E-mail: cmconsultoressa@hotmail.com

www.facebook.com/cmyasociados wwww.cmconsultoressa.es.tl

MATERIAL DEL

“I ENCUENTRO VIRTUAL SOBRE

TECNOLOGÍAS DE LA INFORMACIÓN PARA

CONTADORES DE LAS AMÉRICAS”

Manejo de Resolución de Querellas en el Mundo Cibernético

Jean G. Vidal Font, LL.M Ferraiuoli LLC 221 Plaza Bldg. 5th Floor, Pónce de León Ave. San Juan, PR 00917

Corporación de Internet para la Asignación de Nombres y Números (ICANN)

• Organización sin fines de lucro.

• Asigna direcciones de protocolo IP.

• Administra DNS.

Política de Resolución de Disputas de Nombres de Dominio Uniformes (UDRP)

• Establecido por ICANN.

• Busca resolver disputas de nombres de dominios basados en marcas registradas de una manera rápida y barata.

• Se intenta solucionar la disputa mediante acuerdo, acción judicial o arbitraje, antes de que el nombre de dominio sea cancelado, removido o transferido.

• Todos los registradores están bajo esta política.

Elementos a establecer en la Demanda (UDRP)

• El nombre de dominio es igual o causa confusión por ser similar a una marca.

• El demandado no tiene derecho sobre o interés legítimo en el nombre de dominio.

• El demandado registró el nombre de dominio y lo está usando con mala fé.

Demanda - Elementos

• Puede ser pertinente a más de un nombre de dominio.

• Es presentada a un Proveedor aprobado por ICANN.

• Debe ser radicada de forma electrónica.

• Redactada en el mismo lenguaje que el contrato de registro.

Demanda Respuesta

Respuesta (UDRP)

• El Demandado tiene 20 días para presentarla al Proveedor.

• Debe responder específicamente a las imputaciones estipuladas en la demanda .

Respuesta Designación

Panel Administrativo (UDRP)

• Es designado por el Proveedor.

• Está compuesto por 1 o 3 personas expertas en el tema.

• Es independiente de todas las partes envueltas.

• Emite una decisión sobre la demanda.

• Le notifica a las partes.

Designación Decisión & Notificación

Decisiones (UDRP)

• El panel administrativo puede: – Decidir a favor del demandante y ordenar que el nombre

de dominio en cuestión sea transferido a esa persona o entidad.

– Decidir a favor del demandante y ordenar que el nombre de dominio en cuestión sea cancelado; o

– Decidir a favor del demandado y denegar el remedio solicitado en la demanda.

Decisión & Notificación

Implementación

Ventajas

• Rápidez

• Barato

• Informal

• Internacional

• Personal experto

VIOLACIÓN AL DERECHO MARCARIO CON NOMBRES DE DOMINIO

• Llamado cybersquatting en Inglés • Ocurre cuando un tercero adquiere un nombre de

dominio que contenga su marca. • Legislación federal (Lanham Act) provee un remedio

para el dueño de la marca.

VIOLACIÓN AL DERECHO MARCARIO CON NOMBRES DE DOMINIO

• Uso de marca como nombre de dominio.

• Registración de marca en nombre de dominio se hace de mala fé.

• Varios factores para considerar intención/mala fé de registro.

• A.C.P.A. 11 U.S.C.A. 1125 (d).

DMCA Notice and Take Down

• El Digital Millenium Copyright Act (DMCA) es una ley de EEUU que protege los derechos de autor.

• Proceso para bajar de la red material que viole derechos de autor o que sea illegal.

• Se le notifica al online service provider.

• Luego de la notificación, el online service provider deberá remover el contenido de la web.

Requisitos

• La notificación debe incluir: – Suficiente información sobre el material infringido para que el

online service provider pueda identificarlo y encontrarlo en la web;

– Información sobre la parte afectada para poder comunicarse con ésta ;

– Una declaración de la parte afectada que indique el uso del material que viola los derechos de autor que no fue autorizado por el dueño de los derechos de autor, su agente o la ley;

– Una declaración que indique que “the information in this notification is accurate, and under penalty of perjury, that the complaining party is authorized to act on behalf of the owner of an exclusive right that is allegedly infringed.”

DMCA Takedown

• El material que violenta los derechos de autor es removido del website por el online service provider.

• No tiene que haber derecho de autor para pedir que se elimine el material en cuestión.

• El hecho de que el material sea propio o que una foto o video sea de uno, es suficiente para solicitar que se remueva el contenido.

Conclusión

• Dueños de marcas tienen remedios administrativos (UDRP) y judiciales (ACPA) para remediar violaciones a derechos marcarios por nombre de dominio.

• Dueños de obras pueden exigir que se remueva una obra mediante “take down notice” a tenor con el DMCA.

• Medidas que son económicas en comparación con remedios judiciales.

Antonio Ayala I.

VP Ejecutivo, RISCCO

15 de agosto de 2014

Fraude en el ambiente cibernético

Entérate de: ¿Cómo? ¿Quién? ¿Dónde?

© 2009 – 2014 RISCCO.

El fraude cibernético a

consumidores alcanza los

US$113,000 millones.

Norton Report, Octubre 2013

Página 3

© 2009 – 2014 RISCCO.

Cybercrime is one of the greatest

threats facing our country, and

has enormous implications for

our national security, economic

prosperity, and public safety.

Eric H. Holder, Attorney General

USA Department of Justice,

Página 4

© 2009 – 2014 RISCCO.

