SlideShare una empresa de Scribd logo
1

ELEMENTOS DE LA AUDITORIA DE SISTEMAS

Delitos Informáticos

Concepto:

El delito informático implica actividades criminales que en un primer momento los países han tratado de
encuadrar en figurar típicas de carácter tradicional, tales como robos o hurto, fraudes, falsificaciones,
perjuicios, estafa, sabotaje, etcétera. Sin embargo, debe destacarse que el uso de las técnicas
informáticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha propiciado
a su vez la necesidad de regulación por parte del derecho.

Las personas que cometen los "Delitos Informáticos" son aquellas que poseen ciertas características que
no presentan el denominador común de los delincuentes, esto es, los sujetos activos tienen habilidades
para el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran en
lugares estratégicos donde se maneja información de carácter sensible, o bien son hábiles en el uso de
los sistemas informatizados, aún cuando, en muchos de los casos, no desarrollen actividades laborales
que faciliten la comisión de este tipo de delitos. Con el tiempo se ha podido comprobar que los autores
de los delitos informáticos son muy diversos y que lo que los diferencia entre sí es la naturaleza de los
delitos cometidos. De esta forma, la persona que "ingresa" en un sistema informático sin intenciones
delictivas es muy diferente del empleado de una institución financiera que desvía fondos de las cuentas
de sus clientes.

Características de los Delitos Informáticos:

    1. Son conductas criminales de cuello blanco, en tanto que un determinado número de personas
       con ciertos conocimientos (técnicos especializados) puede llegar a cometerlos.
    2. Son acciones ocupacionales, ya que muchas veces se llevan a cabo cuando el sujeto está
       trabajando.
    3. Son acciones de oportunidad, ya que se aprovecha una acción creada o altamente intensificada
       en el mundo de funciones y organizaciones del sistema tecnológico y económico.
    4. Provocan serias pérdidas económicas, ya que casi siempre producen “beneficios” de más de
       cinco cifras a aquellos que las realizan.
    5. Ofrecen posibilidades de tiempo y espacio, ya que en milésimas de segundos y sin una necesaria
       presencia física pueden llegar a consumarse.
    6. Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulación
       por parte del Derecho.
    7. Son muy sofisticados y relativamente frecuentes en el ámbito familiar.
    8. Presentan grandes dificultades para su comprobación, esto por su mismo carácter técnico.


CLASIFICACION

TIPOS DE DELITOS INFORMATICOS RECONOCIDOS POR NACIONES UNIDAS.

CLASIFICACION SEGÚN LA ACTIVIDAD INFORMATICA******


                                                                                  Auditoria de Sistemas
                                                                                Prof. Zoraivett Rodriguez
2

DELITO          CARACTERISTICAS
Fraudes cometidos mediante manipulación de computadoras.
                Este tipo de fraude informático conocido también como sustracción de datos,
Manipulación representa el delito informático más común ya que es fácil de cometer y difícil de
de los datos de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede
entrada         realizarlo cualquier persona que tenga acceso a las funciones normales de
                procesamiento de datos en la fase de adquisición de los mismos.
             Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente
             debe tener conocimientos técnicos concretos de informática. Este delito consiste en
             modificar los programas existentes en el sistema de computadoras o en insertar nuevos
La
             programas o nuevas rutinas. Un método común utilizado por las personas que tienen
manipulación
             conocimientos especializados en programación informática es el denominado Caballo
de programas
             de Troya, que consiste en insertar instrucciones de computadora de forma encubierta
             en un programa informático para que pueda realizar una función no autorizada al
             mismo tiempo que su función normal.
                Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo
                más común es el fraude de que se hace objeto a los cajeros automáticos mediante la
Manipulación falsificación de instrucciones para la computadora en la fase de adquisición de datos.
de los datos de Tradicionalmente esos fraudes se hacían a base de tarjetas bancarias robadas, sin
salida          embargo, en la actualidad se usan ampliamente equipo y programas de computadora
                especializados para codificar información electrónica falsificada en las bandas
                magnéticas de las tarjetas bancarias y de las tarjetas de crédito.
Fraude          aprovecha las repeticiones automáticas de los procesos de cómputo. Es una técnica
efectuado por   especializada que se denomina "técnica del salchichón" en la que "rodajas muy finas"
manipulación    apenas perceptibles, de transacciones financieras, se van sacando repetidamente de
informática     una cuenta y se transfieren a otra.
Falsificaciones informáticas.
Como objeto     Cuando se alteran datos de los documentos almacenados en forma computarizada.
                Las computadoras pueden utilizarse también para efectuar falsificaciones de
                documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras
                computarizadas en color a base de rayos láser surgió una nueva generación de
Como
                falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias
instrumentos
                de alta resolución, pueden modificar documentos e incluso pueden crear documentos
                falsos sin tener que recurrir a un original, y los documentos que producen son de tal
                calidad que sólo un experto puede diferenciarlos de los documentos auténticos.
Daños o modificaciones de programas o datos computarizados.
                Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de
Sabotaje
                computadora con intención de obstaculizar el funcionamiento normal del sistema. Las
informático
                técnicas que permiten cometer sabotajes informáticos son:
                Es una serie de claves programáticas que pueden adherirse a los programas legítimos y
Virus           propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por
                conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como


                                                                                 Auditoria de Sistemas
                                                                               Prof. Zoraivett Rodriguez
3

                utilizando el método del Caballo de Troya.
                Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de
                procesamiento de datos o para modificar o destruir los datos, pero es diferente del
                virus porque no puede regenerarse. En términos médicos podría decirse que un gusano
                es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las
Gusanos
                consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de
                un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede
                dar instrucciones a un sistema informático de un banco para que transfiera
                continuamente dinero a una cuenta ilícita.
              Exige conocimientos especializados ya que requiere la programación de la destrucción o
              modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus
              o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por
              eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que
Bomba lógica
              poseen el máximo potencial de daño. Su detonación puede programarse para que
o cronológica
              cause el máximo de daño y para que tenga lugar mucho tiempo después de que se haya
              marchado el delincuente. La bomba lógica puede utilizarse también como instrumento
              de extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar en donde
              se halla la bomba.
Acceso no
autorizado a
                Por motivos diversos: desde la simple curiosidad, como en el caso de muchos piratas
servicios y
                informáticos (hackers) hasta el sabotaje o espionaje informático.
sistemas
informáticos
               El acceso se efectúa a menudo desde un lugar exterior, situado en la red de
               telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a
               continuación. El delincuente puede aprovechar la falta de rigor de las medidas de
Piratas
               seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes
informáticos o
               de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos
hackers
               se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en
               los sistemas en los que los usuarios pueden emplear contraseñas comunes o
               contraseñas de mantenimiento que están en el propio sistema.
                Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos.
Reproducción
                Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han
no autorizada
                sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales
de programas
                con el tráfico de esas reproducciones no autorizadas a través de las redes de
informáticos
                telecomunicaciones modernas. Al respecto, consideramos, que la reproducción no
de protección
                autorizada de programas informáticos no es undelito informático debido a que el bien
legal
                jurídico a tutelar es la propiedad intelectual.




                                                                                 Auditoria de Sistemas
                                                                               Prof. Zoraivett Rodriguez
4

LEY ESPECIAL CONTRA LOS DELITOS INFORMATICOS

Gaceta Oficial Nº 37.313 del 30 de octubre de 2001

LEY ESPECIAL CONTRA LOS DELITOS INFORMATICOS

TITULO I

DISPOSICIONES GENERALES

Artículo 1 Objeto de la Ley La presente Ley tiene por objeto la protección integral de los sistemas que
utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra
tales sistemas o cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas
tecnologías, en los términos previstos en esta Ley.

TITULO II DE LOS DELITOS

Capítulo I De los Delitos Contra los Sistemas que Utilizan Tecnologías de Información

Artículo 6 Acceso Indebido Toda persona que sin la debida autorización o excediendo la que hubiere
obtenido, acceda, intercepte, interfiera o use un sistema que utilice tecnologías de información, será
penado con prisión de uno a cinco años y multa de diez a cincuenta unidades tributarias.

Artículo 7 Sabotaje o Daño a Sistemas Todo aquel que con intención destruya, dañe, modifique o realice
cualquier acto que altere el funcionamiento o inutilice un sistema que utilice tecnologías de información
o cualesquiera de los componentes que lo conforman, será penado con prisión de cuatro a ocho años y
multa de cuatrocientas a ochocientas unidades tributarias.

Incurrirá en la misma pena quien destruya, dañe, modifique o inutilice la data o la información contenida
en cualquier sistema que utilice tecnologías de información o en cualesquiera de sus componentes.

La pena será de cinco a diez años de prisión y multa de quinientas a mil unidades tributarias, si los
efectos indicados en el presente artículo se realizaren mediante la creación, introducción o transmisión,
por cualquier medio, de un virus o programa análogo.

Artículo 8 Favorecimiento Culposo del Sabotaje o Daño Si el delito previsto en el artículo anterior se
cometiere por imprudencia, negligencia, impericia o inobservancia de las normas establecidas, se
aplicará la pena correspondiente según el caso, con una reducción entre la mitad y dos tercios.

Artículo 9 Acceso Indebido o Sabotaje a Sistemas Protegidos Las penas previstas en los artículos
anteriores se aumentarán entre una tercera parte y la mitad, cuando los hechos allí previstos o sus
efectos recaigan sobre cualesquiera de los componentes de un sistema que utilice tecnologías de
información protegido por medidas de seguridad, que esté destinado a funciones públicas o que
contenga información personal o patrimonial de personas naturales o jurídicas.




                                                                                  Auditoria de Sistemas
                                                                                Prof. Zoraivett Rodriguez
5

Artículo 10 Posesión de Equipos o Prestación de Servicios de Sabotaje Quien importe, fabrique,
distribuya, venda o utilice equipos, dispositivos o programas; con el propósito de destinarlos a vulnerar o
eliminar la seguridad de cualquier sistema que utilice tecnologías de información; o el que ofrezca o
preste servicios destinados a cumplir los mismos fines, será penado con prisión de tres a seis años y
multa de trescientas a seiscientas unidades tributarias.

Artículo 11 Espionaje Informático Toda persona que indebidamente obtenga, revele o difunda la data o
información contenidas en un sistema que utilice tecnologías de información o en cualesquiera de sus
componentes, será penada con prisión de tres a seis años y multa de trescientas a seiscientas unidades
tributarias.

La pena se aumentará de un tercio a la mitad, si el delito previsto en el presente artículo se cometiere
con el fin de obtener algún tipo de beneficio para sí o para otro.

El aumento será de la mitad a dos tercios, si se pusiere en peligro la seguridad del Estado, la confiabilidad
de la operación de las instituciones afectadas o resultare algún daño para las personas naturales o
jurídicas, como consecuencia de la revelación de las informaciones de carácter reservado.

