360 likes | 711 Views
EL MARCO JURÍDICO DE LA AUDITORÍA INFORMÁTICA. Piattini et. Al., AUDITORÍA INFORMÁTICA: UN ENFOQUE PRÁCTICO , . Tecnologías de la Información y las Comunicaciones. Gran influencia de las Tecnologías de la Información y Comunicaciones en la sociedad, incluyendo el Derecho:
E N D
EL MARCO JURÍDICO DE LA AUDITORÍA INFORMÁTICA Piattini et. Al., AUDITORÍA INFORMÁTICA: UN ENFOQUE PRÁCTICO,
Tecnologías de la Información y las Comunicaciones Gran influencia de las Tecnologías de la Información y Comunicaciones en la sociedad, incluyendo el Derecho: • Herramienta para el operador jurídico, al igual que para otras profesiones: INFORMÁTICA JURÍDICA • Nueva rama del Derecho: DERECHO INFORMÁTICO El Marco Jurídico de la Auditoría Informática
Informática Jurídica Informática Jurídica de Gestión • Instrumento eficaz para la tramitación de procedimientos judiciales, administración de los despachos de notarios, abogados, procuradores, etc. Informática Jurídica Documental • Utilización de la Informática para facilitar el almacenamiento de grandes volúmenes de datos, relativos a Legislación, Jurisprudencia y Doctrina, para permitir el acceso a los mismos de forma rápida, fácil y segura Informática Jurídica para la Toma de Decisiones (jueces ante las sentencias) • Basada en la utilización de sistemas expertos El Marco Jurídico de la Auditoría Informática
Derecho Informático Parte del Derecho que regula el mundo informático, evitando que se convierta en una pelea continua donde gana el más fuerte • Protección de Datos Personales • Protección Jurídica de los Programas de Ordenador (piratería) • Delitos Informáticos • Obligaciones Contractuales • Documento y Comercio Electrónico • Responsabilidades civiles y personales Rama que regula la labor del Auditor Informático, imprescindible su conocimiento para que el AI realice su labor de forma correcta y evitando situaciones desagradables El Marco Jurídico de la Auditoría Informática
Agencia de Protección de Datos Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada Su finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación en los derechos de • Información en la recogida de datos, • Acceso, • Oposición, • Rectificación y • Cancelación de datos Registro General de Protección de Datos Guía Práctica para Ciudadanos Legislación www.agenciaprotecciondatos.org El Marco Jurídico de la Auditoría Informática
Registro General de Protección de Datos Vela por la publicidad de la existencia de los ficheros de datos de carácter personal, con miras a hacer posible el ejercicio de los derechos de información, oposición, acceso, rectificación y cancelación de datos ¿Quién notifica la creación, modificación o supresión de ficheros al RGPD? (Inscripción en RGPD) • Personas físicas o jurídicas u órgano administrativo que procedan a la creación de ficheros que contengan datos de carácter personal ¿Qué ocurre si no se notifica la existencia de 1 fichero? Régimen sancionador (falta leve o grave) El Marco Jurídico de la Auditoría Informática
Recomendaciones a Usuarios de Internet Hoy por hoy, en el ámbito de Internet, es imposible hablar de una regulación legal que proteja la privacidad de los usuarios a escala mundial Recomendaciones de uso práctico e inmediato • Enumeración de principios de protección de datos • Descripción de principales servicios de Internet • Identificación de posibles riesgos que en su uso se pueden presentar para la privacidad • Recomendaciones que se proponen a los usuarios El Marco Jurídico de la Auditoría Informática
Recomendaciones a Usuarios de Internet: Principios de Protección de Datos Derecho de los ciudadanos a conocer: • Qué datos personales están contenidos en los ficheros informáticos • Responsables de éstos • Corregir o eliminar los datos inexactos o falsos Los datos personales sólo podrán tratarse de forma automatizada con el consentimiento del interesado y sólo para el fin con el que se recogieron El principio del consentimiento rige también para la cesión de datos a terceros El Marco Jurídico de la Auditoría Informática