85% de los Ejecutivos, indicó

que su organización es

susceptible a ser víctima del

Espionaje Digital Corporativo.

Sondeo Espionaje Digital Corporativo

RISCCO, Febrero 2013

Página 5

© 2009 – 2014 RISCCO.

Agenda

1. Realidad y no ficción. Mitos sobre seguridad de información.

2. Amenazas y riesgos. Delitos informáticos comunes y no tan comunes.

3. Controles y buenas prácticas

4. Reflexiones finales

© 2009 – 2014 RISCCO.

Realidad y no ficción

Diez mitos sobre la seguridad de información en

Panamá

Página 4

© 2009 – 2014 RISCCO.

Diez Mitos

10 El responsable de Tecnología es altamente calificado por

lo que también domina la seguridad de información.

9 El uso de redes sociales no me debe preocupar.

8 El es el Gerente General. No debemos ponerle tantas

restricciones ya que en su computador no hay nada

importante.

7 Mi información está segura, ya que tenemos que digitar

una contraseña para ingresar a la aplicación.

6 Para qué hacer un plan de continuidad de negocios si

aquí en Panamá no pasa nada porque estamos

bendecidos por Dios. Página 5

© 2009 – 2014 RISCCO.

Diez Mitos

5 La seguridad de información es una responsabilidad del

Departamento de Tecnología.

4 Mis colaboradores son muy leales a la organización, ellos

no me robarán datos confidenciales y sensitivos.

3 Nuestros sistemas y redes no han sido atacados, por lo

tanto, son seguros.

2 Los hackers atacan solo a las grandes corporaciones.

1 Dado que tengo un firewall (dispositivo de seguridad) y

programas antivirus, estoy protegido.

Página 6

© 2009 – 2014 RISCCO.

Amenazas y riesgos

Delitos informáticos comunes y no tan comunes

Página 7

© 2009 – 2014 RISCCO.

Delitos informáticos comunes

1. Fraude banca en línea

2. Fraude tarjeta de créditos

3. Robo de credenciales de acceso a

sistemas

4. Robo de información sensitiva en

computadores o servidores

5. Ataques denegación de servicio

6. Robo de identidad

7. Acoso (cyberbulling)

8. ATM skimming

Página 8

© 2009 – 2014 RISCCO.

Delitos informáticos no tan comunes

Cyber-Jacking

Human Malware

Cyber Assault

Cyber Extortion

Car Sploiting

Brick Attacks

Identity Theft Squared

Mini-Power Outages

Página 9

Fuente: Jason Glassberg, CASABA

http://www.foxbusiness.com/personal-finance/2014/05/14/future-crime-8-

cyber-crimes-to-expect-in-next-20-years/

© 2009 – 2014 RISCCO.

Consejos y buenas

prácticas

© 2009 – 2014 RISCCO.

Tipos de fraude digital (clasificación básica)

1. Fraudes digitales realizados

externamente a recursos TIC de la

organización.

2. Fraudes digitales realizados

internamente a recursos TIC de la

organización.

3. Fraudes digitales realizados

internamente a recursos TIC de la

organización debido a pobrísima

estructura de control interno.

© 2009 – 2014 RISCCO.

Tecnologías para la prevención y detección de fraudes

digitales (adicional a las tradicionales).

Problema

1. Fraudes digitales realizados

externamente a recursos TIC

de la organización.

(robo credenciales servicios en línea-

móviles, acceso/alteración

información/datos confidenciales)

Solución

Tecnológica

a) Herramientas para la prevención y

detección del fraude vía Web y

Móvil

Nice Actimize, RSA, Accertify, 41st Parameter,

Guardian Analytics, Trusteer, CA Arcot.

Lookout Mobile, BehavioMobile Security, entre

otros.

b) Herramientas para el monitoreo y

seguridad de la base de datos

Hedgehog Enterprise, Audit Vault,

SecureSphere Data Security Suite, InfoSphere

Guardium, FortiDB, DbProtect, entre otros.

© 2009 – 2014 RISCCO.

Tecnologías para la prevención y detección de fraudes

digitales (adicional a las tradicionales).

Problema

2. Fraudes digitales realizados

internamente a recursos TIC

de la organización.

(robo credenciales servicios en línea-

móviles, acceso/alteración

información/datos confidenciales)

Solución

Tecnológica

a) Herramientas para la prevención y detección

del fraude vía Web y Móvil

b) Herramientas para el monitoreo y seguridad

de la base de datos

c) Herramientas de DLP (Data Loss Prevention)

Mcafee, CA Technolgies. Symantec, RSA,

WebSense, entre otros

c) Herramientas para la seguridad de archivos

SecureSphere File Security

© 2009 – 2014 RISCCO.

Tecnologías para la prevención y detección de fraudes

digitales (adicional a las tradicionales).

Problema

3. Fraudes digitales realizados internamente a recursos TIC de la

organización debido a pobrísima estructura de control interno.

(accesos a datos y funciones inapropiados, poca o nula seguridad de

información, inadecuados derechos de acceso en ERP, procesos para

revocar/otorgar accesos poco efectivos, )

© 2009 – 2014 RISCCO.

Lo básico, no pasa de moda

1. Mantener siempre y oportunamente los últimos parches/actualizaciones de

seguridad en el software utilizado (Windows, adobe, etc.).

2. Adquiera/construya aplicaciones tipo “web” seguras. El 60% de todos los

ataques en la Internet se deben a aplicaciones web inseguras.

