UNIVERSIDAD AUTONOMA DE QUITO UNAQ

AUDITORIA INFORMATICA
PROFESOR : Ing. Fernando Andrade ALUMNO FECHA CURSO : Jess Cisneros Valle : Quito, 30 de Octubre del 2012 : 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 21 y 22 DEL LIBRO AUDITORIA INFORMATICA Un enfoque prctico.

CAPITULO 21
AUDITORIA JURIDICA DE ENTORNOS INFORMATICOS Cuestiones de Repaso: 1. Cul es la utilidad de la Auditoria jurdica de entornos informticos? Es til para comprobar que la utilizacin de la auditoria informtica se ajusta a la legislacin vigente. Es esencialmente idnea para evitar posibles reclamaciones de cualquier clase contra el sujeto a auditar; por ello el trabajo del auditor es una medida preventiva idnea contra sanciones en el orden administrativo o penal, as como indemnizaciones en el orden civil por daos y perjuicios a los afectados, ya que la reclamacin judicial puede afectar a instituciones pblicas como privadas. La auditoria jurdica le permite al auditado conocer el estado de la empresa dentro de la normativa legal y adecuarse a ella de ser necesario as como tomar los correctivos necesarios para evitar sanciones. 2. Qu reas comprende la Auditoria jurdica? a. Auditora del entorno informtico b. Auditoria de las personas que manipulan la informacin c. Auditora de la informacin d. Auditoria de los archivos (auditoria de objetivos) 3. Qu se entiende por auditoria de objetivos? Trata de averiguar la correspondencia entre el uso que se le da al archivo y aquellas motivaciones por la cuales se cre, as como la constitucionalidad de la finalidad ltima del archivo. Es una auditoria de derechos humanos de tercera generacin, ya que se examina tanto la legalidad como el espritu del archivo, con la pretensin de que este respete y garantice tales derechos.

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

4. Qu debe verificar el auditor en materia de origen de la titularidad de los programas? El auditor debera verificar si la titularidad del software que usa o ha adquirido la empresa se legal, a fin de evitar demandas por violacin a los derechos de autor (Ley de propiedad intelectual) o de patentes, demandas que en ciertos casos resultaran costosas debido a las consecuentes demandas civiles o penales que eventualmente impulsaran las empresas propietarias del software. 5. Qu aspectos abarca la auditoria jurdica de las personas? Abarca 5 aspectos que el auditor debe examinar: Quienes tienen acceso a la informacin. Adecuacin de aquellos al cargo que ostentan Conocimiento de la normativa y de que se debe mantener una actitud tica delante del archivo Reconocimiento en el contrato de la labor que cumple y de la responsabilidad que ostenta Que lo contratos con los proveedores aseguren la confidencialidad del archivo y de la informacin.

6. Cmo pueden utilizarse los requisitos recogidos en el art. 4 de la LORTAD a la hora de llevar a cabo la auditora de la Informacin? Se debe a toda costa proteger la informacin, por eso en analoga con el Art. 4 de la LORTAD se debe tomar muy en cuenta la calidad de los datos, la necesidad de su adecuacin y pertinencia, y que no sean excesivos en relacin con el mbito y finalidades legtimas para las que se hayan obtenido. La informacin no podr usarse para finalidades incompatibles con aquellas para las que fueron seleccionadas y deber ser exacta y estar al da. 7. Qu archivos quedan excluidos de la aplicacin de la LORTAD? Estn excluidos todos los archivos que contengan informacin o datos personales que hayan sido calificados como excluidos en la propia ley, por remisin de la misma a regulacin del tipo de archivo de que se trate. 8. De qu grados de proteccin se puede hablar en relacin con los datos contenidos en archivos sometidos a la ley? Dentro de los archivos sometidos a la ley y en relacin con los datos en ellos contenidos podemos hablar de diversos grados de proteccin (Regulados por los Art. 7 y 8 de la LORTAD) existiendo tres tipos de proteccin: Mxima, media y mnima. 9. Cules son las obligaciones del responsable del tratamiento automatizado de datos? Obligacin de comunicar al afectado la cesin de datos
2

