CORRUPCIÓN:

TICs - Oportunidad y Control

Fernando Izquierdo D.
Certified Information Systems Auditor
 A modo de agenda
 Tecnologías de la información y la comunicación
 Como elemento habilitador de la corrupción
 El delito informático
 Marco Normativo
 Como elemento inhibidor de la corrupción
 Control Gerencial (IT-Governance)
 Control Interno en Tecnología Informática
 Seguridad Informática
 El cómputo forense
 Porque Las TICs
 Por su impacto en las organizaciones
 Mayor penetración en la vida diaria de los individuos
• Computadoras
• PDA’s (Asistente Personal Digital)
• Cámaras Digitales
• Discos Duros Extraibles y Memorias USB
• Celulares
 Mayor penetración en la vida diaria de las empresas
• Mayor posibilidad de capturar, almacenar, analizar y procesar gran
cantidad de información y ha posibilitado cambios en los
procesos productivos y de prestación de servicios, empoderando
a quien tienen el deber de tomar decisiones.
 Mayor penetración en el mercado
• E-Commerce
• E-Government
 ¿Qué puede suceder?
 Mejoras de control
 Eficiencia y Efectividad
 Transparencia (Portal único de contratación)
 Mayor Ampliación y cobertura de servicios (pagos a terceros)
 Mayor nivel de información y formación
 Aspectos negativos
 Desconocimiento / Complejidad Técnica elementos
habilitadores de la falta de transparencia
 Disculpa como demora en trámites
 Conductas delictivas
• Fraude / saboteo /
• Pornografía infantil
• Difamación y Amenazas / Intimidación
 Mal uso de los recursos (dependencia del papel)
 ¿Qué es vulnerable?
 Información
 Integridad (alteración de los datos)
 Confidencialidad (acceso no autorizado a los datos)
 Disponibilidad (denegación del servicio)
 Propiedad Intelectual (Piratería y Espionaje
Industrial)
 El sistema de intercambio electrónico de datos
 Interceptación de comunicaciones
 Fraude financiero
 Robo de claves, Suplantación
 Imagen, Prestigio y Buen nombre
 Marco Normativo
 Ley 527 de 1999 - Uso de los mensajes de datos, del
comercio electrónico y de las firmas digitales,…
 a) Mensaje de datos.
• La información generada, enviada, recibida, almacenada o
comunicada por medios electrónicos, ópticos o similares,
como pudieran ser, entre otros, el Intercambio Electrónico de
Datos (EDI) Internet, el correo electrónico, el telegrama, el télex
o el telefax
 Artículo 11. Criterio para valorar probatoriamente un
mensaje de datos.
• Para la valoración de la fuerza probatoria de los mensajes de
datos a que se refiere esta ley, se tendrán en cuenta las reglas
de la sana crítica y demás criterios reconocidos legalmente
para la apreciación de las pruebas. Por consiguiente habrán de
tenerse en cuenta: la confiabilidad en la forma en la que se
haya generado, archivado o comunicado el mensaje, la
confiabilidad en la forma en que se haya conservado la
integridad de la información, la forma en la que se identifique a
su iniciador y cualquier otro factor pertinente.
 Marco Normativo
 Ley 527 de 1999
 Artículo 12. Conservación de los mensajes de datos y
documentos.
• Cuando la ley requiera que ciertos documentos, registros o
informaciones sean conservados, ese requisito quedará satisfecho,
siempre que se cumplan las siguientes condiciones:
 1. Que la información que contengan sea accesible para su posterior
consulta.
 2. Que el mensaje de datos o el documento sea conservado en el formato en
que se haya generado, enviado o recibido o en algún formato que permita
demostrar que reproduce con exactitud la información generada, enviada o
recibida, y
 3. Que se conserve, de haber alguna, toda información que permita
determinar el origen, el destino del mensaje, la fecha y la hora en que fue
enviado o recibido el mensaje o producido el documento.
• No estará sujeta a la obligación de conservación, la información que
tenga por única finalidad facilitar el envío o recepción de los mensajes
de datos.
• Los libros y papeles del comerciante podrán ser conservados en
cualquier medio técnico que garantice su reproducción exacta.
 Marco Normativo
 Ley 599 de 2000 - Nuevo código penal colombiano
 Título XII Delitos contra la seguridad pública - Capítulo
segundo: de los delitos de peligro común o que pueden
ocasionar grave perjuicio para la comunidad y otras
infracciones
• Artículo 357. Daño en obras o elementos de los servicios de
comunicaciones, energía y combustibles.
 Título III Delitos Contra la libertad individual y otras
garantías - Capítulo Séptimo - De la violación a la intimidad,
reserva e interceptación de comunicaciones
• Artículo 192. Violación ilícita de comunicaciones.
• Artículo 193. Ofrecimiento, venta o compra de instrumento
apto para interceptar la comunicación privada entre personas.
• Artículo 195. Acceso abusivo a un sistema informático.
• Artículo 197. Utilización ilícita de equipos transmisores o
receptores.
 Marco Normativo
 Ley 734 de 2002- Código Disciplinario Único –
 Título IV -Derechos Deberes, Prohibiciones,
Incompatibilidades, Impedimentos, Inhabilidades y
conflictos de interés del servidor público - Capítulo
segundo - Deberes - Artículo 34 : Son deberes de todo
servidor público:
 " ... 5. Custodiar y cuidar la documentación e información
que por razón de su empleo, cargo o función conserve bajo
su cuidado o a la cual tenga acceso, e impedir o evitar la
sustracción, destrucción, ocultamiento o utilización
indebidos...."
 Marco Normativo
 Circular Externa 052 de Octubre 25 de 2007 -
Superintendencia financiera de Colombia
 Requerimientos mínimos de seguridad y calidad en el
manejo de información a través de medios y canales de
distribución de productos y servicios para clientes y
usuarios.
 Nueva y exigente para el sector financiero.
 Marco Normativo
 Ley 1266 31 dic /2008 Habeas Data
 “Por la cual se dictan las disposiciones generales del
hábeas data y se regula el manejo de la información
contenida en bases de datos personales…”
 Objeto. … desarrollar el derecho constitucional que tienen
todas las personas a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bancos
de datos, y los demás derechos, libertades y garantías
constitucionales relacionadas con la recolección,
tratamiento y circulación de datos personales a que se
refiere el artículo 15 de la Constitución Política, así como el
derecho a la información establecido en el artículo 20 de la
Constitución Política, particularmente en relación con la
información financiera y crediticia, comercial, de servicios y
la proveniente de terceros países.
 Ámbito de aplicación : …aplica a todos los datos de
información personal registrados en un banco de datos,
sean estos administrados por entidades de naturaleza
pública o privada.
 Marco Normativo
 Ley 1273 del 5 Ene/2009 Delitos informáticos
 …crea un nuevo bien jurídico tutelado - denominado “de la
protección de la información y de los datos”- y se preservan
integralmente los sistemas que utilicen las tecnologías de la
información y las comunicaciones...
 De los atentados contra la confidencialidad, la integridad y la
disponibilidad de los datos y de los sistemas informáticos.