3. Establecer controles efectivos para derechos de accesos (ERP y tecnología).

4. Implante políticas y procedimientos modelo de seguridad.

© 2009 – 2014 RISCCO.

Reflexiones finales

© 2009 – 2014 RISCCO.

1. Nadie es inmune.

2. Existe el marco legal/regulatorio para realizar demandas.

3. Los mecanismos de defensa tradicionales no son suficientes a

la sofisticación de las amenazas tecnológicas actuales.

MITOS Y REALIDADES

del uso competitivo de las redes sociales

INTRODUCCIÓN

•Las redes sociales son un cambio más que generacional, uno cultural que no

conoce fronteras territoriales.

•Lo que empezó como una forma de conectar con amigos y familiares, es ahora eje de un EGOsistema.

•Compartimos status, fotos y videos de lo que hacemos, donde estamos, con quien. No con el mero fin de informar, sino de provocar una reacción de nuestros amigos o seguidores.

•Nuestra audiencia en la redes sociales esta apoderada con el entendimiento de que tienen igualmente una audiencia, et. seq.

•El verdadero valor de nuestra opinión, lo medimos en Likes, Views, Retweets.

•Las redes sociales no son una moda pasajera; son la más dramática evolución en la interacción humana en nuestros tiempos.

REDES SOCIALES Y AMÉRICA LATINA

La region en el mundo con mayor “engagement” es América Latina – State of Social Media 2014 - Comscore

REDES SOCIALES Y AMÉRICA LATINA

México es el país con mayor alcance en sitios en redes sociales – State of Social Media 2014 - Comscore

INTELIGENCIA SOCIAL PARA UNA ERA DIGITAL • Inteligencia social no es otra cosa que una combinación entre la recopilación de la data cuantitativa que proveen los usuarios en las redes sociales, puesta en contexto, luego de un cernimiento cualitativo, conducente a proveer información sobre la cual, puedan tomarse decisiones importantes.

•Las redes sociales son una cantera de valiosas opiniones inéditas que bien manejadas, bajo el amparo de los límites permitidos por ley, ofrecen nuevos horizontes para conocer y predecir audiencias y mercados.

•La inteligencia digital, le ofrece al publicista, relacionista, profesional del mercadeo, en fin, al empresario u organización en general, una herramienta única para poder planificar sus estrategias de comunicación y mercadeo.

• Jamás en la historia, habíamos tenido la oportunidad de conocer tanto sobre las personas, un status a la vez, un tweet a la vez, un like a la vez.

•Esto, es de vital importancia en este momento histórico en que es imperativo conocer cómo llegarle a las audiencias que ya están de por sí sobrecargadas de información e influencias.

UNA MIRADA GLOBAL A LA INTELIGENCIA

• Las redes sociales son ese grupo focal que ésta evaluando y comentado sobre todo tipo de asunto, producto o servicio 24/7.

•El valor de la información disponible en las redes ha motivado la creación del Oficial de Inteligencia Social.

•Corporaciones globales como Nielsen (Nielsen Incite), NBC (Senior Vice President, Digital Reaserch), CBS (Senior Director Personalization), Merryl Lynch (Director Channel Analytics), Amazon (Vice President Web Analytics) y Siemens (Head, Digital Marketing), han creado departamentos dedicados expresamente a proveer inteligencia social“in house.”

•Han destacado todo un ejército de monitoreo, análisis de los personajes que protagonizan e influencian a los usuarios de las redes y hasta la predicción de tendencias en comportamientos y preferencias a tenor con los límites legales que existen en el manejo de esta inteligencia.

• La inteligencia social es la piedra angular para el desarrollo de un "social business strategy".

LA IMPORTANCIA DE LA INTELIGENCIA SOCIAL

LA IMPORTANCIA DE LA INTELIGENCIA SOCIAL

•Una de las razones principales por las cuales no estamos completamente satisfechos con nuestras campañas en las redes sociales, es porque los resultados dejan mucho que desear.

•En la medida que nuestras páginas y perfiles siguen ganando fanáticos y seguidores, se nos hace más difícil detectar de que forma esto impacta nuestras estrategias existentes.

• Si tenemos un perfil completo y dinámico de los usuarios de nuestros páginas, estamos en mejor posición de hablarles a través de nuestros esfuerzos de mercadeo o publicidad.

• Los mismos cambios en los algoritmos de "discoverability" de las plataformas nos obligan a dirigir nuestros esfuerzos con precisión pues encontrarnos orgánicamente es cada vez más difícil.

MONITOREO VS MEDICIÓN

•Aunque son términos que se usan conjuntamente como si fuera un todo en el ámbito de las redes sociales, son claramente distinguibles.

•El monitoreo de redes sociales es la observación sistemática de las conversaciones e intercambios alrededor de un sujeto con el fin de comprender los motivadores alrededor de tal conversación. “Listening in”

•El monitoreo puede llevarse a cabo manualmente o mediante el uso de herramientas destinadas a recopilar las diferentes fuentes de tal conversación.

•Medición es el esquema de evaluación de resultados que se le aplicará al sujeto de tal medición.

•Los parámetros de la medición tienen que guardar estricta correlación con los objetivos trazados.

•El monitoreo nos provee información que nos llevara a la acción que una vez ejecutada será sujeto de nuestra medición.