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

Obligacin de confidencialidad Obligacin de hacer efectivo el derecho de acceso Obligacin de hacer efectivo el derecho al bloqueo Obligacin de hacer efectivo el derecho a la cancelacin Obligacin de hacer efectivo el derecho de rectificacin Obligacin de hacer efectivo el derecho a la supresin Obligacin de informar del tratamiento de datos, la obligacin de informar de la recogida de datos. 10. Qu legislacin conoce sobre derechos de autor que afecte al software? La ley de Propiedad Intelectual. Seccin V, Disposiciones Especiales sobre ciertas Obras, Pargrafo Primero, De los Programas de Ordenador, Art. 28 al 32. Art. 28. Los programas de ordenador se consideran obras literarias y se protegen como tales. Dicha proteccin se otorga independientemente de que hayan sido incorporados en un ordenador y cualquiera sea la forma en que estn expresados, ya sea en forma legible por el hombre (cdigo fuente) o en forma legible por mquina (cdigo objeto), ya sean programas operativos y programas aplicativos, incluyendo diagramas de flujo, planos, manuales de uso, y en general, aquellos elementos que conformen la estructura, secuencia y organizacin del programa. Art. 29. Es titular de un programa de ordenador, el productor, esto es la persona natural o jurdica que toma la iniciativa y responsabilidad de la realizacin de la obra. Se considerar titular, salvo prueba en contrario, a la persona cuyo nombre conste en la obra o sus copias de la forma usual. Dicho titular est adems legitimado para ejercer en nombre propio los derechos morales sobre la obra, incluyendo la facultad para decidir sobre su divulgacin. El productor tendr el derecho exclusivo de realizar, autorizar o prohibir la realizacin de modificaciones o versiones sucesivas del programa, y de programas derivados del mismo. Las disposiciones del presente artculo podrn ser modificadas mediante acuerdo entre los autores y el productor. Art. 30. La adquisicin de un ejemplar de un programa de ordenador que haya circulado lcitamente, autoriza a su propietario a realizar exclusivamente: Una copia de la versin del programa legible por mquina (cdigo objeto) con fines de seguridad o resguardo;

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

Fijar el programa en la memoria interna del aparato, ya sea que dicha fijacin desaparezca o no al apagarlo, con el nico fin y en la medida necesaria para utilizar el programa; y, Salvo prohibicin expresa, adaptar el programa para su exclusivo uso personal, siempre que se limite al uso normal previsto en la licencia. El adquirente no podr transferir a ningn ttulo el soporte que contenga el programa as adaptado, ni podr utilizarlo de ninguna otra forma sin autorizacin expresa, segn las reglas generales. Se requerir de autorizacin del titular de los derechos para cualquier otra utilizacin, inclusive la reproduccin para fines de uso personal o el aprovechamiento del programa por varias personas, a travs de redes u otros sistemas anlogos, conocidos o por conocerse. Art. 31. No se considerar que existe arrendamiento de un programa de ordenador cuando ste no sea el objeto esencial de dicho contrato. Se considerar que el programa es el objeto esencial cuando la funcionalidad del objeto materia del contrato, dependa directamente del programa de ordenador suministrado con dicho objeto; como cuando se arrienda un ordenador con programas de ordenador instalados previamente. Art. 32. Las excepciones al derecho de autor establecidas en los artculos 30 y 31 son las nicas aplicables respecto a los programas de ordenador. Las normas contenidas en el presente Pargrafo se interpretarn de manera que su aplicacin no perjudique la normal explotacin de la obra o los intereses legtimos del titular de los derechos.

CAPITULO 22
AUDITORIA INFORMATICA EN EL SECTOR BANCARIO Cuestiones de Repaso: 1. En qu faceta resulta ms valiosa la participacin de la auditoria informtica en el sector financiero? La revisin de las aplicaciones informticas, con el objeto de asegurar que ellas cumplen con los criterios funcionales y operativos definidos por la entidad. 2. Qu caractersticas tienen las aplicaciones informticas que soportan productos bancarios? Procesan y generan un gran volumen de datos relativos a contratos y operaciones.