Artículo 12 Falsificación de Documentos Quien, a través de cualquier medio, cree, modifique o elimine
un documento que se encuentre incorporado a un sistema que utilice tecnologías de información; o
cree, modifique o elimine datos del mismo; o incorpore a dicho sistema un documento inexistente, será
penado con prisión de tres a seis años y multa de trescientas a seiscientas unidades tributarias.

Cuando el agente hubiere actuado con el fin de procurar para sí o para otro algún tipo de beneficio, la
pena se aumentará entre un tercio y la mitad.

El aumento será de la mitad a dos tercios si del hecho resultare un perjuicio para otro.

Capítulo II

De los Delitos Contra la Propiedad

Artículo 13 Hurto Quien a través del uso de tecnologías de información, acceda, intercepte, interfiera,
manipule o use de cualquier forma un sistema o medio de comunicación para apoderarse de bienes o
valores tangibles o intangibles de carácter patrimonial sustrayéndolos a su tenedor, con el fin de
procurarse un provecho económico para sí o para otro, será sancionado con prisión de dos a seis años y
multa de doscientas a seiscientas unidades tributarias.

Artículo 14 Fraude Todo aquel que, a través del uso indebido de tecnologías de información, valiéndose
de cualquier manipulación en sistemas o cualquiera de sus componentes, o en la data o información en
ellos contenida, consiga insertar instrucciones falsas o fraudulentas, que produzcan un resultado que
permita obtener un provecho injusto en perjuicio ajeno, será penado con prisión de tres a siete años y
multa de trescientas a setecientas unidades tributarias.

Artículo 15 Obtención Indebida de Bienes o Servicios Quien, sin autorización para portarlos, utilice una
tarjeta inteligente ajena o instrumento destinado a los mismos fines, o el que utilice indebidamente

                                                                                     Auditoria de Sistemas
                                                                                   Prof. Zoraivett Rodriguez
6

tecnologías de información para requerir la obtención de cualquier efecto, bien o servicio; o para
proveer su pago sin erogar o asumir el compromiso de pago de la contraprestación debida, será
castigado con prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias.

Artículo 16 Manejo Fraudulento de Tarjetas Inteligentes o Instrumentos Análogos Toda persona que por
cualquier medio, cree, capture, grabe, copie, altere, duplique o elimine la data o información contenidas
en una tarjeta inteligente o en cualquier instrumento destinado a los mismos fines; o la persona que,
mediante cualquier uso indebido de tecnologías de información, cree, capture, duplique o altere la data
o información en un sistema, con el objeto de incorporar usuarios, cuentas, registros o consumos
inexistentes o modifique la cuantía de éstos, será penada con prisión de cinco a diez años y multa de
quinientas a mil unidades tributarias.

En la misma pena incurrirá quien, sin haber tomado parte en los hechos anteriores, adquiera,
comercialice, posea, distribuya, venda o realice cualquier tipo de intermediación de tarjetas inteligentes
o instrumentos destinados al mismo fin, o de la data o información contenidas en ellos o en un sistema.

Artículo 17 Apropiación de Tarjetas Inteligentes o Instrumentos Análogos Quien se apropie de una
tarjeta inteligente o instrumento destinado a los mismos fines, que se haya perdido, extraviado o que
haya sido entregado por equivocación, con el fin de retenerlo, usarlo, venderlo o transferirlo a una
persona distinta del usuario autorizado o entidad emisora, será penado con prisión de uno a cinco años y
multa de diez a cincuenta unidades tributarias.

La misma pena se impondrá a quien adquiera o reciba la tarjeta o instrumento a que se refiere el
presente artículo.

Artículo 18 Provisión Indebida de Bienes o Servicios Todo aquel que, a sabiendas de que una tarjeta
inteligente o instrumento destinado a los mismos fines, se encuentra vencido, revocado; se haya
indebidamente obtenido, retenido, falsificado, alterado; provea a quien los presente de dinero, efectos,
bienes o servicios, o cualquier otra cosa de valor económico será penado con prisión de dos a seis años y
multa de doscientas a seiscientas unidades tributarias.

Artículo 19 Posesión de Equipo para Falsificaciones Todo aquel que sin estar debidamente autorizado
para emitir, fabricar o distribuir tarjetas inteligentes o instrumentos análogos, reciba, adquiera, posea,
transfiera, comercialice, distribuya, venda, controle o custodie cualquier equipo de fabricación de
tarjetas inteligentes o de instrumentos destinados a los mismos fines, o cualquier equipo o componente
que capture, grabe, copie o transmita la data o información de dichas tarjetas o instrumentos, será
penado con prisión de tres a seis años y multa de trescientas a seiscientas unidades tributarias.

Capítulo III

De los Delitos Contra la Privacidad de las Personas y de las

Comunicaciones

Artículo 20 Violación de la Privacidad de la Data o Información de Carácter Personal Toda persona que
intencionalmente se apodere, utilice, modifique o elimine por cualquier medio, sin el consentimiento de

                                                                                  Auditoria de Sistemas
                                                                                 Prof. Zoraivett Rodriguez
7

su dueño, la data o información personales de otro o sobre las cuales tenga interés legítimo, que estén
incorporadas en un computador o sistema que utilice tecnologías de información, será penada con
prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias.

La pena se incrementará de un tercio a la mitad si como consecuencia de los hechos anteriores resultare
un perjuicio para el titular de la data o información o para un tercero.

Artículo 21 Violación de la Privacidad de las Comunicaciones Toda persona que mediante el uso de
tecnologías de información, acceda, capture, intercepte, interfiera, reproduzca, modifique, desvíe o
elimine cualquier mensaje de datos o señal de transmisión o comunicación ajena, será sancionada con
prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias.

Artículo 22 Revelación Indebida de Data o Información de Carácter Personal Quien revele, difunda o
ceda, en todo o en parte, los hechos descubiertos, las imágenes, el audio o, en general, la data o
información obtenidos por alguno de los medios indicados en los artículos 20 y 21, será sancionado con
prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias.

Si la revelación, difusión o cesión se hubieren realizado con un fin de lucro, o si resultare algún perjuicio
para otro, la pena se aumentará de un tercio a la mitad.

Capítulo IV

De los Delitos Contra Niños, Niñas o Adolescentes

Artículo 23 Difusión o Exhibición de Material Pornográfico Todo aquel que, por cualquier medio que
involucre el uso de tecnologías de información, exhiba, difunda, transmita o venda material pornográfico
o reservado a personas adultas, sin realizar previamente las debidas advertencias para que el usuario
restrinja el acceso a niños, niñas y adolescentes, será sancionado con prisión de dos a seis años y multa
de doscientas a seiscientas unidades tributarias.

Artículo 24 Exhibición Pornográfica de Niños o Adolescentes Toda persona que por cualquier medio que
involucre el uso de tecnologías de información, utilice a la persona o imagen de un niño, niña o
adolescente con fines exhibicionistas o pornográficos, será penada con prisión de cuatro a ocho años y
multa de cuatrocientas a ochocientas unidades tributarias.

Capítulo V

De los Delitos Contra el Orden Económico

Artículo 25 Apropiación de Propiedad Intelectual Quien sin autorización de su propietario y con el fin de
obtener algún provecho económico, reproduzca, modifique, copie, distribuya o divulgue un software u
otra obra del intelecto que haya obtenido mediante el acceso a cualquier sistema que utilice tecnologías
de información, será sancionado con prisión de uno a cinco años y multa de cien a quinientas unidades
tributarias.




                                                                                     Auditoria de Sistemas
                                                                                   Prof. Zoraivett Rodriguez
8

Artículo 26 Oferta Engañosa Toda persona que ofrezca, comercialice o provea de bienes o servicios,
mediante el uso de tecnologías de información, y haga alegaciones falsas o atribuya características
inciertas a cualquier elemento de dicha oferta, de modo que pueda resultar algún perjuicio para los
consumidores, será sancionada con prisión de uno a cinco años y multa de cien a quinientas unidades
tributarias, sin perjuicio de la comisión de un delito más grave.

TITULO III

DISPOSICIONES COMUNES

Artículo 27 Agravantes La pena correspondiente a los delitos previstos en la presente Ley se
incrementará entre un tercio y la mitad: 1. Si para la realización del hecho se hubiere hecho uso de
alguna contraseña ajena indebidamente obtenida, quitada, retenida o que se hubiere perdido.

2. Si el hecho hubiere sido cometido mediante el abuso de la posición de acceso a data o información
reservada, o al conocimiento privilegiado de contraseñas, en razón del ejercicio de un cargo o función.

Artículo 28 Agravante Especial La sanción aplicable a las personas jurídicas por los delitos cometidos en
las condiciones señaladas en el artículo 5 de esta Ley, será únicamente de multa, pero por el doble del
monto establecido para el referido delito.

Artículo 29 Penas Accesorias Además de las penas principales previstas en los capítulos anteriores, se
impondrán, necesariamente sin perjuicio de las establecidas en el Código Penal, las penas accesorias
siguientes:

1. El comiso de equipos, dispositivos, instrumentos, materiales, útiles, herramientas y cualquier otro
objeto que hayan sido utilizados para la comisión de los delitos previstos en los artículos 10 y 19 de la
presente Ley.

2. El trabajo comunitario por el término de hasta tres años en los casos de los delitos previstos en los
artículos 6 y 8 de esta Ley.

3. La inhabilitación para el ejercicio de funciones o empleos públicos; para el ejercicio de la profesión,
arte o industria; o para laborar en instituciones o empresas del ramo por un período de hasta tres (3)
años después de cumplida o conmutada la sanción principal, cuando el delito se haya cometido con
abuso de la posición de acceso a data o información reservadas, o al conocimiento privilegiado de
contraseñas, en razón del ejercicio de un cargo o función públicas, del ejercicio privado de una profesión
u oficio, o del desempeño en una institución o empresa privada, respectivamente.

4. La suspensión del permiso, registro o autorización para operar o para el ejercicio de cargos directivos y
de representación de personas jurídicas vinculadas con el uso de tecnologías de información, hasta por
el período de tres (3) años después de cumplida o conmutada la sanción principal, si para cometer el
delito el agente se hubiere valido o hubiere hecho figurar a una persona jurídica.

Artículo 30 Divulgación de la Sentencia Condenatoria El Tribunal podrá además, disponer la publicación
o difusión de la sentencia condenatoria por el medio que considere más idóneo.

                                                                                    Auditoria de Sistemas
                                                                                  Prof. Zoraivett Rodriguez
9

Artículo 31 Indemnización Civil En los casos de condena por cualquiera de los delitos previstos en los
Capítulos II y V de esta Ley, el Juez impondrá en la sentencia una indemnización en favor de la víctima
por un monto equivalente al daño causado. Para la determinación del monto de la indemnización
acordada, el juez requerirá del auxilio de expertos.

TITULO IV

DISPOSICIONES FINALES

Artículo 32 Vigencia La presente Ley entrará en vigencia, treinta días después de su publicación en la
Gaceta Oficial de la República Bolivariana de Venezuela.

