Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Fernando Izquierdo D.
Certified Information Systems Auditor
A modo de agenda
Tecnologías de la información y la comunicación
Como elemento habilitador de la corrupción
El delito informático
Marco Normativo
Como elemento inhibidor de la corrupción
Control Gerencial (IT-Governance)
Control Interno en Tecnología Informática
Seguridad Informática
El cómputo forense
Porque Las TICs
Por su impacto en las organizaciones
Mayor penetración en la vida diaria de los individuos
• Computadoras
• PDA’s (Asistente Personal Digital)
• Cámaras Digitales
• Discos Duros Extraibles y Memorias USB
• Celulares
Mayor penetración en la vida diaria de las empresas
• Mayor posibilidad de capturar, almacenar, analizar y procesar gran
cantidad de información y ha posibilitado cambios en los
procesos productivos y de prestación de servicios, empoderando
a quien tienen el deber de tomar decisiones.
Mayor penetración en el mercado
• E-Commerce
• E-Government
¿Qué puede suceder?
Mejoras de control
Eficiencia y Efectividad
Transparencia (Portal único de contratación)
Mayor Ampliación y cobertura de servicios (pagos a terceros)
Mayor nivel de información y formación
Aspectos negativos
Desconocimiento / Complejidad Técnica elementos
habilitadores de la falta de transparencia
Disculpa como demora en trámites
Conductas delictivas
• Fraude / saboteo /
• Pornografía infantil
• Difamación y Amenazas / Intimidación
Mal uso de los recursos (dependencia del papel)
¿Qué es vulnerable?
Información
Integridad (alteración de los datos)
Confidencialidad (acceso no autorizado a los datos)
Disponibilidad (denegación del servicio)
Propiedad Intelectual (Piratería y Espionaje
Industrial)
El sistema de intercambio electrónico de datos
Interceptación de comunicaciones
Fraude financiero
Robo de claves, Suplantación
Imagen, Prestigio y Buen nombre
Marco Normativo
Ley 527 de 1999 - Uso de los mensajes de datos, del
comercio electrónico y de las firmas digitales,…
a) Mensaje de datos.
• La información generada, enviada, recibida, almacenada o
comunicada por medios electrónicos, ópticos o similares,
como pudieran ser, entre otros, el Intercambio Electrónico de
Datos (EDI) Internet, el correo electrónico, el telegrama, el télex
o el telefax
Artículo 11. Criterio para valorar probatoriamente un
mensaje de datos.
• Para la valoración de la fuerza probatoria de los mensajes de
datos a que se refiere esta ley, se tendrán en cuenta las reglas
de la sana crítica y demás criterios reconocidos legalmente
para la apreciación de las pruebas. Por consiguiente habrán de
tenerse en cuenta: la confiabilidad en la forma en la que se
haya generado, archivado o comunicado el mensaje, la
confiabilidad en la forma en que se haya conservado la
integridad de la información, la forma en la que se identifique a
su iniciador y cualquier otro factor pertinente.
Marco Normativo
Ley 527 de 1999
Artículo 12. Conservación de los mensajes de datos y
documentos.
• Cuando la ley requiera que ciertos documentos, registros o
informaciones sean conservados, ese requisito quedará satisfecho,
siempre que se cumplan las siguientes condiciones:
1. Que la información que contengan sea accesible para su posterior
consulta.
2. Que el mensaje de datos o el documento sea conservado en el formato en
que se haya generado, enviado o recibido o en algún formato que permita
demostrar que reproduce con exactitud la información generada, enviada o
recibida, y
3. Que se conserve, de haber alguna, toda información que permita
determinar el origen, el destino del mensaje, la fecha y la hora en que fue
enviado o recibido el mensaje o producido el documento.
• No estará sujeta a la obligación de conservación, la información que
tenga por única finalidad facilitar el envío o recepción de los mensajes
de datos.