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

Los procesos de tratamiento de los datos relativamente sencillos, sin embargo comparativamente suponen un gran consumo de recursos en el total de los procesos informticos de un banco. Las operaciones y productos tratados por estas aplicaciones tienen normalmente un importante pero especifico en el balance de la entidad La disponibilidad de la informacin suele ser un factor critico La informacin generada tiene un elevado balance, por cuanto se enva masivamente hacia destinos externos a la propia entidad financiera. En estas aplicaciones se produce un efecto amplificado de error: cualquier incidencia puede afectar a un nmero elevado de operaciones y tener una repercusin econmica cifrada en miles de dlares. 3. En qu se diferencian las auditorias de medios de pago de las auditorias de productos de tesorera?. Auditorias Medios de pago Productos de tesorera - Alto volumen de transacciones - Numero de transacciones no es de clientes elevado - Sus importes no son - Sus importes si son significativos significativos - Las salidas en informacin a los - Existe regulaciones para el clientes son escasas o nulas tratamiento informtico y - Son sistemas en los que una operativo (convenios con deficiencia en el proceso o distintos organismos) procedimientos de control pueden - Es aspecto de control tiene gran provocar un quebranto econmico relevancia (prevencin de de considerable magnitud. fraudes) se deben cumplir normas emitidas por la entidad bancaria 4. Qu conocimientos necesita un auditor informtico para poder llevar a cabo una auditoria en el sector bancario? - Un auditor informtico debe estar en permanente capacidad de aprendizaje para abordar con xito los nuevos retos - Debe conocer son suficiente detalle los procedimientos operativos internos de la entidad financiera relacionados con el rea de negocio y/o producto bancario soportado por la aplicacin. - Debe conocer los circuitos operativos y administrativos seguidos y asociados con los datos. Que le permitir evaluar el impacto de las debilidades y errores que se puedan detectar en el funcionamiento del sistema. - Necesita tener conocimiento de la legislacin vigente. - Tener suficiente conocimiento de la operatividad bancaria tradicional asociada con el producto en cuestin.

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

Si el auditor no poseyera conocimientos particularmente tcnicos en aspectos bancarios o legales, el auditor debe actuar siempre planteando su consulta a los departamentos competentes.

5. Comente como afecta la LORTAD a las aplicaciones bancarias. Importancia econmica de la funcin a la que se dedica la aplicacin (impacto en el balance bancario) Importancia de la actividad bancaria a que da soporte la aplicacin en los planes de negocio y expansin de la entidad La obtencin de informacin a partir de la aplicacin con destino a clientes y organismos pblicos Existencia de descuadres entre los datos facilitados por la propia aplicacin y los registros contables de la entidad. 6. Que aplicaciones cree que tiene el problema del EURO en la auditoria informtica de entidades financieras? Obsolescencia de la aplicacin, que el auditor puede analizar al determinar cmo y dnde se capturan datos, la dimensin de transacciones manuales, la tipologa de los controles que se efectan, ausencia de datos bsicos en relacin con el producto o rea cubierta por la aplicacin , adems del proceso que se requiere para la adaptacin al EURO al ao 2000. 7. Comente aspectos a tener en cuenta respecto a los archivos de morosos. La inclusin de los datos de carcter personal den los archivos de incumplimiento de obligaciones monetarias, debe efectuarse cuando el deudor concurra en los siguientes requisitos: Existencia previa y cierta de una deuda, vencida y exigible que haya resultado impaga. Requerimiento previo de pago a quien corresponda, el cumplimiento de la obligacin. No podrn incluirse en los archivos de esta naturaleza datos personales sobre los que existan algn principio de prueba documental que aparentemente contradiga alguno de los requisitos anteriores. El acreedor o quien acte a su cuenta e inters deber asegurarse de que concurren todos los requisitos exigidos en el primer prrafo de esta norma en el momento de notificar los datos al responsable del archivo comn (Central de riesgos). 8. Que restricciones existen respecto a los datos recabados para un seguro asociado a un prstamo? La instruccin 2/1995 protege los datos personales recabados para la formalizacin de aquellos seguros de vida asociados con la concesin de un prstamo o crdito. De manera que el beneficiario del seguro es la propia entidad acreedora. Establecindose