Artículo 33 Derogatoria Se deroga cualquier disposición que colida con la presente Ley.

Auditor de Sistemas:

El auditor informático como encargado de la verificación y certificación de la informática dentro de las
organizaciones, deberá contar con un perfil que le permita poder desempeñar su trabajo con la calidad y
la efectividad esperada. Debe tener conocimiento de los siguientes elementos:

Conocimientos Generales:

     Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las
      plataformas existentes en la organización.
     Normas estándares para la auditoría interna.
     Políticas organizacionales sobre la información y las tecnologías de la información.
     Características de la organización respecto a la ética, estructura organizacional, tipo de
      supervisión existente, compensaciones monetarias a los empleados, extensión de la presión
      laboral sobre los empleados, historia de la organización, cambios recientes en la administración,
      operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la
      organización.
     Mantenerse permanentemente actualizado sobre legislación, normas, actividad de la empresa u
      organismo.

Herramientas:

     Herramientas de control y verificación de la seguridad
     Herramientas de monitoreo de actividades

Técnicas:

       Técnicas de evaluación de riesgos
       Muestreo
       Calculo pos operación
       Monitoreo de actividades
       Recopilación de grandes cantidades de información

                                                                                  Auditoria de Sistemas
                                                                                Prof. Zoraivett Rodriguez
10

     Verificación de desviaciones en el comportamiento de la data.
     Análisis e interpretación de evidencia

Aspectos Personales:
    Manejo global de cada situación.
    No ajustarse a pautas rígidas.
    Receptividad mental.
    Capacidad de análisis lógico.
    Creatividad.
    Espíritu de observación
    Sensatez de juicio.
    Manejo de las relaciones con los auditados.
    Sentido común.
    Espíritu docente.
    Lograr la aceptación del auditado.
    Independencia de criterio.


Conceptos de Auditoría de Sistemas
La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oir y
revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y
eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de
acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la
forma de actuación.

Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la revisión,
evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el
ambiente computacional y los sistemas.

A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia:

Auditoría de Sistemas es:

   La verificación de controles en el procesamiento de la información, desarrollo de sistemas e
    instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.
   La actividad dirigida a verificar y juzgar información.
   El examen y evaluación de los procesos del Area de Procesamiento automático de Datos (PAD) y de
    la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia,
    efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y
    recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.
   El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado:




                                                                                     Auditoria de Sistemas
                                                                                   Prof. Zoraivett Rodriguez
11

                                Daños

Salvaguarda activos             Destrucción

                                Uso no autorizado

                                Robo



Mantiene Integridad de          Información Precisa,

los datos                       Completa

                                Oportuna

                                Confiable



Alcanza metas                   Contribución de la

organizacionales                función informática



Consume recursos                Utiliza los recursos adecuadamente

eficientemente                  en el procesamiento de la información



       Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático
        (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos,
        procedimientos e informes relacionados con los sistemas de información computarizados, con el
        fin de emitir una opinión profesional (imparcial) con respecto a:


           Eficiencia en el uso de los recursos informáticos
           Validez de la información
           Efectividad de los controles establecidos

Tipos de Auditoría


Existen algunos tipos de auditoría entre las que la Auditoría de Sistemas integra un mundo paralelo pero
diferente y peculiar resaltando su enfoque a la función informática.

Es necesario recalcar como análisis de este cuadro que Auditoría de Sistemas no es lo mismo que
Auditoría Financiera.

Entre los principales enfoques de Auditoría tenemos los siguientes:

                                                                                 Auditoria de Sistemas
                                                                               Prof. Zoraivett Rodriguez
12



Financiera       Veracidad de estados financieros

                 Preparación de informes de acuerdo a principios contables



                 Evalúa la eficiencia,

Operacional      Eficacia

                 Economía

                 de los métodos y procedimientos que rigen un proceso de una empresa



Sistemas         Se preocupa de la función informática



Fiscal           Se dedica a observar el cumplimiento de

                 las leyes fiscales



Administrativa              Analiza:

                            Logros de los objetivos de la Administración

                            Desempeño de funciones administrativas



                 Evalúa:

Calidad          Métodos

                 Mediciones

                 Controles

                 de los bienes y servicios



                 Revisa la contribución a la sociedad

Social           así como la participación en actividades

                 socialmente orientadas

                                                                               Auditoria de Sistemas
                                                                             Prof. Zoraivett Rodriguez
13

Auditoría Interna y Auditoría Externa:

 La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa
auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna
existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier
momento.

  Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada; es siempre
remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor
distanciamiento entre auditores y auditados.

  La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto de
la auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales. La
auditoría interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales,
como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan
a las Auditorías, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su
trabajo.

  En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades
técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer lo
más adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informática y ésta
necesita que su propia gestión esté sometida a los mismos Procedimientos y estándares que el resto de
aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático.

  En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoría propia y
permanente, mientras que el resto acuden a las auditorías externas. Puede ser que algún profesional
informático sea trasladado desde su puesto de trabajo a la Auditoría Interna de la empresa cuando ésta
existe. Finalmente, la propia Informática requiere de su propio grupo de Control Interno, con
implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no
sería independiente. Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y
con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de
Información de las Empresas.

 Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios
de auditoría externa. Las razones para hacerlo suelen ser:

     Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no
      están suficientemente capacitados.
     Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión
      interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa.
     Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la
      misma empresa.
     Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la
      misma empresa, por lo tanto, es necesario que se le realicen auditorías externas como para tener
      una visión desde afuera de la empresa.


 La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier
contenido o matiz “político” ajeno a la propia estrategia y política general de la empresa. La función
                                                                                  Auditoria de Sistemas
                                                                                Prof. Zoraivett Rodriguez
14

auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por
encargo de la dirección o cliente.

Síntomas de Necesidad de una Auditoría Informática:


 Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad.
Estos síntomas pueden agruparse en clases:
 Síntomas de descoordinación y desorganización:
    - No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.

    - Los estándares de productividad se desvían sensiblemente de los promedios conseguidos
    habitualmente.

    [Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna
    área o en la modificación de alguna Norma importante]

   Síntomas de mala imagen e insatisfacción de los usuarios:
        - No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los
terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse
diariamente a su disposición, etc.
    - No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario
    percibe que está abandonado y desatendido permanentemente.

    - No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas
    desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los
    resultados de Aplicaciones críticas y sensibles.

   Síntomas de debilidades económico-financiero:
        - Incremento desmesurado de costes.
    - Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente
    convencida de tal necesidad y decide contrastar opiniones).

    - Desviaciones Presupuestarias significativas.

        - Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de
Proyectos y al órgano que realizó la petición).
 Síntomas de Inseguridad: Evaluación de nivel de riesgos
        - Seguridad Lógica
        - Seguridad Física
        - Confidencialidad
        [Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal
son especialmente confidenciales]
        - Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las
estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales.
        - Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería
prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido
por el mínimo indicio.


                                                                                    Auditoria de Sistemas
                                                                                  Prof. Zoraivett Rodriguez
15

*Planes de Contingencia:

 Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar?
Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea
doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinas
paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es
decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En este
caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir
operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que
estipule la empresa, y después se van reciclando.


Objetivos Generales de una Auditoría de Sistemas


   Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados
    e implantados por el PAD


   Incrementar la satisfacción de los usuarios de los sistemas computarizados


   Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la
    recomendación de seguridades y controles.


   Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr
    los objetivos propuestos.


   Seguridad de personal, datos, hardware, software e instalaciones


   Apoyo de función informática a las metas y objetivos de la organización


   Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático


   Minimizar existencias de riesgos en el uso de Tecnología de información


   Decisiones de inversión y gastos innecesarios


   Capacitación y educación sobre controles en los Sistemas de Información




                                                                                   Auditoria de Sistemas
                                                                                 Prof. Zoraivett Rodriguez
16



Justificativos para efectuar una Auditoría de Sistemas


   Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de
    Datos)


   Desconocimiento en el nivel directivo de la situación informática de la empresa


   Falta total o parcial de seguridades lógicas y fisicas que garanticen la integridad del personal, equipos
    e información.


   Descubrimiento de fraudes efectuados con el computador


   Falta de una planificación informática


   Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología,
    asignación de tareas y adecuada administración del Recurso Humano


   Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados


   Falta de documentación o documentación incompleta de sistemas que revela la dificultad de
    efectuar el mantenimiento de los sistemas en producción




                                                                                     Auditoria de Sistemas
                                                                                   Prof. Zoraivett Rodriguez

Más contenido relacionado

La actualidad más candente

Delito informatico
Delito informaticoDelito informatico
Delito informatico
zjig1414
 
REVISTA- Riesgo y Seguridad de las Computadoras
REVISTA- Riesgo y Seguridad de las ComputadorasREVISTA- Riesgo y Seguridad de las Computadoras
REVISTA- Riesgo y Seguridad de las Computadoras
SophiaLopez30
 
hackers
hackershackers
hackers
inry rosa
 
Revista de informatica
Revista de informaticaRevista de informatica
Revista de informatica
Gleydis1
 
Aspectos negativos de la informática
Aspectos negativos de la informáticaAspectos negativos de la informática
Aspectos negativos de la informática
sthfa
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informáticos
Delitos informáticosDelitos informáticos
Delitos informáticos
CNEL Regional Bolivar
 
Tarea 1 Modulo I Jimmy Muñoz Bravo
Tarea 1 Modulo I  Jimmy Muñoz BravoTarea 1 Modulo I  Jimmy Muñoz Bravo
Tarea 1 Modulo I Jimmy Muñoz Bravo
Jleon Consultores
 
Virus y fraudes. Glosario.
Virus y fraudes. Glosario.Virus y fraudes. Glosario.
Virus y fraudes. Glosario.
Gabrielavalentinova
 
Delincuentes informaticos (2)
Delincuentes informaticos (2)Delincuentes informaticos (2)
Delincuentes informaticos (2)
clarar102
 
El Cibercrimen y delitos informaticos
El Cibercrimen y delitos informaticosEl Cibercrimen y delitos informaticos
El Cibercrimen y delitos informaticos
guest225f3bd
 
Juan david quevedo gonzalez, edwin niño, william acosta id´s 637251 636160 6...
Juan david quevedo gonzalez, edwin niño, william acosta id´s  637251 636160 6...Juan david quevedo gonzalez, edwin niño, william acosta id´s  637251 636160 6...
Juan david quevedo gonzalez, edwin niño, william acosta id´s 637251 636160 6...
David Quevedo
 
Virus
VirusVirus
El cibercrimen
El cibercrimen El cibercrimen
El cibercrimen
Pedro José Cova Manrique
 
Tipos de ataques informáticos
Tipos de ataques informáticosTipos de ataques informáticos
Tipos de ataques informáticos
Pablo Cardenas Catalan
 
Riesgo y seguridad en los computadores
Riesgo y seguridad en los computadoresRiesgo y seguridad en los computadores
Riesgo y seguridad en los computadores
Nelson R Morales M
 