PORQUE MINAR DATA DE LAS REDES SOCIALES

PORQUE MINAR DATOS DE LAS REDES SOCIALES

•Para que la empresa u organización comprenda la verdadera utilidad de sus perfiles en las redes sociales. No es un concurso de simpatía.

•Para que podamos según el entorno de nuestra empresa, crear un esquema de causa, efecto y resultados que validen el “ROI” de nuestros esfuerzos.

•En aras de comprender los motivadores de nuestra reputación (Brand Health).

•Para mejorar y sobretodo conocer cual es la experiencia del cliente con nuestro producto o servicio.

•Como nuestro “playground” para la innovación.

•Para que tengamos data histórica que nos pueda arrojar luz sobre el futuro.

EL SERVICIO AL CLIENTE PARA MINAR DATOS

•Nos guste o no, los usuarios en las redes sociales convierten nuestros perfiles en una ventana de quejas.

•Precisamente ese empoderamiento que tiene el usuario sobre el nivel de acceso que le proveen las redes sociales, lo va a llevar primero a recurrir a ellas para cualquier asunto.

• Sin duda, si vamos minando datos sobre al experiencia de nuestro cliente con nuestros productos o servicios, podemos identificar lo que no pueda estar funcionando adecuadamente dentro de nuestra empresa.

•No basta con identificar detractores o embajadores de nuestra marca.

CONT. SERVICIO AL CLIENTE PARA MINAR DATOS

•Con una base de datos, podemos trabajar y neutralizar las circunstancias en que el detractor construye para tratar de desestabilizar nuestras comunidades. E.g. experiencia en el hotel, atención en las facilidades

•Nos permite rastrear el impacto de atender bien a un individuo versus mercadear para todo un espectro de diverso de personas.

•Puede seccionarse dentro de los usuarios grupos que sirvan como panel de opinión sobre productos existentes o futuros.

• La empresa comprende mejor el proceso de compra y toma de decisiones del cliente para ubicarse mejor en ese embudo para el futuro.

DATOS CON LOS NO DEBERÍA CONFORMARSE CON RECOPILAR

DATOS QUE SI DEBE RECOPILAR

DATOS QUE SI DEBE RECOPILAR

•Todo tipo de datos demográficos. E.g. edad, género, estado civil, localización.

•El tipo y cantidad de interacciones que nuestras publicaciones generan. Esto nos ayudará a establecer las bases para calcular el retorno de nuestra inversión.

•Días y horas más productivas para nuestras publicaciones.

•El tiempo aproximado de respuesta a los usuarios de nuestros perfiles.

•Desde que navegador, equipo (escritorio, móvil, tableta) acceden nuestros perfiles.

• Si nuestros perfiles se acceden directamente o por conducto de una app.

DATOS QUE DEBERÍA RECOPILAR

• Los usuarios que más comparten nuestro contenido con el fin de crear un perfil de estos.

• La efectividad de cada formato en el que compartimos nuestro contenido.

•Usuarios nuevos versus los que regresan.

• Lo que ésta y no ésta haciendo nuestra competencia. Hay que deconstruir esfuerzos que le puedan resultar exitosos y comprender los motivadores.

• Los denominadores comunes entre los usuarios de sus perfiles. E.g. (son fans de, amigos de...)

• Las palabras más utilizadas alrededor de su marca.

NO TODOS LOS SISTEMAS DE MEDICIÓN SON IGUALES

NO TODOS LOS SISTEMAS DE MEDICIÓN SON IGUALES

• La medición en las redes sociales no se trata de generar un reporte con X o Y herramienta para meramente determinar, likes, retweets o clicks.

• Lo distinguible es lograr aislar y comprender los elementos que entran en juego y que provocan la actuación ulterior que se pretende medir. Ese análisis es lo que le da verdadero sentido a la medición.

• Las herramientas aun más sofisticadas de medición, son bastante imperfectas, tienen serias limitaciones con el idioma y sus resultados requieren ser calibrados en base a la experiencia y al conocimiento del entorno que se pretende medir.

•Ninguna herramienta es un “one stop shop”.

LA VALIDACIÓN Y LA TRANSPARENCIA EN LA MEDICIÓN

•Cuando se implementa la utilización de herramientas de medición, debe irse informado sobre donde mora nuestro público meta. De nada vale que una herramienta diga que es capaz de scan millones de fuentes, si no incluye la que le sea útil.

•Una herramienta que no sea capaz de scan comentarios públicos en Facebook, no vale la pena. Es prácticamente de la única fuente donde puede derivarse información mas allá de la propia.

• Siempre debe preguntar el tamaño de la muestra que toma la herramienta, puesto que son tantos billones de información disponible, que es una falacia que lo abarcan todo.

•Conocer el peso en la distribución de fuentes que componen la muestra.

•Con relación a Twitter si no tiene acceso al "fire hose" los resultados son de poco valor.

LA VALIDACIÓN Y LA TRANSPARENCIA EN LA MEDICIÓN • La traducción de “posts” en otros idiomas, a la hora de arrojar resultados, no

significa que el algoritmo de la herramienta entienda nuestro idioma para efectos de la recopilación de datos.

•No hay tal cosa como una medición de sentimiento que sirva de base para la toma de ninguna decisión. El sentimiento es un muestreo que tiene que hacer un ser humano que distinga la ironía y las expresiones idiomáticas del entorno geográfico analizado.

•Todo esfuerzo interno de medición requiere de una auditoria de un recurso externo que este libre de todo interés en el éxito o el fracaso de las iniciativas de la empresa. Este aportará ademas, una óptica sin perjuicios de lo que funciona o no para la empresa.