Recomendaciones a Usuarios de Internet:Servicios de Internet - 1WWW • Servidores Web con páginas, Usuario visualiza páginas con Browser, Cada página tiene dirección única, enlaces con otras página • Protección de datos personales • Elaboración de perfiles • Petición de todo tipo de datos personales para hacer uso de cualquier servicio o compra de producto • Utilización de datos para publicidad personalizada, rastreo de intereses y aficiones, comercialización a terceras personas • Seguimiento de visitas mediante cookies • Recomendación: utilizar últimas versiones de navegadores para tener mejores medidas de seguridad • Acceso global a los datos personales • Desconocimiento de la ruta que siguen los datos para llegar al destino • Recomendación: utilizar web seguros, criptografía, firma digital para proteger la confidencialidad e integridad de sus datos El Marco Jurídico de la Auditoría Informática
Recomendaciones a Usuarios de Internet:Servicios de Internet – 2E-Mail, Mailing list, Grupos de noticias • Protección de datos personales • Elaboración de perfiles • E-mail contiene información de persona (apellido), empresa, país • E-mail utilizado para confeccionar perfiles personales (temas de interés, inclinaciones políticas, ...) a partir de pertenencia a listas de distribución o participación en foros • Privacidad en las comunicaciones • Suplantación de personalidad, violación de la comunicación • Recomendación: • Utilización de cifrado físico o lógico para evitar problemas de confidencialidad o suplantación de la personalidad • Anonimato en participación en foros de discusión • Utilización de datos recogidos sin nuestro conocimiento El Marco Jurídico de la Auditoría Informática
Recomendaciones a Usuarios de Internet: Servicios de Internet – 3Comercio electrónico - 1 • Transacciones comerciales en la red en las que intervengan personas físicas • Rastreo del dinero electrónico • Datos personales y nº tarjeta de crédito • Recomendación: utilice sistemas de dinero electrónico que preserven el anonimato de sus compras en Internet • Inseguridad en las transacciones electrónicas • Datos de compra capturados por alguien distinto del proveedor, y que posteriormente suplante su identidad • Proveedor debe asegurarse que quien efectúa el pedido es verdaderamente quien dice ser • Cifrado para confidencialidad de transacciones • Firma digital para integridad de las transacciones • Certificación para garantizar la identidad de las partes que intervienen • Recomendación: realizar transacciones con servidor web seguro El Marco Jurídico de la Auditoría Informática
Recomendaciones a Usuarios de Internet: Servicios de Internet - 4 Comercio electrónico - 2 • Envío de publicidad no solicitada a través del correo electrónico • Obtención de e-mail a través de listas de distribución, grupos de news, intercambio por parte de los proveedores de acceso, por los navegadores • Recomendación • E-mail puede ser recogido por terceros en listas • Configure su navegador para que no deje su dirección en los servidores web a los que accede • Elaboración de perfiles • El comportamiento del consumidor observado por el proveedor (registro de páginas de acceso, frecuencia, ...) • Recomendación: utilice servidores que preserven el anonimato El Marco Jurídico de la Auditoría Informática
Recomendaciones a Usuarios de Internet: Servicios de Internet - 5 Chat • Identificación real del usuario a través del seudónimo • Recomendación • No rellenar campos de datos reales del usuario Utilice comandos de opacidad • Disociación de sus datos de carácter personal de los de la cuenta de acceso a Internet El Marco Jurídico de la Auditoría Informática
Resumen Recomendaciones a Usuarios de Internet - 1 Información en la recogida de datos • Ser consciente de a quién se facilita y con qué finalidad los datos personales • Averigüe política de sus proveedores y administradores de listas en cuanto a venta, intercambio de datos que les suministra. Solicite que sus dato personales no vayan unidos a su identificación de acceso a Internet Finalidad para la que se recogen los datos • Desconfíe si los datos que le solicitan son excesivos para la finalidad con la que se recogen • Su e-mail en una lista de distribución puede ser recogido por terceros para utilizarse con una finalidad diferente (publicidad) • Sea consciente de Cookies, utilice mecanismos para preservar el anonimato El Marco Jurídico de la Auditoría Informática