Legislacion 5
Legislacion 5Legislacion 5
Legislacion 5
Ismael Caro
 
N8 acceso no autorizado a equipos de computo y de telecomunicaciones
N8 acceso no autorizado a equipos de computo y de telecomunicacionesN8 acceso no autorizado a equipos de computo y de telecomunicaciones
N8 acceso no autorizado a equipos de computo y de telecomunicaciones
MartinParraOlvera
 
Tipos de ataques informaticos
Tipos de ataques informaticosTipos de ataques informaticos
Tipos de ataques informaticos
Oscar Eduardo
 
Ataques Y Vulnerabilidad
Ataques Y VulnerabilidadAtaques Y Vulnerabilidad
Ataques Y Vulnerabilidad
pachiuss
 

La actualidad más candente (20)

Delito informatico
Delito informaticoDelito informatico
Delito informatico
 
REVISTA- Riesgo y Seguridad de las Computadoras
REVISTA- Riesgo y Seguridad de las ComputadorasREVISTA- Riesgo y Seguridad de las Computadoras
REVISTA- Riesgo y Seguridad de las Computadoras
 
hackers
hackershackers
hackers
 
Revista de informatica
Revista de informaticaRevista de informatica
Revista de informatica
 
Aspectos negativos de la informática
Aspectos negativos de la informáticaAspectos negativos de la informática
Aspectos negativos de la informática
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
 
Delitos informáticos
Delitos informáticosDelitos informáticos
Delitos informáticos
 
Tarea 1 Modulo I Jimmy Muñoz Bravo
Tarea 1 Modulo I  Jimmy Muñoz BravoTarea 1 Modulo I  Jimmy Muñoz Bravo
Tarea 1 Modulo I Jimmy Muñoz Bravo
 
Virus y fraudes. Glosario.
Virus y fraudes. Glosario.Virus y fraudes. Glosario.
Virus y fraudes. Glosario.
 
Delincuentes informaticos (2)
Delincuentes informaticos (2)Delincuentes informaticos (2)
Delincuentes informaticos (2)
 
El Cibercrimen y delitos informaticos
El Cibercrimen y delitos informaticosEl Cibercrimen y delitos informaticos
El Cibercrimen y delitos informaticos
 
Juan david quevedo gonzalez, edwin niño, william acosta id´s 637251 636160 6...
Juan david quevedo gonzalez, edwin niño, william acosta id´s  637251 636160 6...Juan david quevedo gonzalez, edwin niño, william acosta id´s  637251 636160 6...
Juan david quevedo gonzalez, edwin niño, william acosta id´s 637251 636160 6...
 
Virus
VirusVirus
Virus
 
El cibercrimen
El cibercrimen El cibercrimen
El cibercrimen
 
Tipos de ataques informáticos
Tipos de ataques informáticosTipos de ataques informáticos
Tipos de ataques informáticos
 
Riesgo y seguridad en los computadores
Riesgo y seguridad en los computadoresRiesgo y seguridad en los computadores
Riesgo y seguridad en los computadores
 
Legislacion 5
Legislacion 5Legislacion 5
Legislacion 5
 
N8 acceso no autorizado a equipos de computo y de telecomunicaciones
N8 acceso no autorizado a equipos de computo y de telecomunicacionesN8 acceso no autorizado a equipos de computo y de telecomunicaciones
N8 acceso no autorizado a equipos de computo y de telecomunicaciones
 
Tipos de ataques informaticos
Tipos de ataques informaticosTipos de ataques informaticos
Tipos de ataques informaticos
 
Ataques Y Vulnerabilidad
Ataques Y VulnerabilidadAtaques Y Vulnerabilidad
Ataques Y Vulnerabilidad
 

Destacado

Oib 34 low (2)
Oib 34 low (2)Oib 34 low (2)
Oib 34 low (2)
CCIRouen
 
2014_1_ciAvanzRecursEspEduc
2014_1_ciAvanzRecursEspEduc2014_1_ciAvanzRecursEspEduc
Ff75 c 131122-brillergrâceauxtalentslatents
Ff75 c 131122-brillergrâceauxtalentslatentsFf75 c 131122-brillergrâceauxtalentslatents
Ff75 c 131122-brillergrâceauxtalentslatents
groupeqpc44
 
Préparation à l'Examen Géosciences (Licence première année - Université Lyon 1)
Préparation à l'Examen Géosciences (Licence première année - Université Lyon 1)Préparation à l'Examen Géosciences (Licence première année - Université Lyon 1)
Préparation à l'Examen Géosciences (Licence première année - Université Lyon 1)
Nicolas Coltice
 
2014_1_ciAvanzInfolibre
2014_1_ciAvanzInfolibre2014_1_ciAvanzInfolibre
Sexualidad responsable
Sexualidad responsableSexualidad responsable
Sexualidad responsable
juliocmb07
 
2012_2_ciBasico_Tema5FuentesHistoriaDelArte
2012_2_ciBasico_Tema5FuentesHistoriaDelArte2012_2_ciBasico_Tema5FuentesHistoriaDelArte
2012_2_ciBasico_Tema5FuentesHistoriaDelArte
Biblioteca d'Humanitats, Universitat de València
 
Gestion y consult a 12 1
Gestion y consult  a 12  1Gestion y consult  a 12  1
Gestion y consult a 12 1
Armandofinanzas
 
Comment les Smartphones influencent nos comportements d'achat ?
Comment les Smartphones influencent nos comportements d'achat ?Comment les Smartphones influencent nos comportements d'achat ?
Comment les Smartphones influencent nos comportements d'achat ?
Clément Hurstel
 
cpt_codes-1
cpt_codes-1cpt_codes-1
cpt_codes-1
Rashid Rashid
 
El futuro de las computadoras
El futuro de las computadorasEl futuro de las computadoras
El futuro de las computadoras
Edwin Uni
 
Trabajo escrito
Trabajo escritoTrabajo escrito
Trabajo escrito
lalombriss
 
Carrières
CarrièresCarrières
Carrières
Alaa0394
 
Cerveza
CervezaCerveza
Fuentes de energías renovables
Fuentes de energías renovablesFuentes de energías renovables
Fuentes de energías renovables
messizakarias
 
4º 1ªu.d lo primero calentar
4º 1ªu.d lo primero calentar4º 1ªu.d lo primero calentar
4º 1ªu.d lo primero calentar
Juan del Valle
 
Présentation le sac publicitaire
Présentation le sac publicitairePrésentation le sac publicitaire
Présentation le sac publicitaire
sac-embal
 
Cuales son los detonantes para que se conviertan en hikikomoris
Cuales son los detonantes para que se conviertan en hikikomorisCuales son los detonantes para que se conviertan en hikikomoris
Cuales son los detonantes para que se conviertan en hikikomoris
Adilene Moya
 
2014_1_ciAvanzTema1HerramientasComunicacionUV
2014_1_ciAvanzTema1HerramientasComunicacionUV2014_1_ciAvanzTema1HerramientasComunicacionUV
2014_1_ciAvanzTema1HerramientasComunicacionUV
Biblioteca d'Humanitats, Universitat de València
 
Proyecto plp
Proyecto plpProyecto plp
Proyecto plp
hugodiaz76
 

Destacado (20)

Oib 34 low (2)
Oib 34 low (2)Oib 34 low (2)
Oib 34 low (2)
 
2014_1_ciAvanzRecursEspEduc
2014_1_ciAvanzRecursEspEduc2014_1_ciAvanzRecursEspEduc
2014_1_ciAvanzRecursEspEduc
 
Ff75 c 131122-brillergrâceauxtalentslatents
Ff75 c 131122-brillergrâceauxtalentslatentsFf75 c 131122-brillergrâceauxtalentslatents
Ff75 c 131122-brillergrâceauxtalentslatents
 
Préparation à l'Examen Géosciences (Licence première année - Université Lyon 1)
Préparation à l'Examen Géosciences (Licence première année - Université Lyon 1)Préparation à l'Examen Géosciences (Licence première année - Université Lyon 1)
Préparation à l'Examen Géosciences (Licence première année - Université Lyon 1)
 
2014_1_ciAvanzInfolibre
2014_1_ciAvanzInfolibre2014_1_ciAvanzInfolibre
2014_1_ciAvanzInfolibre
 
Sexualidad responsable
Sexualidad responsableSexualidad responsable
Sexualidad responsable
 
2012_2_ciBasico_Tema5FuentesHistoriaDelArte
2012_2_ciBasico_Tema5FuentesHistoriaDelArte2012_2_ciBasico_Tema5FuentesHistoriaDelArte
2012_2_ciBasico_Tema5FuentesHistoriaDelArte
 
Gestion y consult a 12 1
Gestion y consult  a 12  1Gestion y consult  a 12  1
Gestion y consult a 12 1
 
Comment les Smartphones influencent nos comportements d'achat ?
Comment les Smartphones influencent nos comportements d'achat ?Comment les Smartphones influencent nos comportements d'achat ?
Comment les Smartphones influencent nos comportements d'achat ?
 
cpt_codes-1
cpt_codes-1cpt_codes-1
cpt_codes-1
 
El futuro de las computadoras
El futuro de las computadorasEl futuro de las computadoras
El futuro de las computadoras
 
Trabajo escrito
Trabajo escritoTrabajo escrito
Trabajo escrito
 
Carrières
CarrièresCarrières
Carrières
 
Cerveza
CervezaCerveza
Cerveza
 
Fuentes de energías renovables
Fuentes de energías renovablesFuentes de energías renovables
Fuentes de energías renovables
 
4º 1ªu.d lo primero calentar
4º 1ªu.d lo primero calentar4º 1ªu.d lo primero calentar
4º 1ªu.d lo primero calentar
 
Présentation le sac publicitaire
Présentation le sac publicitairePrésentation le sac publicitaire
Présentation le sac publicitaire
 
Cuales son los detonantes para que se conviertan en hikikomoris
Cuales son los detonantes para que se conviertan en hikikomorisCuales son los detonantes para que se conviertan en hikikomoris
Cuales son los detonantes para que se conviertan en hikikomoris
 
2014_1_ciAvanzTema1HerramientasComunicacionUV
2014_1_ciAvanzTema1HerramientasComunicacionUV2014_1_ciAvanzTema1HerramientasComunicacionUV
2014_1_ciAvanzTema1HerramientasComunicacionUV
 
Proyecto plp
Proyecto plpProyecto plp
Proyecto plp
 

Similar a Unidad I

Tipos de delitos informáticos dados a conocer por
Tipos de delitos informáticos dados a conocer porTipos de delitos informáticos dados a conocer por
Tipos de delitos informáticos dados a conocer por
Angel_744
 
delitos informaticos
delitos informaticosdelitos informaticos
delitos informaticos
yessikabuendia16
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
valentsanchez
 
Informatica
InformaticaInformatica
Informatica
jesanto
 
Informatica
InformaticaInformatica
Informatica
jesanto
 
Delitos informativos
Delitos informativosDelitos informativos
Delitos informativos
Denis A. Aguilar Cabrera
 