•Ninguna herramienta de medición sola puede generar la toma de decisiones. Es imperativo validar resultados con data del “field” y con la experiencia del analista.

ESCOLLOS PARA IMPLEMENTAR UN PROGRAMA DE MEDICIÓN INTERNO

ESCOLLOS PARA IMPLEMENTAR UN PROGRAMA DE MEDICIÓN INTERNO

ESCOLLOS PARA IMPLEMENTAR DE UN PROGRAMA DE MEDICIÓN INTERNO

• Los costos de implementación de herramientas de medición son altos y en su mayoría requieren de un compromiso no menor de un año y del pago total de los servicios por tal año.

•No se tiene el personal capacitado para esto ni disponible para ser destacado solo en esto.

•No se ha educado al cliente o a la empresa para que espere más de sus esfuerzos en las redes sociales. Esa zona de comfort funcionara por un tiempo pero puede que sea un lugar del que no se puede regresar.

•Popularidad a base de interacciones ficticias o manipuladas que dan la impresión de que con lo que se tiene basta.

•No saber justificar la inversión y su potencial de retorno.

PENSANDO EN NUESTRA AUDIENCIA

•Todo esfuerzo dirigido a una empresa, organización y grupo profesional, tiene que ir dirigido a un individuo pues es este y no aquellos, quienes toman decisiones de compra.

•Antes de dirigir ningún esfuerzo, es necesario que se construya el perfil del usuario al que quiseramos apelar. En redes sociales es un ejercicio de descubrir a quien no conocemos.

•Al individuo se le apela con diversidad de mensajes para llevarlo al proceso de toma de decisiones. Debe ser un 80/20.

•La audiencia local a parte de ser un objetivo es un elemento indispensable que funge como promotor primario del mensaje .

•Nunca olvidarnos que nuestra audiencia tiene una audiencia y que el ciclo no termina.

•Revisada la teoría de los 6 grados de separación de Milgram, gracias a Facebook hoy existen 3.74 grados de separación entre una persona y otra en el mundo.

Lcdo. Juan Lorenzo Martínez J.D., LLM, C.I.S.A., C.P.A., C.I.A., C.F.E., C.G.A.P.,

C.R.I.S.C., C.G.M.A., C.R.M.A., C.D.P., C.C.P., C.B.M.

1

2

El fraude consiste de adquirir dinero, bienes o beneficios de otra personas a través del engaño.

Fraude Ocupacional: El uso de una ocupación para enriquecerse personalmente a través del mal uso, deliberado, de los recursos o activos de la entidad en la que uno labora.

3

10% - 80% - 10%

En EU se pierden mas de 600 billones al año por causa del Fraude

78% de los fraudes lo hacen gente de adentro

4

5

Oportunidad

Presión Incentivo

Racionalización

6

26.3%

0.9%

6.2%

7.8%

18.4%

21.3%

23.8%

8.6%

11.5%

15.4%

18.8%

18.6%

6.2%

5.1%

1.7%

10.9%

5.1%

23.6%

0% 5% 10% 15% 20% 25% 30%

Notified by Police

Anonymous Tip

Tip from Vendor

Tip from Customer

External Audit

Internal Controls

By Accident

Tip From Employee

Internal Audit

2001 2004

La falta de “audit trail” – la huella que dejan las transacciones.

El procesamiento uniforme de transacciones ◦ Un pequeño cambio en la programación puede

causar un fraude muy grande

La segregación de labores ◦ La autorización

◦ Anotación

◦ Custodia física

7

Nadie puede tener el control total del procesamiento

Lo que se ha llamado “el control por ignorancia” ◦ Los programadores

◦ Los Analistas

◦ Los Operadores

◦ El Bibliotecario

◦ El Administrador de la base de datos

◦ Los Usuarios

8

La importancia de la documentación

La concentración de riesgo en el centro de cómputos

◦El impacto de un desastre natural

Plan de manejo de desastres

Continuidad de negocios

9

El internet

La abundancia de personas con computadoras (el usuario)

Virus

La privacidad – acceso a información confidencial

El comercio electrónico ◦ Con suplidores

◦ Con consumidores

◦ Transferencia electrónica de fondos

10

Alteración a los programas y los sistemas para robar inventario o efectivo.

Manipular estados financieros

11

Estados de cuenta mensuales falsificados Ej. Cambiaba la dirección de los clientes en el

sistema. El recibía los estados y enviaba a esos clientes estados falsificados.

12

Descuentos y/o “write-offs” fraudulentos Pagos de facturas falsificadas

El suplidor no existe realmente.

El crear una compañía ficticia es sumamente fácil

13

Empleados que renuncian, se jubilan o se mueren y siguen cobrando

Falsificación de horas trabajadas

Pago por vacaciones y enfermedad (a pesar de que falto)

14

Que podemos hacer para controlar este problema de Fraudes en el área de IT?

15

Definición de Control Interno

Lista de normas y procedimientos establecido por la gerencia

En el Triangulo del Fraude va al elemento de oportunidad

Niño con el biscocho

16

Objetivo Financiero – Garantizar la exactitud de los records de contabilidad y los informes financieros. Objetivo Operacional – Mejorar la eficiencia y

efectividad de las operaciones. Objetivo de Cumplimiento – Cumplimiento

con leyes, reglamentos y políticas de la organización.

