EL MARCO JURÍDICO DE LA AUDITORÍA INFORMÁTICA Piattini et. Al., AUDITORÍA INFORMÁTICA: UN...

EL MARCO JURÍDICO DE LA AUDITORÍA

INFORMÁTICA

Piattini et. Al., AUDITORÍA INFORMÁTICA: UN ENFOQUE PRÁCTICO,

El Marco Jurídico de la Auditoría Informática

2

Tecnologías de la Información y las ComunicacionesTecnologías de la Información y las Comunicaciones

Gran influencia de las Tecnologías de la Información y

Comunicaciones en la sociedad, incluyendo el Derecho:

– Herramienta para el operador jurídico, al igual que para otras

profesiones: INFORMÁTICA JURÍDICA

– Nueva rama del Derecho: DERECHO INFORMÁTICO


3

Informática JurídicaInformática Jurídica

Informática Jurídica de Gestión– Instrumento eficaz para la tramitación de procedimientos

judiciales, administración de los despachos de notarios, abogados, procuradores, etc.

Informática Jurídica Documental– Utilización de la Informática para facilitar el almacenamiento de

grandes volúmenes de datos, relativos a Legislación, Jurisprudencia y Doctrina, para permitir el acceso a los mismos de forma rápida, fácil y segura

Informática Jurídica para la Toma de Decisiones (jueces ante las sentencias)– Basada en la utilización de sistemas expertos


4

Derecho InformáticoDerecho Informático

Parte del Derecho que regula el mundo informático, evitando que se convierta en una pelea continua donde gana el más fuerte– Protección de Datos Personales

– Protección Jurídica de los Programas de Ordenador (piratería)

– Delitos Informáticos

– Obligaciones Contractuales

– Documento y Comercio Electrónico

– Responsabilidades civiles y personales

Rama que regula la labor del Auditor Informático, imprescindible su conocimiento para que el AI realice su labor de forma correcta y evitando situaciones desagradables


5

Agencia de Protección de DatosAgencia de Protección de Datos

Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada

Su finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación en los derechos de– Información en la recogida de datos, – Acceso,– Oposición, – Rectificación y– Cancelación de datos

Registro General de Protección de Datos Guía Práctica para Ciudadanos Legislación

www.agenciaprotecciondatos.org


6

Registro General de Protección de DatosRegistro General de Protección de Datos

Vela por la publicidad de la existencia de los ficheros de datos de carácter personal, con miras a hacer posible el ejercicio de los derechos de información, oposición, acceso, rectificación y cancelación de datos

¿Quién notifica la creación, modificación o supresión de ficheros al RGPD? (Inscripción en RGPD) – Personas físicas o jurídicas u órgano administrativo que procedan a la

creación de ficheros que contengan datos de carácter personal

¿Qué ocurre si no se notifica la existencia de 1 fichero?

Régimen sancionador (falta leve o grave)


7

Recomendaciones a Usuarios de InternetRecomendaciones a Usuarios de Internet

Hoy por hoy, en el ámbito de Internet, es imposible hablar de una regulación legal que proteja la privacidad de los usuarios a escala mundial

Recomendaciones de uso práctico e inmediato– Enumeración de principios de protección de datos

– Descripción de principales servicios de Internet

– Identificación de posibles riesgos que en su uso se pueden presentar para la privacidad

– Recomendaciones que se proponen a los usuarios


8

Recomendaciones a Usuarios de Internet:

Principios de Protección de Datos


Principios de Protección de Datos

Derecho de los ciudadanos a conocer: – Qué datos personales están contenidos en los ficheros informáticos

– Responsables de éstos

– Corregir o eliminar los datos inexactos o falsos

Los datos personales sólo podrán tratarse de forma automatizada con el consentimiento del interesado y sólo para el fin con el que se recogieron

El principio del consentimiento rige también para la cesión de datos a terceros


9


Servicios de Internet - 1WWW


Servicios de Internet - 1WWW – Servidores Web con páginas, Usuario visualiza páginas con