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

normas cuyo cumplimiento entra dentro del mbito de la auditoria informtica a la entidad financiera. Norma segunda: De la recogida de datos La obtencin de datos personales a efectos de la celebracin de un contrato de seguro de vida, ajeno a la concesin de un crdito hipotecario o personal, efectuadas por las entidades de crdito a travs de cuestionarios u otros impresos, deber realizarse mediante modelos separados para cada uno de los contratos a celebrar. No se podr recabar datos sobre la salud del solicitante. Cualquiera que sea el modo de llevarse a efecto la recogida de datos de salud necesarios para la celebracin del seguro de vida deber constar expresamente el compromiso de la entidad de crdito de que los datos obtenidos a tal fin solamente sern utilizados por la entidad aseguradora. No se podr incluir los datos de salud en archivos informatizados o almacenarlos convencionalmente. Norma tercera: Consentimiento del afectado y tratamiento de los datos. El afectado deber manifestar su consentimiento por separado para cada uno de los contratos y para el tratamiento distinto de la informacin que ambos conllevan. Las entidades de crdito solamente podrn tratar aquellos datos personales no especialmente protegidos, que sean estrictamente necesarios para relacionar el contrato de prstamo con el contrato de seguro de vida celebrado como consecuencia de aquel o que est justificado por la intervencin de la entidad de crdito como agente o tomador del contrato de seguro. 9. Disee una planificacin anual de trabajos para auditoria informtica de una pequea entidad bancaria. Obtener informacin previa: 9.1. Determinar y conocer de manera general del estado de los sistemas de informacin con que cuenta la entidad. 9.2. Determinar los Objetivos estratgicos determinados por la alta gerencia. 9.3. Clasificar las actividades dentro del POA respecto de las aplicaciones informticas. 9.4.Distinguir un conjunto de aspectos tpicamente bancarios a considerar en la planificacin de revisin de aplicaciones, para as determinar: 9.4.1. La importancia econmica de la funcin a la que se dedica la aplicacin. Establecer su impacto en el balance del banco. 9.4.2. Importancia de la actividad bancaria que la soporte la aplicacin dentro de los planes de negocio y expansin de la entidad. 9.4.3. Obtener informacin a partir de la aplicacin con destino a clientes y organismos pblicos. 9.4.4. Verificar el volumen, la frecuencia y la importancia material de las incidencias y errores detectados mediante los mecanismos de control.

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

PLAN DE AUDITORIA: 9.5. Presentar al cliente de la auditoria un plan de auditora acorde a las exigencias del mismo. 9.6. Formar el grupo de trabajo para la auditoria y designar al jefe de grupo auditor. 9.7.Establecer el cronograma acorde a las necesidades de la entidad financiera, para que no retrase ningn servicio bancario o lo dificulte. (Puede ser una auditora interna de los servicios bancarios y aplicaciones). 9.8. Determinar las areas sensibles donde aplicar la auditoria 9.9. Presentar un borrador de la auditoria al cliente de la auditoria 9.10. Presentar el informe final (previo consenso con el cliente de la auditoria) al cual se le anexan las evidencias de la auditoria y recomendaciones. 10. Qu consideraciones expuestas en el captulo podran aplicarse a la auditoria de empresas de seguros? Y de asistencia sanitaria? Estas empresas pueden otorgar los servicios dentro del marco de la ley, pero salvaguardando la informacin sensible de sus clientes. No podrn divulgar la informacin de sus clientes ni sus estado de salud o exigir a su cliente declare la posibilidad de que su informacin pueda ser divulgada de alguna manera Debern mantener la informacin recabada bajo seguridad No podrn entregar la informacin a terceros bajo ninguna circunstancia, salvo el caso de autorizacin del cliente o peticin judicial de autoridad competente. Los contratos deben ser claros y especificar todo en cuanto a los servicios que ofrece de manera clara, precisa y concisa. Debern ajustarse al marco de la ley vigente.