Resumen delitos informáticos delatorre
Resumen delitos informáticos delatorreResumen delitos informáticos delatorre
Resumen delitos informáticos delatorre
Janet De la Torre
 
Andrade francisco
Andrade  franciscoAndrade  francisco
Andrade francisco
Francisco Andrade
 
Delitos iformaticos mas comunes
Delitos iformaticos mas comunesDelitos iformaticos mas comunes
Delitos iformaticos mas comunes
CARLOSLEO8
 
Delitos iformaticos mas comunes
Delitos iformaticos mas comunesDelitos iformaticos mas comunes
Delitos iformaticos mas comunes
CARLOSLEO8
 
Presentacion de jose miguel torres
Presentacion de jose miguel torresPresentacion de jose miguel torres
Presentacion de jose miguel torres
jose miguel torres
 
4ta tarea delitos informaticos 02 2019
4ta tarea delitos informaticos 02 20194ta tarea delitos informaticos 02 2019
4ta tarea delitos informaticos 02 2019
Maryori Osto
 
Delitos informáticos
Delitos informáticosDelitos informáticos
Delitos informáticos
kikeper
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos Informaticos
xsercom
 
SISTEMA INFORMATICO
SISTEMA INFORMATICOSISTEMA INFORMATICO
SISTEMA INFORMATICO
LiZzy Alcivar
 
delitos informaticos
delitos informaticosdelitos informaticos
delitos informaticos
yennifer perez
 
Presentación delitos informaticos
Presentación delitos informaticosPresentación delitos informaticos
Presentación delitos informaticos
yennifer perez
 
Grupo3
Grupo3Grupo3
Grupo3
hijabella
 
Grupo3
Grupo3Grupo3
Grupo3
hijabella
 
delitos informaticos
delitos informaticosdelitos informaticos
delitos informaticos
inry rosa
 

Similar a Unidad I (20)

Tipos de delitos informáticos dados a conocer por
Tipos de delitos informáticos dados a conocer porTipos de delitos informáticos dados a conocer por
Tipos de delitos informáticos dados a conocer por
 
delitos informaticos
delitos informaticosdelitos informaticos
delitos informaticos
 
Delitos informaticos
Delitos informaticosDelitos informaticos
Delitos informaticos
 
Informatica
InformaticaInformatica
Informatica
 
Informatica
InformaticaInformatica
Informatica
 
Delitos informativos
Delitos informativosDelitos informativos
Delitos informativos
 
Resumen delitos informáticos delatorre
Resumen delitos informáticos delatorreResumen delitos informáticos delatorre
Resumen delitos informáticos delatorre
 
Andrade francisco
Andrade  franciscoAndrade  francisco
Andrade francisco
 
Delitos iformaticos mas comunes
Delitos iformaticos mas comunesDelitos iformaticos mas comunes
Delitos iformaticos mas comunes
 
Delitos iformaticos mas comunes
Delitos iformaticos mas comunesDelitos iformaticos mas comunes
Delitos iformaticos mas comunes
 
Presentacion de jose miguel torres
Presentacion de jose miguel torresPresentacion de jose miguel torres
Presentacion de jose miguel torres
 
4ta tarea delitos informaticos 02 2019
4ta tarea delitos informaticos 02 20194ta tarea delitos informaticos 02 2019
4ta tarea delitos informaticos 02 2019
 
Delitos informáticos
Delitos informáticosDelitos informáticos
Delitos informáticos
 
Delitos Informaticos
Delitos InformaticosDelitos Informaticos
Delitos Informaticos
 
SISTEMA INFORMATICO
SISTEMA INFORMATICOSISTEMA INFORMATICO
SISTEMA INFORMATICO
 
delitos informaticos
delitos informaticosdelitos informaticos
delitos informaticos
 
Presentación delitos informaticos
Presentación delitos informaticosPresentación delitos informaticos
Presentación delitos informaticos
 
Grupo3
Grupo3Grupo3
Grupo3
 
Grupo3
Grupo3Grupo3
Grupo3
 
delitos informaticos
delitos informaticosdelitos informaticos
delitos informaticos
 

Más de joseaunefa

Tecnica de auditoria
Tecnica de auditoriaTecnica de auditoria
Tecnica de auditoria
joseaunefa
 
Tecnicas de auditoria
Tecnicas de auditoriaTecnicas de auditoria
Tecnicas de auditoria
joseaunefa
 
Tecnicas de auditoria
Tecnicas de auditoriaTecnicas de auditoria
Tecnicas de auditoria
joseaunefa
 
Proceso de auditoria
Proceso de auditoriaProceso de auditoria
Proceso de auditoria
joseaunefa
 
Técnicas de evaluación
Técnicas de evaluaciónTécnicas de evaluación
Técnicas de evaluación
joseaunefa
 
Metodologia para realizar auditorias
Metodologia para realizar auditoriasMetodologia para realizar auditorias
Metodologia para realizar auditorias
joseaunefa
 
Unidad IV
Unidad IVUnidad IV
Unidad IV
joseaunefa
 
Unidad III
Unidad IIIUnidad III
Unidad III
joseaunefa
 
Unidad II
Unidad IIUnidad II
Unidad II
joseaunefa
 
Herramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticaHerramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informática
joseaunefa
 

Más de joseaunefa (10)

Tecnica de auditoria
Tecnica de auditoriaTecnica de auditoria
Tecnica de auditoria
 
Tecnicas de auditoria
Tecnicas de auditoriaTecnicas de auditoria
Tecnicas de auditoria
 
Tecnicas de auditoria
Tecnicas de auditoriaTecnicas de auditoria
Tecnicas de auditoria
 
Proceso de auditoria
Proceso de auditoriaProceso de auditoria
Proceso de auditoria
 
Técnicas de evaluación
Técnicas de evaluaciónTécnicas de evaluación
Técnicas de evaluación
 
Metodologia para realizar auditorias
Metodologia para realizar auditoriasMetodologia para realizar auditorias
Metodologia para realizar auditorias
 
Unidad IV
Unidad IVUnidad IV
Unidad IV
 
Unidad III
Unidad IIIUnidad III
Unidad III
 
Unidad II
Unidad IIUnidad II
Unidad II
 
Herramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticaHerramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informática
 

Último

BLOQUE II SEMANA DE GESTION EN INSTITUVIONES EDUCATIVAS.pptx
BLOQUE II SEMANA DE GESTION EN INSTITUVIONES EDUCATIVAS.pptxBLOQUE II SEMANA DE GESTION EN INSTITUVIONES EDUCATIVAS.pptx
BLOQUE II SEMANA DE GESTION EN INSTITUVIONES EDUCATIVAS.pptx
royguzman5
 
🔴 (AC-S18) Semana 18 – TRABAJO FINAL (INFORMATICA APLICADA TERMINADO y revisa...
🔴 (AC-S18) Semana 18 – TRABAJO FINAL (INFORMATICA APLICADA TERMINADO y revisa...🔴 (AC-S18) Semana 18 – TRABAJO FINAL (INFORMATICA APLICADA TERMINADO y revisa...
🔴 (AC-S18) Semana 18 – TRABAJO FINAL (INFORMATICA APLICADA TERMINADO y revisa...
FernandoEstebanLlont
 
🔴 (AC-S18) Semana 18 -Tema 01Trabajo de Investigación - Contratos y franquici...
🔴 (AC-S18) Semana 18 -Tema 01Trabajo de Investigación - Contratos y franquici...🔴 (AC-S18) Semana 18 -Tema 01Trabajo de Investigación - Contratos y franquici...
🔴 (AC-S18) Semana 18 -Tema 01Trabajo de Investigación - Contratos y franquici...
FernandoEstebanLlont
 
ENFERMERIA TECNICA-FUNDAMENTOS DE SALUD.
ENFERMERIA TECNICA-FUNDAMENTOS DE SALUD.ENFERMERIA TECNICA-FUNDAMENTOS DE SALUD.
ENFERMERIA TECNICA-FUNDAMENTOS DE SALUD.
marluzsagar
 
Introducción a la seguridad básica (3 de julio de 2024)
Introducción a la seguridad básica (3 de julio de 2024)Introducción a la seguridad básica (3 de julio de 2024)
Introducción a la seguridad básica (3 de julio de 2024)
Cátedra Banco Santander
 
CLASES DE TERMINOS UTILIZADOS EN EL ALGEBRA
CLASES DE TERMINOS UTILIZADOS EN EL ALGEBRACLASES DE TERMINOS UTILIZADOS EN EL ALGEBRA
CLASES DE TERMINOS UTILIZADOS EN EL ALGEBRA
lizbetheac4599
 
Cómo utilizar YouTube para publicar y gestionar tus vídeos (3 de julio de 2024)
Cómo utilizar YouTube para publicar y gestionar tus vídeos (3 de julio de 2024)Cómo utilizar YouTube para publicar y gestionar tus vídeos (3 de julio de 2024)
Cómo utilizar YouTube para publicar y gestionar tus vídeos (3 de julio de 2024)
Cátedra Banco Santander
 
diapositivas paco yunque.pptx cartelera literaria
diapositivas paco yunque.pptx cartelera literariadiapositivas paco yunque.pptx cartelera literaria
diapositivas paco yunque.pptx cartelera literaria
TheeffitaSantosMedin
 
03. SESION PERSONAL-PRIMEROS POBLADORES DEL PERÚ.docx
03. SESION PERSONAL-PRIMEROS POBLADORES  DEL PERÚ.docx03. SESION PERSONAL-PRIMEROS POBLADORES  DEL PERÚ.docx
03. SESION PERSONAL-PRIMEROS POBLADORES DEL PERÚ.docx
Giuliana500489
 
Sesión Un día en el ministerio de Jesús.pdf
Sesión Un día en el ministerio de Jesús.pdfSesión Un día en el ministerio de Jesús.pdf
Sesión Un día en el ministerio de Jesús.pdf
https://gramadal.wordpress.com/
 
Matriz de relación mixta DO - Adaptación
Matriz de relación mixta DO - AdaptaciónMatriz de relación mixta DO - Adaptación
Matriz de relación mixta DO - Adaptación
JonathanCovena1
 
Introduccion-a-la-circunferencia area y longitud
Introduccion-a-la-circunferencia area y longitudIntroduccion-a-la-circunferencia area y longitud
Introduccion-a-la-circunferencia area y longitud
AsafHdez
 
Análisis y Evaluación del Impacto Ambiental.pdf
Análisis y Evaluación del Impacto Ambiental.pdfAnálisis y Evaluación del Impacto Ambiental.pdf
Análisis y Evaluación del Impacto Ambiental.pdf
JonathanCovena1
 
Semana 1 Derecho a interponer recursos y reparación.
Semana 1 Derecho a interponer recursos y reparación.Semana 1 Derecho a interponer recursos y reparación.
Semana 1 Derecho a interponer recursos y reparación.
SergioAlfrediMontoya
 