 Políticas de seguridad informática de cada Entidad

 Ejemplo: " …... Los usuarios de Sistemas de computo conectados a
la red de cómputo de la empresa deberán velar por la autenticidad,
confidencialidad, integridad y disponibilidad y adecuada
autorización de la información compartida en susequipos a través
de directorios, carpetas o medios tales como CDs, DVDs,
Dispositivos de almacenamiento extraibles, Memorias USB y otros
....“
 1a Conclusión
LAS TICs son un medio de relativa
facilidad de uso para el delito y por
consiguiente, se convierte en un medio
habilitador de la corrupción
 ¿QUE HAY EN RESPUESTA?
 Control y Buenas prácticas en aspectos
 Gerencial y de Control Interno
 Control Interno Informático
 Seguridad Informática
 Computo forense
Control Gerencial y Control Interno
 Corparate Govenance
 Acto legislativo USA - Sarbanes-Oxley,
 Basilea II
 HIPAA, Health Insurance Portability and
Accountability
 COSO y COSO ERM
 COCO
 Administración de Riesgos
 Leyes y Modelos de Control Interno Propios de
Cada País
 Ej: Leyes de Control Interno en Costa Rica y Colombia
 Modelos de Control Interno y anticorrupción
implementados por la agencia USAID en algunos países
latinoamericanos (modelo MECI)
 Nomas particulares como SARC/ SARO y SARLAF.
 Control Interno en Tecnología
Informática

 IT- Governance
 Alineamiento estratégico
 Entrega de valor
 Administración de Recursos
 Administración del Riesgo
 Medición del desempeño
 COBIT
 CobiT 4.1
 CobiT Quickstart
 ITIL
 CONCT
 IT Control Objectives for Sarbanes-Oxley
 Seguridad Informática
 COBIT Security Baseline Structure
 NIST
 ISO 17799
 Componentes de un Marco de referencia de
seguridad
 BS-7799-2
 Metodología formal para construir y evaluar un
ISMS (Information Security Management System)
 IT Control Objectives for Sarbanes-Oxley
 Computo Forense
 Proceso de aplicar técnicas científicas y analíticas a
infraestructuras tecnológicas para identificar, preservar,
analizar y presentar evidencia de manera que sea
aceptable en un procedimiento legal.
 Análisis Forense
 Examen de material y/o datos para determinar sus

características esenciales y su relación en un

esfuerzo por descubrir evidencia que sea admisible.
 Evidencia
 Sistemas involucrados de forma directa

 Sistemas involucrados de forma indirecta

 Archivos o Documentos dentro de un sistema

 2a y 3a Conclusiones
Se requiere de un gran esfuerzo de
coordinación a nivel institucional,
empresarial y social para configurar un
ambiente de uso seguro de las TICs

Para el auditor de hoy el tema de las tecnología

de la información y el uso de las mejores
prácticas han dejado de ser una opción para
convertirse en una obligación.
 Referencias
Cano M. Jeimy J. (2005). Certificaciones en Seguridad Informática,
conceptos y reflexiones. Trabajo presentado en la Asociación
Colombiana de Ingenieros de Sistemas, Bogotá.
Ferrer O. Fernando.(2005). Estado del Arte en Modelos de Control.
Trabajo presentado en la décima conferencia LATINCACS.
Octubre, Panamá.
IT Governance Institute www.ITGI.org
ISACA, Information Systems auditor association www.isaca.org
IIA, Internal Auditor Institute www.theiia.org
Velásquez, Andrés CISSP. Beneficios del Computo Forense en la
Investigación de Ilícitos, Bogotá. 2005