Resumen Recomendaciones a Usuarios de Internet - 1 Seguridad en el intercambio de datos • Utilice últimas versiones de navegadores • No realice transacciones con sistemas no seguros • Utilice sistemas de dinero electrónico que preservan el anonimato de sus compras en Internet • Protección de sus datos de accesos no deseados: cifrado • No confíe ciegamente en que la persona que le remite un mensaje es quién dice ser y en que no se ha modificado el contenido, salvo mecanismos de autenticación y certificación Para terminar • Si le piden datos personales que no esté obligado legalmente a suministrar, sopese los beneficios que va a recibir de la organización que los recoge frente a posibles riesgos • Ante cualquier duda, contacte con la Agencia de Protección de Datos El Marco Jurídico de la Auditoría Informática
Reglamento de Medidas de Seguridad de los Ficheros Automatizados con Datos Personales - 2 Niveles de seguridad • Básico, medio y alto: función de la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información Aplicación de los niveles de seguridad • Ficheros con datos de carácter personal: nivel básico • Ficheros con datos relativos a infracciones administrativas o penales, hacienda pública: nivel medio • Ficheros con datos de ideología, religión, salud: nivel alto Régimen de trabajo fuera de los locales de la ubicación del fichero • Autorización expresa por el responsable el fichero El Marco Jurídico de la Auditoría Informática
Protección Jurídica de los Programas de Ordenador - 1 Programa de Ordenador, según Ley de Propiedad Intelectual • Toda secuencia de instrucciones o indicaciones destinadas a ser utilizadas directa o indirectamente en un sistema informático, para realizar una función o una tarea o para obtener un resultado determinado, cualquiera que fuere su forma de expresión o fijación • También comprenderá su documentación preparatoria, documentación técnica y manuales de uso Bien Inmaterial • Fruto o creación de la mente • Para que se haga perceptible para el mundo exterior es necesario plasmarlo en un soporte • Puede ser disfrutado simultáneamente por una pluralidad de personas El Marco Jurídico de la Auditoría Informática
Leyes chilenas vigentes • Ley 17.336 sobre propiedad intelectual • Ley 18.168 general de telecomunicaciones • Ley 19.223 sobre delitos informáticos • Ley 19.628 sobre protección de la vida privada (datos personales) • Ley firma electrónica El Marco Jurídico de la Auditoría Informática
Delitos Informáticos Fraude • Engaño, acción contraria a la verdad o a la rectitud Delito • Acción antijurídica realizada por un ser humano, tipificado, culpable y sancionado con una pena Delito Informático • Toda acción (acción u omisión) culpable realizada por un ser humano, que cause perjuicio a personas sin que necesariamente se beneficie el autor o que, por el contrario, produzca un beneficio ilícito a su autor aunque no perjudique de forma directa o indirecta a la víctima, tipificado por la ley, que se realiza en el entorno informático y está sancionado con una pena • Delitos contra la intimidad • Delitos contra el patrimonio • Falsedades documentales El Marco Jurídico de la Auditoría Informática
Delitos Informáticos contra la Intimidad - 1 Descubrimiento y revelación de secretos • Figura de quien para descubrir los secretos o vulnerar la intimidad de otro se apodera de mensajes de correo electrónico o cualesquiera otros documentos • Interceptación de las comunicaciones, la utilización de artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen de cualquier otra señal de comunicación (Pinchado de Redes Informáticas) Datos de carácter personal • Las mismas penas se impondrán a quién, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de terceros, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien sin estar autorizado acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero El Marco Jurídico de la Auditoría Informática
Delitos Informáticos contra la Intimidad - 2 Difusión, revelación o cesión de datos • Asimismo, se sanciona a quién conociendo su origen ilícito, y sin haber tomado parte en el descubrimiento, los difunda, revele o ceda • Circunstancias agravantes • Carácter de los datos: ideología, religión, creencias, salud, origen racial y vida sexual • Circunstancias de la víctima: menor de edad o incapaz El Marco Jurídico de la Auditoría Informática
Delitos Informáticos contra el Patrimonio - 1 Llaves falsas • Tarjetas, magnéticas o perforadas • Mandos o instrumentos de apertura a distancia Estafas Informáticas Perjuicio patrimonial realizado con ánimo de lucro mediante engaño (aprovecharse del error provocado o mantenido por el agente en la persona engañada) Daños Informáticos Se sanciona al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos • Virus informáticos • Bombas lógicas • Hackers El Marco Jurídico de la Auditoría Informática
