera análoga los aspectos de dirección pueden encuadrarse dentro de este epígrafe. La Dirección de las empresas suelen recibir con interés una opinión externa que examine los planes informáticos, en cuanto a su adecuación y seguimiento, e incida sobre la segregación de funciones del departamento informático.Y por último, el aspecto de seguridad tanto en su vertiente física como lógica. En ambas facetas la auditoría informática tiene un campo de revisión sobre el
que manifestará sus opiniones y emitirá recomendaciones. Este es probablemente el aspecto que más ha sensibilizado a la Dirección de los centros de proceso de datos puesto que se trata de velar por la confidencialidad de la información, la seguridad de acceso, la protección de las instalaciones y, en suma, por todo aquello que garantice la seguridad la seguridad de la informática y de todo lo que le rodea.
Auditoría informática – Informática jurídica
La incorporación de las Tecnologías de la Información y las Comunicaciones a nuestra Sociedad la ha transformado y por supuesto esta transformación también afecta de gran manera al entorno del Derecho.Las nuevas tecnologías han incidido en el Derecho desde dos perspectivas:
1- Contemplar estas nuevas tecnologías como una herramienta del operador jurídico de forma parecida a como ayudan a otros profesionales, lo que da lugar a la Información Jurídica.
2- Estudiar y analizar estas nuevas tecnologías como un objeto más del Derecho, lo que hace emerger una rama nueva del mismo: el Derecho Informático o Derecho de las nuevas Tecnologías de la Información.
La Informática Jurídica la podemos contemplar desde tres categorías diferentes:- La Informática Jurídica de Gestión que se presenta como un eficaz
instrumento en la tramitación de los procedimientos judiciales.- La Informática Jurídica Documental que es la utilización de la informática
para facilitar el almacenamiento de enormes volúmenes de datos.- La Informática Jurídica Decisional que es la utilización de la informática
como un instrumento para ayudar a la toma de decisiones, basados en el empleo de sistemas expertos.
El Derecho Informático, a diferencia de la Informática Jurídica, es aquella parte del Derecho que regula el mundo informático evitando que se convierta en una jungla donde siempre sale ganando el más fuerte. Fruto del mismo son: la protección de datos personales, la protección jurídica de
21
los programas de ordenador, los delitos informáticos, el documento electrónico, el comercio electrónico, y la contratación electrónica e informática entre otras materias.El auditor informático, si quiere realizar bien su labor y a la vez evitar situaciones desagradables y un tanto peligrosas, está obligado a conocer esta rama del Derecho, pues es la que regula el objeto de su trabajo, Desconocer las normas que regulan la protección de los datos personales, la piratería informática, las obligaciones contractuales, los delitos informáticos, las responsabilidades civiles y penales en que puede incurrir puede tener consecuencias graves si, como es fácil que ocurra, dichas circunstancias se presentan en el entorno en que trabaja.
Si examinamos dichas normas claramente veremos que todas ellas versan sobre un determinado bien jurídico: la información.
Permite a la administración, los directivos y/o la alta gerencia proporcionar a sus actividades, un grado razonable de confianza, que garantice la consecución de objetivos, tomando en cuenta: la eficacia y eficiencia de las operaciones, fiabilidad de la información financiera y cumplimiento de las leyes y normas aplicables, con la finalidad de dotar a la organización con medidas preventivas, detección y corrección de errores, fallos y fraudes o sabotajes.
CLASIFICACION DE LA INFORMACIÓN
Integridad de información: la información debe ser completamente transparente (confiable), debe estar libre de cualquier desviación o error significativo que la distorsione. Ya que esto, si llega a suceder, tendría elementos fuera de realidad y por consecuencia se tomarían malas decisiones que pueden llegar a tener un impacto negativo económico en la organización.El informe final es el reflejo del trabajo realizado por el auditor de operaciones, el cual es el medio más adecuado para enterar a los interesados la situación actual que atraviesa la operación.El informe refleja el trabajo realizado por el auditor, en el cual se deposita la entera confianza de la evaluación de operaciones y se convierte en la herramienta estratégica de toma de decisiones, así como el detonador para la implementación por parte de la administración, de planes de acción que aseguren la continuidad de operación con los resultados esperados, además que el informe es el único documento que queda al alcance de la misma.
MEDIDAS TECNICO-ADMINISTRITAVO
Métodos de control administrativo.Estos métodos afectan el control directo de la administración, sobre la autoridad delegada a otros, así como la capacidad para supervisar efectivamente las actividades de la entidad en general. Los métodos de control administrativo incluyen entre otros:Establecimiento de sistemas de planeación y reporte de información, que establezcan los objetivos de la administración y los resultados del desempeño real. Tales sistemas podrán incluir planeación estratégica, presupuestos,
22
pronósticos planeación de utilidades y contabilidad por áreas de responsabilidad.Establecimiento de métodos que identifiquen el desempeño real y las excepciones al desempeño planeado, así como la comunicación a los niveles administrativos apropiados.Utilización de métodos adecuados para investigar desviaciones a las expectativas y tomar acciones correctivas oportunas y adecuadas.Establecimiento y vigilancia de políticas para desarrollar y modificar los sistemas contables y los procedimientos de control, incluyendo el desarrollo, modificación y uso de programas de cómputo y archivos de datos relacionados.Las aseveraciones hechas en los estados financieros, que están íntimamente relacionadas con los objetivos de auditoría, son declaraciones de la administración que se incluyen como parte integrante de los mismos y que por naturaleza pueden ser explicitas o implícitas y se refieren a lo siguiente:Existencia u ocurrencia: significa que los activos y pasivos de la entidad existen a una fecha específica y que las transacciones registradas han ocurrido durante un cierto periodo. Por ejemplo: la administración afirma que los inventarios de producto terminado que figuran en el balance general están disponibles para su venta. En forma similar la administración afirma que las ventas en el estado de resultados representan el intercambio de bienes o servicios efectuados con clientes.Integridad: significa que todas las transacciones y saldos que deben presentarse en los estados financieros se han incluido. Por ejemplo: la administración afirma que las cuentas por pagar mostradas en el balance general, incluyen todas las obligaciones de la entidad.Derechos y obligaciones: significa que los activos representan los derechos de la entidad, y los pasivos las obligaciones de la misma, a una fecha determinada. Por ejemplo: la administración afirma que los importes capitalizados por compra de bienes en el balance general representan los derechos de la entidad sobre los mismos y que el correspondiente pasivo representa una obligación de pago.Valuación: significa que los del activo, pasivo, capital, ingresos y gastos, han sido incluidos en los estados financieros por los importes apropiados. Por ejemplo: la administración afirma que los inventarios incluidos en el balance general están expresados a su valor neto de realización.Presentación y revelación: significa que los renglones particulares de los estados financieros están adecuadamente clasificados, descritos y revelados. Ejemplo: la administración afirma que los pasivos clasificados a largo plazo en el balance general no vencerán dentro de 12 meses siguientes o dentro del ciclo normal de operaciones de la empresa.
23
24