17

Responsabilidad de gerencia – Diseño e implementación defectuosas

Problema de Costo y Beneficio

Evadir controles por colusión de empleados

Fraudes Gerenciales

Errores por fatiga, falta de conocimiento y error humano

18

Ambiente de Control ◦ Valores éticos e integridad

◦ Filosofía gerencia y estilo operacional

◦ Compromiso con la competencia técnica

◦ Participación y envolvimiento de la Junta de Directores y la existencia de un comité de auditoria

◦ Estructura organizacional definida

Buen Organigrama

Definición clara de metas, objetivos y responsabilidades

Medidas de efectividad

Asignación clara de autoridad y responsabilidad

Políticas y practicas claras de manejo de recursos humanos

19

Estar pendiente de eventos que aumentan los riesgos en la entidad o Nuevo Personal

o Nuevos sistemas de información

o Cambios o crecimientos rápidos

o Reestructuraciones

o Cambios en pronunciamientos de contabilidad

“Río revuelto, ganancia de pescadores”

20

Actual vs. Presupuesto, Actual vs. Proyección

Control Físico

Asignación de Personal Competente

Segregación de Funciones en el centro

Segregación de labores en la operación

Autorización, Custodia, Anotación

Reconciliaciones periódicas

Pre numeración de todos los documentos

Documentación adecuada de todas las entradas de jornal

21

Manual de contabilidad (procedimientos)

Lista de cuentas (Chart of Accounts)

22

Auditores Internos

23

Auditoria Interna es una actividad independiente y objetiva de auditoría y consultoría diseñada para añadir valor y mejorar la operación de una entidad. Ayuda a la organización a cumplir sus metas y objetivos aportando una metodología sistemática para la evaluación y mejoramiento del manejo de riesgo, control y al proceso gerencial.

24

Para poder modificar y mejorar los procedimientos hay que obtener un entendimiento de la estructura de control interno actual

Determinar el nivel de riesgo de control – Probabilidad de que los procedimientos de control interno establecidos no detecten errores e irregularidades a medida que estos ocurran.

Estar siempre consciente de la probabilidad de que ocurra un error, una irregularidad o un acto ilegal

25

AULAS VIRTUALES Y SALAS DE VIDEOCONFERENCIAS (COMO RECURSOS DE APOYO A LA

EDUCACIÓN CONTINUA DEL CONTADOR PÚBLICO O CONTADOR PROFESIONAL)

DR. JUAN MELÉNDEZ

UNIVERSIDAD DE PUERTO RICO

ACTIVIDADES - 1

•Supervisar proyectos

•Dar instrucciones

•Proveer recursos especializados

•Ayudar en el progreso de los trabajos de

los estudiantes

•Recibir trabajos

ACTIVIDADES - 2

•Comunicar con estudiantes

•Personal

•Grupal

•Reportar notas

PLATAFORMAS

• Manejador

• Moodle http://www.freemoodle.org

• Edu 2.0 https://www.edu20.org

• Classroom http://classroom.google.com

• Redes Sociales

• Facebook

• Twitter

• Videoconferencia

• WizIQ

• BigMarker

El ISAE 3402 y su impacto en los requerimientos para la presentación de reportes de aseguramiento sobre controles en las organizaciones de servicios

Presentado por:

Lolita E. Vargas De León CPA, CISA, CIA, MIBA

Universidad de Puerto Rico en Cayey

Normas para la Presentación de Reportes de Aseguramiento sobre Controles en una Organización de Servicios

SAS 70 (Statement on Auditing Standards 70),

•Norma (EU) para presentación de reportes sobre controles de las organizaciones de servicios.

•AICPA (abril 1992)

SSAE 16 (Statement on Standards for Attestation Engagements 16)

•Sigue al ISAE 3402 y completa el marco de referencia para el auditor de servicio.

•AICPA (abril 2010)

ISAE 3402 (International Standards for Attestation Engagements 3402)

•Norma de alcance global post Ley Sarbanes-Oxley.

•IFAC (diciembre 2009)

Organización de Servicios

Organización o división de una organización que presta

servicios a entidades usuarias que pudieran ser

relevantes para los controles internos sobre la información financiera de

la entidad usuaria.

El SAS70 – Organizaciones de Servicios

Regula la revisión del control interno en las organizaciones de servicios.

Considera riesgos que pudieran impactar la integridad, exactitud y/o validez de la

información financiera de la organización.

El reporte se da como “opinión independiente”.

Se recomienda para organizaciones que deben cumplir con la Ley Sarbanes-Oxley.

Aplica a información financiera para años terminados antes del 15 de junio de 2011.

Reportes bajo el SAS 70

Sección Descripción Responsable

I Informe del auditor independiente de la organización de servicios

Opinión del auditor Auditor

II Información provista por la organización de servicios

Ambiente de control, procedimientos, objetivos de control, controles, etc.

Organización de servicios

III Información provista por el auditor de servicios

Objetivos de control, controles, pruebas de auditoría, resultados, etc.

Auditor

IV Otra información provista por la organización de servicios (opcional)

Planes de acción correctiva, planes de continuidad de negocio, proyectos, etc.