Browser, Cada página tiene dirección única, enlaces con otras página

– Protección de datos personales • Elaboración de perfiles • Petición de todo tipo de datos personales para hacer uso de cualquier

servicio o compra de producto• Utilización de datos para publicidad personalizada, rastreo de

intereses y aficiones, comercialización a terceras personas • Seguimiento de visitas mediante cookies• Recomendación: utilizar últimas versiones de navegadores para tener

mejores medidas de seguridad

– Acceso global a los datos personales• Desconocimiento de la ruta que siguen los datos para llegar al destino • Recomendación: utilizar web seguros, criptografía, firma digital para

proteger la confidencialidad e integridad de sus datos


10

Recomendaciones a Usuarios de Internet:Servicios de Internet – 2

E-Mail, Mailing list, Grupos de noticias

Recomendaciones a Usuarios de Internet:Servicios de Internet – 2

E-Mail, Mailing list, Grupos de noticias – Protección de datos personales

• Elaboración de perfiles – E-mail contiene información de persona (apellido), empresa, país – E-mail utilizado para confeccionar perfiles personales (temas de

interés, inclinaciones políticas, ...) a partir de pertenencia a listas de distribución o participación en foros

• Privacidad en las comunicaciones – Suplantación de personalidad, violación de la

comunicación

• Recomendación: – Utilización de cifrado físico o lógico para evitar

problemas de confidencialidad o suplantación de la personalidad

– Anonimato en participación en foros de discusión– Utilización de datos recogidos sin nuestro

conocimiento


11


Servicios de Internet – 3

Comercio electrónico - 1


Servicios de Internet – 3

Comercio electrónico - 1 – Transacciones comerciales en la red en las que intervengan personas físicas

– Rastreo del dinero electrónico• Datos personales y nº tarjeta de crédito• Recomendación: utilice sistemas de dinero electrónico que

preserven el anonimato de sus compras en Internet – Inseguridad en las transacciones electrónicas

• Datos de compra capturados por alguien distinto del proveedor, y que posteriormente suplante su identidad

• Proveedor debe asegurarse que quien efectúa el pedido es verdaderamente quien dice ser

– Cifrado para confidencialidad de transacciones– Firma digital para integridad de las transacciones– Certificación para garantizar la identidad de las partes que

intervienen• Recomendación: realizar transacciones con servidor web seguro


12


Servicios de Internet - 4


Servicios de Internet - 4Comercio electrónico - 2 – Envío de publicidad no solicitada a través del correo

electrónico • Obtención de e-mail a través de listas de distribución, grupos

de news, intercambio por parte de los proveedores de acceso, por los navegadores

• Recomendación – E-mail puede ser recogido por terceros en listas – Configure su navegador para que no deje su dirección en

los servidores web a los que accede

– Elaboración de perfiles • El comportamiento del consumidor observado por el

proveedor (registro de páginas de acceso, frecuencia, ...) • Recomendación: utilice servidores que preserven el anonimato


13


Servicios de Internet - 5


Servicios de Internet - 5Chat – Identificación real del usuario a través del seudónimo

– Recomendación • No rellenar campos de datos reales del usuario Utilice

comandos de opacidad

• Disociación de sus datos de carácter personal de los de la cuenta de acceso a Internet


14

Resumen Recomendaciones a Usuarios de

Internet - 1


Internet - 1Información en la recogida de datos

– Ser consciente de a quién se facilita y con qué finalidad los datos personales

– Averigüe política de sus proveedores y administradores de listas en cuanto a venta, intercambio de datos que les suministra. Solicite que sus dato personales no vayan unidos a su identificación de acceso a Internet

Finalidad para la que se recogen los datos – Desconfíe si los datos que le solicitan son excesivos para la

finalidad con la que se recogen

– Su e-mail en una lista de distribución puede ser recogido por terceros para utilizarse con una finalidad diferente (publicidad)

– Sea consciente de Cookies, utilice mecanismos para preservar el anonimato


15


Internet - 1


Internet - 1Seguridad en el intercambio de datos

– Utilice últimas versiones de navegadores – No realice transacciones con sistemas no seguros – Utilice sistemas de dinero electrónico que preservan el anonimato

de sus compras en Internet – Protección de sus datos de accesos no deseados: cifrado – No confíe ciegamente en que la persona que le remite un mensaje

es quién dice ser y en que no se ha modificado el contenido, salvo mecanismos de autenticación y certificación