Delitos Informáticos contra el Patrimonio - 2 Propiedad Intelectual (Piratería informática) • Será castigado con la pena de prisión de 6 meses a 2 años o de multa de 6 a 24 meses quien, con ánimo de lucro y en perjuicio de tercero reproduzca, plagie, distribuya o comunique públicamente, en todo o en parte, una obra literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios • Se sanciona la fabricación o puesta en circulación y la simple tenencia de un dispositivo para saltarse las llaves lógicas o “mochilas” El Marco Jurídico de la Auditoría Informática
Contratos Informáticos Aquel cuyo objeto es un bien o un servicio informático (o ambos) o que una de las prestaciones de las partes tenga por objeto ese bien o servicio informático Contratos: • Hardware • Objeto: parte física del ordenador y sus equipos auxiliares • Los más comunes son: compraventa, arrendamiento, leasing, mantenimiento • Software • Datos • Servicios • Completos El Marco Jurídico de la Auditoría Informática
Contratos Informáticos de Software - 1 Desarrollo de Software • Una persona física, un colectivo o una empresa crean un software específico, a medida, para otro • Tipos de contrato: arrendamiento de servicios o de obra, mercantil o laboral Licencia de uso • Es el contrato en virtud del cual el titular de los derechos de explotación de un programa de ordenador autoriza a otro a utilizar el programa, conservando el cedente la propiedad del mismo. Esta autorización, salvo pacto en contrario, se entiende de carácter no exclusivo e intransferible Adquisición de un producto software • Se trata de la contratación de una licencia de uso de un producto estándar que habrá que adaptar a las necesidades del usuario El Marco Jurídico de la Auditoría Informática
Contratos Informáticos de Software - 2 Mantenimiento • Tiene por objeto corregir cualquier error detectado en los programas fuera del período de garantía. • Tipos de mantenimiento: • Correctivo • Adaptivo • Perfectivo • Preventivo Garantía de acceso al código fuente • Tiene por objeto garantizar al usuario el acceso a un programa fuente en el caso de que desaparezca la empresa titular de los derechos de propiedad intelectual. Consiste en el depósito del programa fuente en un fedatario público, que lo custodia, por si en el futuro es preciso acceder al mismo El Marco Jurídico de la Auditoría Informática
Contratación de Datos - 1 Distribución de la información • Comercialización de la base de datos, durante un cierto período de tiempo, a cambio de un precio, lo que origina la obligación por parte del titular de la BD de aportar los datos que deben hacerse accesibles a los futuros usuarios, en una forma adecuada para su tratamiento por el equipo informático del distribuidor, y ceder a este último, en exclusiva o compartidos con otros distribuidores, los derechos de explotación que previamente haya adquirido por cesión o transmisión de los autores de las obras Suministro de información • El usuario puede acceder, siempre que lo precise, a las BD del distribuidor Compra • El titular de una BD vende a otro una copia de ésta con la posibilidad de que el adquirente, a su vez, pueda usarla y mezclarla con otras propias para después comercial con ellas El Marco Jurídico de la Auditoría Informática
Contratación de Datos - 2 Cesión • Igual que la compra, pero sólo se permite el uso por el cesionario de la base sin que se le permita la transmisión posterior Compra de etiquetas • No se permite al comprador la reproducción de las etiquetas y sí su empleo para envíos por correo El Marco Jurídico de la Auditoría Informática
Contratación de Servicios Consultoría Informática Auditoría Informática Formación Seguridad Informática Contratación de Personal Informático Instalación Comunicaciones Seguros Responsabilidad Civil El Marco Jurídico de la Auditoría Informática