Fichero Léxico / Pandemia Lingüística / USCO
Fichero Léxico / Pandemia Lingüística / USCOFichero Léxico / Pandemia Lingüística / USCO
Fichero Léxico / Pandemia Lingüística / USCO
mariahernandez632951
 
LABERINTOS DE DISCIPLINAS OLÍMPICAS. Por JAVIER SOLIS NOYOLA
LABERINTOS DE DISCIPLINAS OLÍMPICAS.  Por JAVIER SOLIS NOYOLALABERINTOS DE DISCIPLINAS OLÍMPICAS.  Por JAVIER SOLIS NOYOLA
LABERINTOS DE DISCIPLINAS OLÍMPICAS. Por JAVIER SOLIS NOYOLA
JAVIER SOLIS NOYOLA
 
Taller intensivo de formación continua. Puebla.
Taller intensivo de formación continua. Puebla.Taller intensivo de formación continua. Puebla.
Taller intensivo de formación continua. Puebla.
OscarCruzyCruz
 
ACERTIJO MATEMÁTICO DEL MEDALLERO OLÍMPICO. Por JAVIER SOLIS NOYOLA
ACERTIJO MATEMÁTICO DEL MEDALLERO OLÍMPICO. Por JAVIER SOLIS NOYOLAACERTIJO MATEMÁTICO DEL MEDALLERO OLÍMPICO. Por JAVIER SOLIS NOYOLA
ACERTIJO MATEMÁTICO DEL MEDALLERO OLÍMPICO. Por JAVIER SOLIS NOYOLA
JAVIER SOLIS NOYOLA
 
Revista Universidad de Deusto - Número 155 / Año 2024
Revista Universidad de Deusto - Número 155 / Año 2024Revista Universidad de Deusto - Número 155 / Año 2024
Revista Universidad de Deusto - Número 155 / Año 2024
Universidad de Deusto - Deustuko Unibertsitatea - University of Deusto
 
Filigramma #17, revista literaria del Círculo de Escritores Sabersinfin
Filigramma #17, revista literaria del Círculo de Escritores SabersinfinFiligramma #17, revista literaria del Círculo de Escritores Sabersinfin
Filigramma #17, revista literaria del Círculo de Escritores Sabersinfin
Sabersinfin Portal
 

Último (20)

BLOQUE II SEMANA DE GESTION EN INSTITUVIONES EDUCATIVAS.pptx
BLOQUE II SEMANA DE GESTION EN INSTITUVIONES EDUCATIVAS.pptxBLOQUE II SEMANA DE GESTION EN INSTITUVIONES EDUCATIVAS.pptx
BLOQUE II SEMANA DE GESTION EN INSTITUVIONES EDUCATIVAS.pptx
 
🔴 (AC-S18) Semana 18 – TRABAJO FINAL (INFORMATICA APLICADA TERMINADO y revisa...
🔴 (AC-S18) Semana 18 – TRABAJO FINAL (INFORMATICA APLICADA TERMINADO y revisa...🔴 (AC-S18) Semana 18 – TRABAJO FINAL (INFORMATICA APLICADA TERMINADO y revisa...
🔴 (AC-S18) Semana 18 – TRABAJO FINAL (INFORMATICA APLICADA TERMINADO y revisa...
 
🔴 (AC-S18) Semana 18 -Tema 01Trabajo de Investigación - Contratos y franquici...
🔴 (AC-S18) Semana 18 -Tema 01Trabajo de Investigación - Contratos y franquici...🔴 (AC-S18) Semana 18 -Tema 01Trabajo de Investigación - Contratos y franquici...
🔴 (AC-S18) Semana 18 -Tema 01Trabajo de Investigación - Contratos y franquici...
 
ENFERMERIA TECNICA-FUNDAMENTOS DE SALUD.
ENFERMERIA TECNICA-FUNDAMENTOS DE SALUD.ENFERMERIA TECNICA-FUNDAMENTOS DE SALUD.
ENFERMERIA TECNICA-FUNDAMENTOS DE SALUD.
 
Introducción a la seguridad básica (3 de julio de 2024)
Introducción a la seguridad básica (3 de julio de 2024)Introducción a la seguridad básica (3 de julio de 2024)
Introducción a la seguridad básica (3 de julio de 2024)
 
CLASES DE TERMINOS UTILIZADOS EN EL ALGEBRA
CLASES DE TERMINOS UTILIZADOS EN EL ALGEBRACLASES DE TERMINOS UTILIZADOS EN EL ALGEBRA
CLASES DE TERMINOS UTILIZADOS EN EL ALGEBRA
 
Cómo utilizar YouTube para publicar y gestionar tus vídeos (3 de julio de 2024)
Cómo utilizar YouTube para publicar y gestionar tus vídeos (3 de julio de 2024)Cómo utilizar YouTube para publicar y gestionar tus vídeos (3 de julio de 2024)
Cómo utilizar YouTube para publicar y gestionar tus vídeos (3 de julio de 2024)
 
diapositivas paco yunque.pptx cartelera literaria
diapositivas paco yunque.pptx cartelera literariadiapositivas paco yunque.pptx cartelera literaria
diapositivas paco yunque.pptx cartelera literaria
 
03. SESION PERSONAL-PRIMEROS POBLADORES DEL PERÚ.docx
03. SESION PERSONAL-PRIMEROS POBLADORES  DEL PERÚ.docx03. SESION PERSONAL-PRIMEROS POBLADORES  DEL PERÚ.docx
03. SESION PERSONAL-PRIMEROS POBLADORES DEL PERÚ.docx
 
Sesión Un día en el ministerio de Jesús.pdf
Sesión Un día en el ministerio de Jesús.pdfSesión Un día en el ministerio de Jesús.pdf
Sesión Un día en el ministerio de Jesús.pdf
 
Matriz de relación mixta DO - Adaptación
Matriz de relación mixta DO - AdaptaciónMatriz de relación mixta DO - Adaptación
Matriz de relación mixta DO - Adaptación
 
Introduccion-a-la-circunferencia area y longitud
Introduccion-a-la-circunferencia area y longitudIntroduccion-a-la-circunferencia area y longitud
Introduccion-a-la-circunferencia area y longitud
 
Análisis y Evaluación del Impacto Ambiental.pdf
Análisis y Evaluación del Impacto Ambiental.pdfAnálisis y Evaluación del Impacto Ambiental.pdf
Análisis y Evaluación del Impacto Ambiental.pdf
 
Semana 1 Derecho a interponer recursos y reparación.
Semana 1 Derecho a interponer recursos y reparación.Semana 1 Derecho a interponer recursos y reparación.
Semana 1 Derecho a interponer recursos y reparación.
 
Fichero Léxico / Pandemia Lingüística / USCO
Fichero Léxico / Pandemia Lingüística / USCOFichero Léxico / Pandemia Lingüística / USCO
Fichero Léxico / Pandemia Lingüística / USCO
 
LABERINTOS DE DISCIPLINAS OLÍMPICAS. Por JAVIER SOLIS NOYOLA
LABERINTOS DE DISCIPLINAS OLÍMPICAS.  Por JAVIER SOLIS NOYOLALABERINTOS DE DISCIPLINAS OLÍMPICAS.  Por JAVIER SOLIS NOYOLA
LABERINTOS DE DISCIPLINAS OLÍMPICAS. Por JAVIER SOLIS NOYOLA
 
Taller intensivo de formación continua. Puebla.
Taller intensivo de formación continua. Puebla.Taller intensivo de formación continua. Puebla.
Taller intensivo de formación continua. Puebla.
 
ACERTIJO MATEMÁTICO DEL MEDALLERO OLÍMPICO. Por JAVIER SOLIS NOYOLA
ACERTIJO MATEMÁTICO DEL MEDALLERO OLÍMPICO. Por JAVIER SOLIS NOYOLAACERTIJO MATEMÁTICO DEL MEDALLERO OLÍMPICO. Por JAVIER SOLIS NOYOLA
ACERTIJO MATEMÁTICO DEL MEDALLERO OLÍMPICO. Por JAVIER SOLIS NOYOLA
 
Revista Universidad de Deusto - Número 155 / Año 2024
Revista Universidad de Deusto - Número 155 / Año 2024Revista Universidad de Deusto - Número 155 / Año 2024
Revista Universidad de Deusto - Número 155 / Año 2024
 
Filigramma #17, revista literaria del Círculo de Escritores Sabersinfin
Filigramma #17, revista literaria del Círculo de Escritores SabersinfinFiligramma #17, revista literaria del Círculo de Escritores Sabersinfin
Filigramma #17, revista literaria del Círculo de Escritores Sabersinfin
 