Para terminar – Si le piden datos personales que no esté obligado legalmente a

suministrar, sopese los beneficios que va a recibir de la organización que los recoge frente a posibles riesgos

– Ante cualquier duda, contacte con la Agencia de Protección de Datos


16

Reglamento de Medidas de Seguridad de los Ficheros Automatizados con Datos Personales -

2

Reglamento de Medidas de Seguridad de los Ficheros Automatizados con Datos Personales -

2Niveles de seguridad

– Básico, medio y alto: función de la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información

Aplicación de los niveles de seguridad – Ficheros con datos de carácter personal: nivel básico

– Ficheros con datos relativos a infracciones administrativas o penales, hacienda pública: nivel medio

– Ficheros con datos de ideología, religión, salud: nivel alto

Régimen de trabajo fuera de los locales de la ubicación del fichero – Autorización expresa por el responsable el fichero


17

Protección Jurídica de los Programas de Ordenador - 1Protección Jurídica de los Programas de Ordenador - 1

Programa de Ordenador, según Ley de Propiedad Intelectual– Toda secuencia de instrucciones o indicaciones destinadas a ser

utilizadas directa o indirectamente en un sistema informático, para realizar una función o una tarea o para obtener un resultado determinado, cualquiera que fuere su forma de expresión o fijación

– También comprenderá su documentación preparatoria, documentación técnica y manuales de uso

Bien Inmaterial– Fruto o creación de la mente

– Para que se haga perceptible para el mundo exterior es necesario plasmarlo en un soporte

– Puede ser disfrutado simultáneamente por una pluralidad de personas


18

Leyes chilenas vigentesLeyes chilenas vigentes

Ley 17.336 sobre propiedad intelectual Ley 18.168 general de telecomunicaciones Ley 19.223 sobre delitos informáticos Ley 19.628 sobre protección de la vida privada (datos

personales) Ley firma electrónica


19

Delitos InformáticosDelitos Informáticos

Fraude– Engaño, acción contraria a la verdad o a la rectitud

Delito– Acción antijurídica realizada por un ser humano, tipificado,

culpable y sancionado con una pena

Delito Informático– Toda acción (acción u omisión) culpable realizada por un ser

humano, que cause perjuicio a personas sin que necesariamente se beneficie el autor o que, por el contrario, produzca un beneficio ilícito a su autor aunque no perjudique de forma directa o indirecta a la víctima, tipificado por la ley, que se realiza en el entorno informático y está sancionado con una pena

– Delitos contra la intimidad– Delitos contra el patrimonio– Falsedades documentales


20

Delitos Informáticos contra la Intimidad - 1Delitos Informáticos contra la Intimidad - 1

Descubrimiento y revelación de secretos– Figura de quien para descubrir los secretos o vulnerar la intimidad

de otro se apodera de mensajes de correo electrónico o cualesquiera otros documentos

– Interceptación de las comunicaciones, la utilización de artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen de cualquier otra señal de comunicación (Pinchado de Redes Informáticas)

Datos de carácter personal– Las mismas penas se impondrán a quién, sin estar autorizado, se

apodere, utilice o modifique, en perjuicio de terceros, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien sin estar autorizado acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero


21

Delitos Informáticos contra la Intimidad - 2Delitos Informáticos contra la Intimidad - 2

Difusión, revelación o cesión de datos– Asimismo, se sanciona a quién conociendo su origen ilícito, y sin

haber tomado parte en el descubrimiento, los difunda, revele o ceda

– Circunstancias agravantes

• Carácter de los datos: ideología, religión, creencias, salud, origen racial y vida sexual

• Circunstancias de la víctima: menor de edad o incapaz


22

Delitos Informáticos contra el Patrimonio - 1Delitos Informáticos contra el Patrimonio - 1

Llaves falsas– Tarjetas, magnéticas o perforadas– Mandos o instrumentos de apertura a distancia

Estafas Informáticas Perjuicio patrimonial realizado con ánimo de lucro mediante engaño (aprovecharse del error provocado o mantenido por el agente en la persona engañada)

Daños Informáticos Se sanciona al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos

• Virus informáticos• Bombas lógicas• Hackers


23

Delitos Informáticos contra el Patrimonio - 2Delitos Informáticos contra el Patrimonio - 2