• Los libros y papeles del comerciante podrán ser conservados en
cualquier medio técnico que garantice su reproducción exacta.
Marco Normativo
Ley 599 de 2000 - Nuevo código penal colombiano
Título XII Delitos contra la seguridad pública - Capítulo
segundo: de los delitos de peligro común o que pueden
ocasionar grave perjuicio para la comunidad y otras
infracciones
• Artículo 357. Daño en obras o elementos de los servicios de
comunicaciones, energía y combustibles.
Título III Delitos Contra la libertad individual y otras
garantías - Capítulo Séptimo - De la violación a la intimidad,
reserva e interceptación de comunicaciones
• Artículo 192. Violación ilícita de comunicaciones.
• Artículo 193. Ofrecimiento, venta o compra de instrumento
apto para interceptar la comunicación privada entre personas.
• Artículo 195. Acceso abusivo a un sistema informático.
• Artículo 197. Utilización ilícita de equipos transmisores o
receptores.
Marco Normativo
Ley 734 de 2002- Código Disciplinario Único –
Título IV -Derechos Deberes, Prohibiciones,
Incompatibilidades, Impedimentos, Inhabilidades y
conflictos de interés del servidor público - Capítulo
segundo - Deberes - Artículo 34 : Son deberes de todo
servidor público:
" ... 5. Custodiar y cuidar la documentación e información
que por razón de su empleo, cargo o función conserve bajo
su cuidado o a la cual tenga acceso, e impedir o evitar la
sustracción, destrucción, ocultamiento o utilización
indebidos...."
Marco Normativo
Circular Externa 052 de Octubre 25 de 2007 -
Superintendencia financiera de Colombia
Requerimientos mínimos de seguridad y calidad en el
manejo de información a través de medios y canales de
distribución de productos y servicios para clientes y
usuarios.
Nueva y exigente para el sector financiero.
Marco Normativo
Ley 1266 31 dic /2008 Habeas Data
“Por la cual se dictan las disposiciones generales del
hábeas data y se regula el manejo de la información
contenida en bases de datos personales…”
Objeto. … desarrollar el derecho constitucional que tienen
todas las personas a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bancos
de datos, y los demás derechos, libertades y garantías
constitucionales relacionadas con la recolección,
tratamiento y circulación de datos personales a que se
refiere el artículo 15 de la Constitución Política, así como el
derecho a la información establecido en el artículo 20 de la
Constitución Política, particularmente en relación con la
información financiera y crediticia, comercial, de servicios y
la proveniente de terceros países.
Ámbito de aplicación : …aplica a todos los datos de
información personal registrados en un banco de datos,
sean estos administrados por entidades de naturaleza
pública o privada.
Marco Normativo
Ley 1273 del 5 Ene/2009 Delitos informáticos
…crea un nuevo bien jurídico tutelado - denominado “de la
protección de la información y de los datos”- y se preservan
integralmente los sistemas que utilicen las tecnologías de la
información y las comunicaciones...
De los atentados contra la confidencialidad, la integridad y la
disponibilidad de los datos y de los sistemas informáticos.
IT- Governance
Alineamiento estratégico
Entrega de valor
Administración de Recursos
Administración del Riesgo
Medición del desempeño
COBIT
CobiT 4.1
CobiT Quickstart
ITIL
CONCT
IT Control Objectives for Sarbanes-Oxley
Seguridad Informática
COBIT Security Baseline Structure
NIST
ISO 17799
Componentes de un Marco de referencia de
seguridad
BS-7799-2
Metodología formal para construir y evaluar un
ISMS (Information Security Management System)
IT Control Objectives for Sarbanes-Oxley
Computo Forense
Proceso de aplicar técnicas científicas y analíticas a
infraestructuras tecnológicas para identificar, preservar,
analizar y presentar evidencia de manera que sea
aceptable en un procedimiento legal.
Análisis Forense
Examen de material y/o datos para determinar sus