Unidad I

  • 1. 1 ELEMENTOS DE LA AUDITORIA DE SISTEMAS Delitos Informáticos Concepto: El delito informático implica actividades criminales que en un primer momento los países han tratado de encuadrar en figurar típicas de carácter tradicional, tales como robos o hurto, fraudes, falsificaciones, perjuicios, estafa, sabotaje, etcétera. Sin embargo, debe destacarse que el uso de las técnicas informáticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha propiciado a su vez la necesidad de regulación por parte del derecho. Las personas que cometen los "Delitos Informáticos" son aquellas que poseen ciertas características que no presentan el denominador común de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran en lugares estratégicos donde se maneja información de carácter sensible, o bien son hábiles en el uso de los sistemas informatizados, aún cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisión de este tipo de delitos. Con el tiempo se ha podido comprobar que los autores de los delitos informáticos son muy diversos y que lo que los diferencia entre sí es la naturaleza de los delitos cometidos. De esta forma, la persona que "ingresa" en un sistema informático sin intenciones delictivas es muy diferente del empleado de una institución financiera que desvía fondos de las cuentas de sus clientes. Características de los Delitos Informáticos: 1. Son conductas criminales de cuello blanco, en tanto que un determinado número de personas con ciertos conocimientos (técnicos especializados) puede llegar a cometerlos. 2. Son acciones ocupacionales, ya que muchas veces se llevan a cabo cuando el sujeto está trabajando. 3. Son acciones de oportunidad, ya que se aprovecha una acción creada o altamente intensificada en el mundo de funciones y organizaciones del sistema tecnológico y económico. 4. Provocan serias pérdidas económicas, ya que casi siempre producen “beneficios” de más de cinco cifras a aquellos que las realizan. 5. Ofrecen posibilidades de tiempo y espacio, ya que en milésimas de segundos y sin una necesaria presencia física pueden llegar a consumarse. 6. Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulación por parte del Derecho. 7. Son muy sofisticados y relativamente frecuentes en el ámbito familiar. 8. Presentan grandes dificultades para su comprobación, esto por su mismo carácter técnico. CLASIFICACION TIPOS DE DELITOS INFORMATICOS RECONOCIDOS POR NACIONES UNIDAS. CLASIFICACION SEGÚN LA ACTIVIDAD INFORMATICA****** Auditoria de Sistemas Prof. Zoraivett Rodriguez
  • 2. 2 DELITO CARACTERISTICAS Fraudes cometidos mediante manipulación de computadoras. Este tipo de fraude informático conocido también como sustracción de datos, Manipulación representa el delito informático más común ya que es fácil de cometer y difícil de de los datos de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede entrada realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos. Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos La programas o nuevas rutinas. Un método común utilizado por las personas que tienen manipulación conocimientos especializados en programación informática es el denominado Caballo de programas de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal. Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la Manipulación falsificación de instrucciones para la computadora en la fase de adquisición de datos. de los datos de Tradicionalmente esos fraudes se hacían a base de tarjetas bancarias robadas, sin salida embargo, en la actualidad se usan ampliamente equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito. Fraude aprovecha las repeticiones automáticas de los procesos de cómputo. Es una técnica efectuado por especializada que se denomina "técnica del salchichón" en la que "rodajas muy finas" manipulación apenas perceptibles, de transacciones financieras, se van sacando repetidamente de informática una cuenta y se transfieren a otra. Falsificaciones informáticas. Como objeto Cuando se alteran datos de los documentos almacenados en forma computarizada. Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva generación de Como falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias instrumentos de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos. Daños o modificaciones de programas o datos computarizados. Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de Sabotaje computadora con intención de obstaculizar el funcionamiento normal del sistema. Las informático técnicas que permiten cometer sabotajes informáticos son: Es una serie de claves programáticas que pueden adherirse a los programas legítimos y Virus propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como Auditoria de Sistemas Prof. Zoraivett Rodriguez
  • 3. 3 utilizando el método del Caballo de Troya. Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las Gusanos consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita. Exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que Bomba lógica poseen el máximo potencial de daño. Su detonación puede programarse para que o cronológica cause el máximo de daño y para que tenga lugar mucho tiempo después de que se haya marchado el delincuente. La bomba lógica puede utilizarse también como instrumento de extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar en donde se halla la bomba. Acceso no autorizado a Por motivos diversos: desde la simple curiosidad, como en el caso de muchos piratas servicios y informáticos (hackers) hasta el sabotaje o espionaje informático. sistemas informáticos El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las medidas de Piratas seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes informáticos o de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos hackers se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema. Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Reproducción Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han no autorizada sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales de programas con el tráfico de esas reproducciones no autorizadas a través de las redes de informáticos telecomunicaciones modernas. Al respecto, consideramos, que la reproducción no de protección autorizada de programas informáticos no es undelito informático debido a que el bien legal jurídico a tutelar es la propiedad intelectual. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  • 4. 4 LEY ESPECIAL CONTRA LOS DELITOS INFORMATICOS Gaceta Oficial Nº 37.313 del 30 de octubre de 2001 LEY ESPECIAL CONTRA LOS DELITOS INFORMATICOS TITULO I DISPOSICIONES GENERALES Artículo 1 Objeto de la Ley La presente Ley tiene por objeto la protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas tecnologías, en los términos previstos en esta Ley. TITULO II DE LOS DELITOS Capítulo I De los Delitos Contra los Sistemas que Utilizan Tecnologías de Información Artículo 6 Acceso Indebido Toda persona que sin la debida autorización o excediendo la que hubiere obtenido, acceda, intercepte, interfiera o use un sistema que utilice tecnologías de información, será penado con prisión de uno a cinco años y multa de diez a cincuenta unidades tributarias. Artículo 7 Sabotaje o Daño a Sistemas Todo aquel que con intención destruya, dañe, modifique o realice cualquier acto que altere el funcionamiento o inutilice un sistema que utilice tecnologías de información o cualesquiera de los componentes que lo conforman, será penado con prisión de cuatro a ocho años y multa de cuatrocientas a ochocientas unidades tributarias. Incurrirá en la misma pena quien destruya, dañe, modifique o inutilice la data o la información contenida en cualquier sistema que utilice tecnologías de información o en cualesquiera de sus componentes. La pena será de cinco a diez años de prisión y multa de quinientas a mil unidades tributarias, si los efectos indicados en el presente artículo se realizaren mediante la creación, introducción o transmisión, por cualquier medio, de un virus o programa análogo. Artículo 8 Favorecimiento Culposo del Sabotaje o Daño Si el delito previsto en el artículo anterior se cometiere por imprudencia, negligencia, impericia o inobservancia de las normas establecidas, se aplicará la pena correspondiente según el caso, con una reducción entre la mitad y dos tercios. Artículo 9 Acceso Indebido o Sabotaje a Sistemas Protegidos Las penas previstas en los artículos anteriores se aumentarán entre una tercera parte y la mitad, cuando los hechos allí previstos o sus efectos recaigan sobre cualesquiera de los componentes de un sistema que utilice tecnologías de información protegido por medidas de seguridad, que esté destinado a funciones públicas o que contenga información personal o patrimonial de personas naturales o jurídicas. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  • 5. 5 Artículo 10 Posesión de Equipos o Prestación de Servicios de Sabotaje Quien importe, fabrique, distribuya, venda o utilice equipos, dispositivos o programas; con el propósito de destinarlos a vulnerar o eliminar la seguridad de cualquier sistema que utilice tecnologías de información; o el que ofrezca o preste servicios destinados a cumplir los mismos fines, será penado con prisión de tres a seis años y multa de trescientas a seiscientas unidades tributarias. Artículo 11 Espionaje Informático Toda persona que indebidamente obtenga, revele o difunda la data o información contenidas en un sistema que utilice tecnologías de información o en cualesquiera de sus componentes, será penada con prisión de tres a seis años y multa de trescientas a seiscientas unidades tributarias. La pena se aumentará de un tercio a la mitad, si el delito previsto en el presente artículo se cometiere con el fin de obtener algún tipo de beneficio para sí o para otro. El aumento será de la mitad a dos tercios, si se pusiere en peligro la seguridad del Estado, la confiabilidad de la operación de las instituciones afectadas o resultare algún daño para las personas naturales o jurídicas, como consecuencia de la revelación de las informaciones de carácter reservado. Artículo 12 Falsificación de Documentos Quien, a través de cualquier medio, cree, modifique o elimine un documento que se encuentre incorporado a un sistema que utilice tecnologías de información; o cree, modifique o elimine datos del mismo; o incorpore a dicho sistema un documento inexistente, será penado con prisión de tres a seis años y multa de trescientas a seiscientas unidades tributarias. Cuando el agente hubiere actuado con el fin de procurar para sí o para otro algún tipo de beneficio, la pena se aumentará entre un tercio y la mitad. El aumento será de la mitad a dos tercios si del hecho resultare un perjuicio para otro. Capítulo II De los Delitos Contra la Propiedad Artículo 13 Hurto Quien a través del uso de tecnologías de información, acceda, intercepte, interfiera, manipule o use de cualquier forma un sistema o medio de comunicación para apoderarse de bienes o valores tangibles o intangibles de carácter patrimonial sustrayéndolos a su tenedor, con el fin de procurarse un provecho económico para sí o para otro, será sancionado con prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias. Artículo 14 Fraude Todo aquel que, a través del uso indebido de tecnologías de información, valiéndose de cualquier manipulación en sistemas o cualquiera de sus componentes, o en la data o información en ellos contenida, consiga insertar instrucciones falsas o fraudulentas, que produzcan un resultado que permita obtener un provecho injusto en perjuicio ajeno, será penado con prisión de tres a siete años y multa de trescientas a setecientas unidades tributarias. Artículo 15 Obtención Indebida de Bienes o Servicios Quien, sin autorización para portarlos, utilice una tarjeta inteligente ajena o instrumento destinado a los mismos fines, o el que utilice indebidamente Auditoria de Sistemas Prof. Zoraivett Rodriguez
  • 6. 6 tecnologías de información para requerir la obtención de cualquier efecto, bien o servicio; o para proveer su pago sin erogar o asumir el compromiso de pago de la contraprestación debida, será castigado con prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias. Artículo 16 Manejo Fraudulento de Tarjetas Inteligentes o Instrumentos Análogos Toda persona que por cualquier medio, cree, capture, grabe, copie, altere, duplique o elimine la data o información contenidas en una tarjeta inteligente o en cualquier instrumento destinado a los mismos fines; o la persona que, mediante cualquier uso indebido de tecnologías de información, cree, capture, duplique o altere la data o información en un sistema, con el objeto de incorporar usuarios, cuentas, registros o consumos inexistentes o modifique la cuantía de éstos, será penada con prisión de cinco a diez años y multa de quinientas a mil unidades tributarias. En la misma pena incurrirá quien, sin haber tomado parte en los hechos anteriores, adquiera, comercialice, posea, distribuya, venda o realice cualquier tipo de intermediación de tarjetas inteligentes o instrumentos destinados al mismo fin, o de la data o información contenidas en ellos o en un sistema. Artículo 17 Apropiación de Tarjetas Inteligentes o Instrumentos Análogos Quien se apropie de una tarjeta inteligente o instrumento destinado a los mismos fines, que se haya perdido, extraviado o que haya sido entregado por equivocación, con el fin de retenerlo, usarlo, venderlo o transferirlo a una persona distinta del usuario autorizado o entidad emisora, será penado con prisión de uno a cinco años y multa de diez a cincuenta unidades tributarias. La misma pena se impondrá a quien adquiera o reciba la tarjeta o instrumento a que se refiere el presente artículo. Artículo 18 Provisión Indebida de Bienes o Servicios Todo aquel que, a sabiendas de que una tarjeta inteligente o instrumento destinado a los mismos fines, se encuentra vencido, revocado; se haya indebidamente obtenido, retenido, falsificado, alterado; provea a quien los presente de dinero, efectos, bienes o servicios, o cualquier otra cosa de valor económico será penado con prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias. Artículo 19 Posesión de Equipo para Falsificaciones Todo aquel que sin estar debidamente autorizado para emitir, fabricar o distribuir tarjetas inteligentes o instrumentos análogos, reciba, adquiera, posea, transfiera, comercialice, distribuya, venda, controle o custodie cualquier equipo de fabricación de tarjetas inteligentes o de instrumentos destinados a los mismos fines, o cualquier equipo o componente que capture, grabe, copie o transmita la data o información de dichas tarjetas o instrumentos, será penado con prisión de tres a seis años y multa de trescientas a seiscientas unidades tributarias. Capítulo III De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones Artículo 20 Violación de la Privacidad de la Data o Información de Carácter Personal Toda persona que intencionalmente se apodere, utilice, modifique o elimine por cualquier medio, sin el consentimiento de Auditoria de Sistemas Prof. Zoraivett Rodriguez