Organización de servicios

ISAE 3402 – Reportes de Aseguramiento sobre Controles en una Organización de Servicios (SOC)

Organización de Servicios – Servicios Prestados

Alcance

del Reporte

SOC

Organización Usuaria – Servicios

Externalizados

Tipos de Reporte de Aseguramiento sobre Controles en una Organización de Servicios (SOC)

SOC 1

SOC 2

SOC 3

• Reporte de Controles en una Organización de Servicios que son Relevantes para el Control Interno de las Entidades Usuarias sobre los Informes Financieros (ISAE 3402/SSAE 16)

• Reporte de Controles en una Organización de Servicios que son Relevantes para la Seguridad, Continuidad, Integridad del Procesamiento, Confidencialidad y/o Privacidad (AT 101, ISAE 3000)

• Reporte de Servicios de Confianza para Empresas de Servicios

Tipos de Reportes de Aseguramiento sobre Controles en una Organización de Servicios (SOC)

SOC 1 SOC 2 SOC 3

Enfoque Controles relevantes para los informes financieros de la organización usuaria

Seguridad, continuidad, integridad del procesamiento, confidencialidad y/o privacidad

Seguridad, continuidad, integridad del procesamiento, confidencialidad y/o privacidad

Procesos y sistemas Procesos y sistemas relevantes para los informes financieros

Cualquier proceso o sistema

Cualquier proceso o sistema

Criterios Diseñados para atender las necesidades de auditoría de estados financieros

Diseñados para proporcionar aseguramiento a los clientes, socios comerciales y otras partes interesadas

Diseñados para proporcionar aseguramiento a los clientes, socios comerciales y otras partes interesadas

Público Empresa del usuario y sus auditores

Clientes y socios comerciales

Clientes, socios comerciales y otras partes interesadas

Uso/distribución Restringido Puede ser restringido Generalmente no restringido

Reportes SOC 1

• El auditor de servicios opina sobre:

• La legitimidad de la presentación de la descripción que provee la gerencia sobre el sistema de la organización de servicios a una fecha determinada.

• La adecuacidad del diseño de los controles en un punto determinado en el tiempo.

Tipo 1

• El auditor de servicios opina sobre:

• La legitimidad de la presentación de la descripción que provee la gerencia sobre el sistema de la organización de servicios durante el período bajo evaluación.

• La adecuacidad del diseño de los controles durante el período bajo evaluación.

• La efectividad operacional de los controles durante el período bajo evaluación.

Tipo 2

Reporte SOC 2

Añade valor al considerar controles

relacionados con la continuidad,

seguridad, integridad,

confidencialidad y privacidad de los

sistemas de información

utilizados por la organización de

servicios.

Unifica los procesos y genera

indicadores comunes de

cumplimiento.

Tiene la opción de utilizar reportes Tipo 1 (diseño) y

Tipo 2 (efectividad).

Su uso y distribución es

más amplio que en SOC 1, pero

sigue siendo restringido.

Se ejecutan utilizando

matrices formales de “Principios y Criterios de los

Servicios de Confianza”

(AICPA/CICA) que incluyen

elementos de dominio,

principios, criterios,

controles, pruebas y resultados.

Reportes SOC 3

Son reportes de uso general.

Su distribución no está restringida.

• Se pueden distribuir libremente y/o publicar en la web como sello de Sys Trust o Web Trust para la organización de servicios.

Se ejecutan utilizando matrices formales de “Principios y Criterios

de los Servicios de Confianza”

(AICPA/CICA) que incluyen elementos de

dominio, principios, criterios, controles,

pruebas y resultados.

“Principios de los Servicios de Confianza” (AICPA/CICA)

Dominio Principio

Continuidad El sistema está disponible para su uso y operación según lo acordado o comprometido.

Seguridad El sistema está protegido contra accesos físicos y/o lógicos no autorizados.

Integridad El procesamiento del sistema es preciso , oportuno y está completo y autorizado.

Confidencialidad La información definida como confidencial está protegida según lo acordado o comprometido.

Privacidad La información personal es recopilada, utilizada, retenida y revelada de acuerdo con los contratos estipulados en la notificación de privacidad de la entidad y con los criterios establecidos en los Principios de Privacidad Generalmente Aceptados emitidos por la AICPA/CICA.

Diferencias Relevantes entre el SAS 70 y el ISAE 3402/SSAE 16

Fecha de efectividad

Forma

Representación de la gerencia

Criterios

Adecuacidad del diseño de los

controles

Evidencia obtenida en

encargos anteriores

Uso del trabajo del auditor

interno

Restricciones al uso y

distribución de los reportes

Método inclusivo de

reporte

Diferencia Relevante 1 – Fecha de Efectividad

SAS 70

• Aceptable para uso en auditorías con fechas de reporte / períodos bajo revisión terminados antes del 15 de junio de 2011.

ISAE 3402 /SSAE 16

• Efectivos para reportes con fecha de reporte (Tipo 1) y períodos de revisión (Tipo 2) terminados en o después del 15 de junio de 2011.

Diferencia Relevante 2 – Forma

SAS 70

• Estándar de auditoría que regula el desempeño de una auditoría de SAS 70 y el uso del reporte correspondiente por la organización usuaria y sus auditores.

ISAE 3402 /SSAE 16

• Estándares de aseguramiento dirigidos al reporte sobre los controles en organizaciones de servicios. Las auditorías de servicios llevadas acabo en los EU deberán realizarse en cumplimiento con ambos estándares (ej. emitir informes combinados).

Diferencia Relevante 3 – Representación de la Gerencia

SAS 70

• Se requiere que la gerencia de la organización de servicios provea una representación escrita en la forma de una carta de representación que es obtenida por el auditor de servicios antes de que se emita el reporte de la auditoría SAS 70. Esta carta de representación no se incluye en el reporte de auditoría SAS 70.