Propiedad Intelectual (Piratería informática)– Será castigado con la pena de prisión de 6 meses a 2 años o de

multa de 6 a 24 meses quien, con ánimo de lucro y en perjuicio de tercero reproduzca, plagie, distribuya o comunique públicamente, en todo o en parte, una obra literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios

– Se sanciona la fabricación o puesta en circulación y la simple tenencia de un dispositivo para saltarse las llaves lógicas o “mochilas”


24

Contratos InformáticosContratos Informáticos

Aquel cuyo objeto es un bien o un servicio informático (o ambos) o que una de las prestaciones de las partes tenga por objeto ese bien o servicio informático

Contratos:– Hardware

• Objeto: parte física del ordenador y sus equipos auxiliares

• Los más comunes son: compraventa, arrendamiento, leasing, mantenimiento

– Software

– Datos

– Servicios

– Completos


25

Contratos Informáticos de Software - 1Contratos Informáticos de Software - 1

Desarrollo de Software– Una persona física, un colectivo o una empresa crean un software

específico, a medida, para otro

– Tipos de contrato: arrendamiento de servicios o de obra, mercantil o laboral

Licencia de uso– Es el contrato en virtud del cual el titular de los derechos de

explotación de un programa de ordenador autoriza a otro a utilizar el programa, conservando el cedente la propiedad del mismo. Esta autorización, salvo pacto en contrario, se entiende de carácter no exclusivo e intransferible

Adquisición de un producto software– Se trata de la contratación de una licencia de uso de un producto

estándar que habrá que adaptar a las necesidades del usuario


26

Contratos Informáticos de Software - 2Contratos Informáticos de Software - 2

Mantenimiento– Tiene por objeto corregir cualquier error detectado en los

programas fuera del período de garantía.

– Tipos de mantenimiento:

• Correctivo

• Adaptivo

• Perfectivo

• Preventivo

Garantía de acceso al código fuente– Tiene por objeto garantizar al usuario el acceso a un programa

fuente en el caso de que desaparezca la empresa titular de los derechos de propiedad intelectual. Consiste en el depósito del programa fuente en un fedatario público, que lo custodia, por si en el futuro es preciso acceder al mismo


27

Contratación de Datos - 1Contratación de Datos - 1

Distribución de la información– Comercialización de la base de datos, durante un cierto período de

tiempo, a cambio de un precio, lo que origina la obligación por parte del titular de la BD de aportar los datos que deben hacerse accesibles a los futuros usuarios, en una forma adecuada para su tratamiento por el equipo informático del distribuidor, y ceder a este último, en exclusiva o compartidos con otros distribuidores, los derechos de explotación que previamente haya adquirido por cesión o transmisión de los autores de las obras

Suministro de información– El usuario puede acceder, siempre que lo precise, a las BD del

distribuidor

Compra– El titular de una BD vende a otro una copia de ésta con la

posibilidad de que el adquirente, a su vez, pueda usarla y mezclarla con otras propias para después comercial con ellas


28

Contratación de Datos - 2Contratación de Datos - 2

Cesión– Igual que la compra, pero sólo se permite el uso por el cesionario

de la base sin que se le permita la transmisión posterior

Compra de etiquetas– No se permite al comprador la reproducción de las etiquetas y sí su

empleo para envíos por correo


29

Contratación de ServiciosContratación de Servicios

Consultoría Informática

Auditoría Informática

Formación

Seguridad Informática

Contratación de Personal Informático

Instalación

Comunicaciones

Seguros

Responsabilidad Civil


30

Contratos ComplejosContratos ComplejosSon los que incorporar como un todo hardware, software y

algunos servicios determinadosOutsourcing

– Subcontratación de todo o de parte del trabajo informático mediante un contrato con una empresa externa que se integra en la estrategia de la empresa y busca diseñar una solución a los problemas existentes

De respaldo (back-up)– Asegurar el mantenimiento de la actividad empresarial en el caso de

que circunstancias previstas e inevitables impidan que siga funcionando el sistema informático

De llave en mano– El proveedor se compromete a entregar el sistema creado donde el

cliente le indique y asume la responsabilidad total del diseño, implementación, pruebas, integración y adaptación al entorno informático del cliente