Contratos Complejos Son los que incorporar como un todo hardware, software y algunos servicios determinados Outsourcing • Subcontratación de todo o de parte del trabajo informático mediante un contrato con una empresa externa que se integra en la estrategia de la empresa y busca diseñar una solución a los problemas existentes De respaldo (back-up) • Asegurar el mantenimiento de la actividad empresarial en el caso de que circunstancias previstas e inevitables impidan que siga funcionando el sistema informático De llave en mano • El proveedor se compromete a entregar el sistema creado donde el cliente le indique y asume la responsabilidad total del diseño, implementación, pruebas, integración y adaptación al entorno informático del cliente De suministro de energía informática • El suministrador poseedor de una UC que permanece en sus locales, pone a disposición del usuario la misma, lo que le permite el acceso a los “software”, a cambio de un precio El Marco Jurídico de la Auditoría Informática
Intercambio Electrónico de Datos Empresas mejoran su productividad • Reducción de costes • Agilización administrativa • Eliminación de errores • Eliminación de intermediarios entre el origen y el destino de los datos EDI (Electronic Data Interchange): sistema informático que permite las transacciones comerciales y administrativas directas (en un formato normalizado) a través del ordenador • Ahorro de tiempo y de papel • Razones para su implantación: • Precisión, Velocidad, Ahorro, Beneficios tangibles, Satisfacción del cliente El Marco Jurídico de la Auditoría Informática
Transferencia Electrónica de Fondos - 1 Todo tipo de envíos de fondos que se realicen por medios electrónicos Tipos principales • Entre entidades financieras • Entre otras organizaciones y las entidades financieras • El usuario colabora y (mediante las tarjetas y los cajeros) obtiene una serie de servicios bancarios • Terminales en los puntos de venta y el banco en casa Tarjetas • De Crédito • Proporcionan un crédito al titular de la misma • De Débito • Permiten a sus usuarios realizar compras en los establecimientos comerciales y ofrecen una gama de operaciones bancarias El Marco Jurídico de la Auditoría Informática
Transferencia Electrónica de Fondos - 2 Contratos • Los contratos celebrados entre los emisores o su representante y los prestadores o los consumidores revestirán la forma escrita y deberán ser objeto de una petición previa. Definirán con precisión las condiciones generales y específicas del acuerdo • Se redactarán en la lengua oficial del Estado miembro (CE) en que se haya celebrado • Cualquier tarifación de baremo de cargas se fijará con transparencia teniendo en cuenta las cargas y riesgos reales y no supondrá ningún obstáculo a la libre competencia • Todas las condiciones, siempre que sean conformes a la Ley, serán libremente negociables y se establecerán claramente en el contrato • Las condiciones específicas de rescisión del contrato se precisarán y comunicarán a las partes de la celebración del contrato El Marco Jurídico de la Auditoría Informática
Contratación Electrónica - 1 Todo intercambio electrónico de datos o documentos cuyo objeto sea la contratación No se pactan las cláusulas del contrato en el mismo momento del intercambio electrónico (Intercambio Electrónico de Datos y Transferencia Electrónica de Fondos) Otro tipo de contratación electrónico: contrato se establece en el momento de la transacción electrónica • Desde el grado de la inmediatez • Contrato por correspondencia • Desde la calidad del diálogo • Videoconferencia, Teléfono • Desde la seguridad • Autentificación de la identidad del usuario y al rastro que deja la transacción y que puede utilizarse como prueba El Marco Jurídico de la Auditoría Informática
Contratación Electrónica - 2 Problemas • Identidad de los contratantes • Extensión o no de este tipo de contratación a todos los contratos • ¿Cuándo y dónde se concluye el contrato? El Marco Jurídico de la Auditoría Informática
El Documento Electrónico DRAE • Escribir es representar las palabras o las ideas con letras u otros signos (p.e. código binario) trazados en papel u otra superficie (p.e. soporte informático) Problema de la firma • Identificativa, para identificar quién es el autor del documento • Declarativa, declara que el autor de la firma asume el contenido del documento • Probatoria, permite verificar si el autor de la firma es efectivamente aquel que ha sido identificado como tal en el caso de la propia firma Característica de la firma • Habitualidad y puesta de puño y letra por el firmante • Firma digital (secreta, fácil de producir y de reconocer y difícil de falsificar) implica fedatario electrónico, que sea capaz de verificar la autenticidad de los documentos que circulan por las líneas de comunicación El Marco Jurídico de la Auditoría Informática