ISAE 3402 /SSAE 16

• Se requiere que la gerencia de la organización de servicios provea una aseveración por escrito en el cuerpo del reporte sobre la justa presentación de la descripción del sistema de la organización, la adecuacidad del diseño de sus controles y la efectividad operacional de sus controles (Tipo 2), entre otros. La aseveración acompaña a la descripción del sistema de la organización de servicios y es de naturaleza similar a aquellas que se incluían previamente como parte de las cartas de representación de la gerencia en auditorías SAS 70.

Diferencia Relevante 4 – Criterios

SAS 70

• No aplica. Una auditoría SAS 70 es un encargo de “reporte directo” , por lo cual la materia objeto del encargo se incluye como parte del reporte del auditor de servicios . Las representaciones de la gerencia, así como los criterios utilizados por esta, no forman parte del reporte de auditoría SAS 70.

ISAE 3412 /SSAE 16

• La gerencia de la organización de servicios es responsable de especificar los criterios que utilizó a la hora de preparar la descripción de su sistema. Los criterios se incluyen en el reporte en la sección de aseveraciones de la gerencia y se utilizan por el auditor de servicios con el propósito de llevar a cabo la auditoría. Los criterios mínimos a utilizar aparecen descritos en los estándares y son un factor determinante al momento de establecer si la evaluación es una auditoría Tipo 1 o Tipo 2.

Diferencia Relevante 5 – Adecuacidad del Diseño de los Controles

SAS 70

• En el reporte de auditoría SAS 70, Tipo 1 y Tipo 2, se opina sobre la adecuacidad del diseño de los controles a una fecha específica en el tiempo.

ISAE 3412 /SSAE 16

• Similar al reporte de auditoría SAS 70, en la opinión Tipo 1 se opina sobre la adecuacidad del diseño de los controles a una fecha específica en el tiempo. No así en la Tipo 2, en la cual se requiere opinar sobre la adecuacidad del diseño de los controles durante el periodo completo bajo evaluación (por lo menos 6 meses consecutivos).

Diferencia Relevante 6 – Evidencia Obtenida en Encargos Anteriores

SAS 70

• El auditor de servicios puede utilizar evidencia obtenida durante encargos anteriores para reducir la naturaleza, tiempo y extensión de las pruebas de auditoría.

ISAE 3412 /SSAE 16

•El auditor de servicios no debe utilizar evidencia obtenida durante encargos anteriores con el propósito de reducir la naturaleza, tiempo y extensión de las pruebas de auditoría. Esto es así inclusive cuando se pueda suplementar con evidencia obtenida durante el período corriente.

Diferencia Relevante 7 – Uso del Trabajo del Auditor Interno

SAS 70

• El auditor de servicios no está obligado a divulgar el uso del producto del trabajo del auditor interno.

ISAE 3412 /SSAE 16

•El auditor de servicios está obligado a divulgar como parte de su descripción de pruebas de control la naturaleza y extensión del uso que hace del producto del trabajo del auditor interno. El auditor de servicios también está obligado a divulgar cualquier procedimiento relacionado adicional realizado por él .

Diferencia Relevante 8 – Restricciones al Uso y Distribución de los Reportes

SAS 70

• El uso y distribución de los reportes está restringido a la gerencia de la organización de servicios, sus clientes y los auditores financieros de los clientes.

ISAE 3412 /SSAE 16

•Los usuarios autorizados de los reportes típicamente incluyen a los clientes de la organización de servicios y a los auditores financieros de los clientes. Además, el auditor de servicios puede incluir lenguaje que restrinja específicamente la distribución de los reportes y sus usos.

Diferencia Relevante 9 – Método Inclusivo de Reporte

SAS 70

• No es requisito obtener representación de organizaciones de sub-servicios antes de incluir sus controles en los reportes de auditoría SAS 70.

ISAE 3412 /SSAE 16

• Es requisito obtener representación de organizaciones de sub-servicios antes de incluir sus controles en los reportes de aseguramiento. El método inclusivo de reporte no pudiera utilizarse si la gerencia de una de las organizaciones de sub-servicios se negara a proveer aseveraciones relevantes al encargo.

Reportes SOC 1 – Mitos Comunes

El reporte SOC 1 equivale a una certificación.

Estos reportes pueden ser distribuidos a clientes

potenciales y utilizados como material promocional.

Todas las áreas operacionales pueden ser

incluidas en el reporte SOC 1.

Una vez obtenido el reporte, la organización usuaria no

tiene necesidad de verificar ningún control

Es posible desarrollar aplicaciones que cumplan

con los requerimientos del SSAE 16.

El SSAE 16 no permite el uso del producto del trabajo del

auditor interno.

El auditor de servicios deberá verificar la precisión del contenido de la sección

de “otra información provista por la organización de

servicios”.

El auditor de servicios no hace pruebas sobre la

efectividad de los controles a nivel de la entidad.

El período bajo evaluación de los controles debe ser de

6 meses.

Referencias

• http://isae3402.com

• http://www.ssae-16.com

• http://www.ifac.org

• http://www.kpmg.com/NL/en/Issues-And-Insights/ArticlesPublications/Documents/PDF/Risk-Consulting/Practice-guide-4.pdf

• http://www.isaca.org/Groups/Professional-English/isae-3402/GroupDocuments/13v2-Common-Myths-of-Service.pdf