De suministro de energía informática– El suministrador poseedor de una UC que permanece en sus locales,

pone a disposición del usuario la misma, lo que le permite el acceso a los “software”, a cambio de un precio


31

Intercambio Electrónico de DatosIntercambio Electrónico de Datos

Empresas mejoran su productividad– Reducción de costes– Agilización administrativa– Eliminación de errores– Eliminación de intermediarios entre el origen y el destino de los

datos

EDI (Electronic Data Interchange): sistema informático que permite las transacciones comerciales y administrativas directas (en un formato normalizado) a través del ordenador– Ahorro de tiempo y de papel– Razones para su implantación:

• Precisión, Velocidad, Ahorro, Beneficios tangibles, Satisfacción del cliente


32

Transferencia Electrónica de Fondos - 1Transferencia Electrónica de Fondos - 1

Todo tipo de envíos de fondos que se realicen por medios electrónicos

Tipos principales– Entre entidades financieras– Entre otras organizaciones y las entidades financieras– El usuario colabora y (mediante las tarjetas y los cajeros) obtiene

una serie de servicios bancarios– Terminales en los puntos de venta y el banco en casa

Tarjetas– De Crédito

• Proporcionan un crédito al titular de la misma– De Débito

• Permiten a sus usuarios realizar compras en los establecimientos comerciales y ofrecen una gama de operaciones bancarias


33

Transferencia Electrónica de Fondos - 2Transferencia Electrónica de Fondos - 2

Contratos– Los contratos celebrados entre los emisores o su representante y

los prestadores o los consumidores revestirán la forma escrita y deberán ser objeto de una petición previa. Definirán con precisión las condiciones generales y específicas del acuerdo

– Se redactarán en la lengua oficial del Estado miembro (CE) en que se haya celebrado

– Cualquier tarifación de baremo de cargas se fijará con transparencia teniendo en cuenta las cargas y riesgos reales y no supondrá ningún obstáculo a la libre competencia

– Todas las condiciones, siempre que sean conformes a la Ley, serán libremente negociables y se establecerán claramente en el contrato

– Las condiciones específicas de rescisión del contrato se precisarán y comunicarán a las partes de la celebración del contrato


34

Contratación Electrónica - 1Contratación Electrónica - 1

Todo intercambio electrónico de datos o documentos cuyo objeto sea la contratación

No se pactan las cláusulas del contrato en el mismo momento del intercambio electrónico (Intercambio Electrónico de Datos y Transferencia Electrónica de Fondos)

Otro tipo de contratación electrónico: contrato se establece en el momento de la transacción electrónica– Desde el grado de la inmediatez

• Contrato por correspondencia– Desde la calidad del diálogo

• Videoconferencia, Teléfono– Desde la seguridad

• Autentificación de la identidad del usuario y al rastro que deja la transacción y que puede utilizarse como prueba


35

Contratación Electrónica - 2Contratación Electrónica - 2

Problemas– Identidad de los contratantes

– Extensión o no de este tipo de contratación a todos los contratos

– ¿Cuándo y dónde se concluye el contrato?


36

El Documento ElectrónicoEl Documento ElectrónicoDRAE

– Escribir es representar las palabras o las ideas con letras u otros signos (p.e. código binario) trazados en papel u otra superficie (p.e. soporte informático)

Problema de la firma– Identificativa, para identificar quién es el autor del documento– Declarativa, declara que el autor de la firma asume el contenido del

documento– Probatoria, permite verificar si el autor de la firma es efectivamente

aquel que ha sido identificado como tal en el caso de la propia firma

Característica de la firma– Habitualidad y puesta de puño y letra por el firmante– Firma digital (secreta, fácil de producir y de reconocer y difícil de

falsificar) implica fedatario electrónico, que sea capaz de verificar la autenticidad de los documentos que circulan por las líneas de comunicación

EL MARCO JURÍDICO DE LA AUDITORÍA INFORMÁTICA Piattini et. Al., AUDITORÍA INFORMÁTICA: UN...

Documents

Transcript of EL MARCO JURÍDICO DE LA AUDITORÍA INFORMÁTICA Piattini et. Al., AUDITORÍA INFORMÁTICA: UN...