  • 7. 7 su dueño, la data o información personales de otro o sobre las cuales tenga interés legítimo, que estén incorporadas en un computador o sistema que utilice tecnologías de información, será penada con prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias. La pena se incrementará de un tercio a la mitad si como consecuencia de los hechos anteriores resultare un perjuicio para el titular de la data o información o para un tercero. Artículo 21 Violación de la Privacidad de las Comunicaciones Toda persona que mediante el uso de tecnologías de información, acceda, capture, intercepte, interfiera, reproduzca, modifique, desvíe o elimine cualquier mensaje de datos o señal de transmisión o comunicación ajena, será sancionada con prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias. Artículo 22 Revelación Indebida de Data o Información de Carácter Personal Quien revele, difunda o ceda, en todo o en parte, los hechos descubiertos, las imágenes, el audio o, en general, la data o información obtenidos por alguno de los medios indicados en los artículos 20 y 21, será sancionado con prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias. Si la revelación, difusión o cesión se hubieren realizado con un fin de lucro, o si resultare algún perjuicio para otro, la pena se aumentará de un tercio a la mitad. Capítulo IV De los Delitos Contra Niños, Niñas o Adolescentes Artículo 23 Difusión o Exhibición de Material Pornográfico Todo aquel que, por cualquier medio que involucre el uso de tecnologías de información, exhiba, difunda, transmita o venda material pornográfico o reservado a personas adultas, sin realizar previamente las debidas advertencias para que el usuario restrinja el acceso a niños, niñas y adolescentes, será sancionado con prisión de dos a seis años y multa de doscientas a seiscientas unidades tributarias. Artículo 24 Exhibición Pornográfica de Niños o Adolescentes Toda persona que por cualquier medio que involucre el uso de tecnologías de información, utilice a la persona o imagen de un niño, niña o adolescente con fines exhibicionistas o pornográficos, será penada con prisión de cuatro a ocho años y multa de cuatrocientas a ochocientas unidades tributarias. Capítulo V De los Delitos Contra el Orden Económico Artículo 25 Apropiación de Propiedad Intelectual Quien sin autorización de su propietario y con el fin de obtener algún provecho económico, reproduzca, modifique, copie, distribuya o divulgue un software u otra obra del intelecto que haya obtenido mediante el acceso a cualquier sistema que utilice tecnologías de información, será sancionado con prisión de uno a cinco años y multa de cien a quinientas unidades tributarias. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  • 8. 8 Artículo 26 Oferta Engañosa Toda persona que ofrezca, comercialice o provea de bienes o servicios, mediante el uso de tecnologías de información, y haga alegaciones falsas o atribuya características inciertas a cualquier elemento de dicha oferta, de modo que pueda resultar algún perjuicio para los consumidores, será sancionada con prisión de uno a cinco años y multa de cien a quinientas unidades tributarias, sin perjuicio de la comisión de un delito más grave. TITULO III DISPOSICIONES COMUNES Artículo 27 Agravantes La pena correspondiente a los delitos previstos en la presente Ley se incrementará entre un tercio y la mitad: 1. Si para la realización del hecho se hubiere hecho uso de alguna contraseña ajena indebidamente obtenida, quitada, retenida o que se hubiere perdido. 2. Si el hecho hubiere sido cometido mediante el abuso de la posición de acceso a data o información reservada, o al conocimiento privilegiado de contraseñas, en razón del ejercicio de un cargo o función. Artículo 28 Agravante Especial La sanción aplicable a las personas jurídicas por los delitos cometidos en las condiciones señaladas en el artículo 5 de esta Ley, será únicamente de multa, pero por el doble del monto establecido para el referido delito. Artículo 29 Penas Accesorias Además de las penas principales previstas en los capítulos anteriores, se impondrán, necesariamente sin perjuicio de las establecidas en el Código Penal, las penas accesorias siguientes: 1. El comiso de equipos, dispositivos, instrumentos, materiales, útiles, herramientas y cualquier otro objeto que hayan sido utilizados para la comisión de los delitos previstos en los artículos 10 y 19 de la presente Ley. 2. El trabajo comunitario por el término de hasta tres años en los casos de los delitos previstos en los artículos 6 y 8 de esta Ley. 3. La inhabilitación para el ejercicio de funciones o empleos públicos; para el ejercicio de la profesión, arte o industria; o para laborar en instituciones o empresas del ramo por un período de hasta tres (3) años después de cumplida o conmutada la sanción principal, cuando el delito se haya cometido con abuso de la posición de acceso a data o información reservadas, o al conocimiento privilegiado de contraseñas, en razón del ejercicio de un cargo o función públicas, del ejercicio privado de una profesión u oficio, o del desempeño en una institución o empresa privada, respectivamente. 4. La suspensión del permiso, registro o autorización para operar o para el ejercicio de cargos directivos y de representación de personas jurídicas vinculadas con el uso de tecnologías de información, hasta por el período de tres (3) años después de cumplida o conmutada la sanción principal, si para cometer el delito el agente se hubiere valido o hubiere hecho figurar a una persona jurídica. Artículo 30 Divulgación de la Sentencia Condenatoria El Tribunal podrá además, disponer la publicación o difusión de la sentencia condenatoria por el medio que considere más idóneo. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  • 9. 9 Artículo 31 Indemnización Civil En los casos de condena por cualquiera de los delitos previstos en los Capítulos II y V de esta Ley, el Juez impondrá en la sentencia una indemnización en favor de la víctima por un monto equivalente al daño causado. Para la determinación del monto de la indemnización acordada, el juez requerirá del auxilio de expertos. TITULO IV DISPOSICIONES FINALES Artículo 32 Vigencia La presente Ley entrará en vigencia, treinta días después de su publicación en la Gaceta Oficial de la República Bolivariana de Venezuela. Artículo 33 Derogatoria Se deroga cualquier disposición que colida con la presente Ley. Auditor de Sistemas: El auditor informático como encargado de la verificación y certificación de la informática dentro de las organizaciones, deberá contar con un perfil que le permita poder desempeñar su trabajo con la calidad y la efectividad esperada. Debe tener conocimiento de los siguientes elementos: Conocimientos Generales:  Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las plataformas existentes en la organización.  Normas estándares para la auditoría interna.  Políticas organizacionales sobre la información y las tecnologías de la información.  Características de la organización respecto a la ética, estructura organizacional, tipo de supervisión existente, compensaciones monetarias a los empleados, extensión de la presión laboral sobre los empleados, historia de la organización, cambios recientes en la administración, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la organización.  Mantenerse permanentemente actualizado sobre legislación, normas, actividad de la empresa u organismo. Herramientas:  Herramientas de control y verificación de la seguridad  Herramientas de monitoreo de actividades Técnicas:  Técnicas de evaluación de riesgos  Muestreo  Calculo pos operación  Monitoreo de actividades  Recopilación de grandes cantidades de información Auditoria de Sistemas Prof. Zoraivett Rodriguez
  • 10. 10  Verificación de desviaciones en el comportamiento de la data.  Análisis e interpretación de evidencia Aspectos Personales:  Manejo global de cada situación.  No ajustarse a pautas rígidas.  Receptividad mental.  Capacidad de análisis lógico.  Creatividad.  Espíritu de observación  Sensatez de juicio.  Manejo de las relaciones con los auditados.  Sentido común.  Espíritu docente.  Lograr la aceptación del auditado.  Independencia de criterio. Conceptos de Auditoría de Sistemas La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación. Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas. A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia: Auditoría de Sistemas es:  La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.  La actividad dirigida a verificar y juzgar información.  El examen y evaluación de los procesos del Area de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.  El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado: Auditoria de Sistemas Prof. Zoraivett Rodriguez
  • 11. 11 Daños Salvaguarda activos Destrucción Uso no autorizado Robo Mantiene Integridad de Información Precisa, los datos Completa Oportuna Confiable Alcanza metas Contribución de la organizacionales función informática Consume recursos Utiliza los recursos adecuadamente eficientemente en el procesamiento de la información  Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a:  Eficiencia en el uso de los recursos informáticos  Validez de la información  Efectividad de los controles establecidos Tipos de Auditoría Existen algunos tipos de auditoría entre las que la Auditoría de Sistemas integra un mundo paralelo pero diferente y peculiar resaltando su enfoque a la función informática. Es necesario recalcar como análisis de este cuadro que Auditoría de Sistemas no es lo mismo que Auditoría Financiera. Entre los principales enfoques de Auditoría tenemos los siguientes: Auditoria de Sistemas Prof. Zoraivett Rodriguez
  • 12. 12 Financiera Veracidad de estados financieros Preparación de informes de acuerdo a principios contables Evalúa la eficiencia, Operacional Eficacia Economía de los métodos y procedimientos que rigen un proceso de una empresa Sistemas Se preocupa de la función informática Fiscal Se dedica a observar el cumplimiento de las leyes fiscales Administrativa Analiza: Logros de los objetivos de la Administración Desempeño de funciones administrativas Evalúa: Calidad Métodos Mediciones Controles de los bienes y servicios Revisa la contribución a la sociedad Social así como la participación en actividades socialmente orientadas Auditoria de Sistemas Prof. Zoraivett Rodriguez
  • 13. 13 Auditoría Interna y Auditoría Externa: La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento. Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados. La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorías, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo. En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informática y ésta necesita que su propia gestión esté sometida a los mismos Procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático. En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoría propia y permanente, mientras que el resto acuden a las auditorías externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la Auditoría Interna de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su propio grupo de Control Interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no sería independiente. Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas. Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. Las razones para hacerlo suelen ser:  Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados.  Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa.  Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la misma empresa.  Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa. La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz “político” ajeno a la propia estrategia y política general de la empresa. La función Auditoria de Sistemas Prof. Zoraivett Rodriguez
  • 14. 14 auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente. Síntomas de Necesidad de una Auditoría Informática: Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:  Síntomas de descoordinación y desorganización: - No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía. - Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. [Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante]  Síntomas de mala imagen e insatisfacción de los usuarios: - No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc. - No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente. - No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.  Síntomas de debilidades económico-financiero: - Incremento desmesurado de costes. - Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones). - Desviaciones Presupuestarias significativas. - Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).  Síntomas de Inseguridad: Evaluación de nivel de riesgos - Seguridad Lógica - Seguridad Física - Confidencialidad [Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales] - Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales. - Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  • 15. 15 *Planes de Contingencia: Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando. Objetivos Generales de una Auditoría de Sistemas  Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD  Incrementar la satisfacción de los usuarios de los sistemas computarizados  Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.  Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.  Seguridad de personal, datos, hardware, software e instalaciones  Apoyo de función informática a las metas y objetivos de la organización  Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático  Minimizar existencias de riesgos en el uso de Tecnología de información  Decisiones de inversión y gastos innecesarios  Capacitación y educación sobre controles en los Sistemas de Información Auditoria de Sistemas Prof. Zoraivett Rodriguez
  • 16. 16 Justificativos para efectuar una Auditoría de Sistemas  Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos)  Desconocimiento en el nivel directivo de la situación informática de la empresa  Falta total o parcial de seguridades lógicas y fisicas que garanticen la integridad del personal, equipos e información.  Descubrimiento de fraudes efectuados con el computador  Falta de una planificación informática  Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano  Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados  Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción Auditoria de Sistemas Prof. Zoraivett Rodriguez