auditoria redes unidad 1

¿Qué es la Auditoría de Redes?

Identificar los conceptos básicos requeridos para la práctica de auditoría de redes de voz y datos.

CONOCIMIENTOSDE LA UNIDAD DE

APRENDIZAJEAUDITORÍA DE REDES

UNIDAD DE COMPETENCIA I

CONCEPTO DE AUDITORÍA A LAS TECNOLOGÍAS DE LA INFORMACIÓN

TIPOS DE AUDITORÍA

ORGANIZACIÓN DE LA FUNCIÓN DE AUDITORÍA

ESTÁNDARES, DIRECTRICES, PROCEDIMIENTOS Y GUÍAS DE AUDITORÍA

CÓDIGO DE ÉTICA PROFESIONAL DEL AUDITOR

EL CONTROL INTERNO

COBIT

DETECCIÓN DE FRAUDES

AUTOEVALUACIÓN DEL CONTROL

RIESGOS DE AUDITORÍA Y MATERIALIDAD

ITIL

MARCO JURÍDICO NORMATIVO DE LA FUNCIÓN DE AUDITORÍA

La Auditoría Informática constituye una serie de exámenes que se realizan en un sistema informático de manera periódica o esporádica, con el propósito de analizar y evaluar la planificación, la eficacia, sus objetivos de control, la seguridad, economía y por supuesto la detección de irregularidades que se podrían manifestar en el procesamiento de la información.

La Auditoría Informática comprende la revisión y la evaluación independiente y objetiva, del ambiente y del entorno informático de una organización. Comprende la evaluación de todas o algunas de sus áreas, los estándares y procedimientos en vigor, su calidad y el cumplimiento de ellos, de los objetivos fijados, de los contratos y las normas legales aplicables; el grado de satisfacción de usuarios y directivos; los controles existentes y un análisis de los riesgos.

El curso está centrado en el análisis de los aspectos teóricos, metodológicos y técnicos de los diversos temas que comprende la auditoría informática. El propósito fundamental es el de ofrecer a los estudiantes, métodos y procedimientos que apoyados en tecnologías de la información fortalezcan el aprendizaje significativo.

Comprende la enseñanza – aprendizaje de 5 unidades didácticas que tendrán como diferentes recursos para lograr la construcción del conocimiento de los estudiantes.

Definiendo Auditoría

La palabra auditoría viene del latín “auditorius”, y de esta proviene auditor el que tiene la virtud de oír; “revisor de cuentas colegiado”

El auditor tiene la virtud de oír y revisar cuentas, encaminado a un objetivo específico, evaluar la eficiencia y eficacia con que se está operando para que por medio de señalamientos , se tomen decisiones que permitan corregir los errores en caso de que existan o mejorar la forma de actuación.


con frecuencia la palabra auditoría se ha empleado incorrectamente y se le ha considerado una evaluación cuyo único fín es detectar errores y señalar fallas, por eso la frase tan utilizada “tiene auditoría” como sinónimo de que antes de realizarse, ya se encontraron fallas y por lo tanto se está haciendo la auditoría.


El concepto de auditoría es más amplio; no solo detecta errores:

es un examen crítico con la finalidad de evaluar la eficiencia y eficacia de una sección o un organismo,

Determinar cursos alternativos de acción para mejorar la organización y lograr los objetivos propuestos

CONCEPTO DE AUDITORÍA A LAS

TECNOLOGÍAS DE LA INFORMACIÓN

La Auditoria de TECNOLOGIAS DE INFORMACION (T.I.), como se le conoce actualmente, (Auditoria informática o Auditoria de sistemas en nuestro medio).

En algunos países altamente desarrollados es catalogada como una actividad de apoyo vital para el mantenimiento de la infraestructura crítica de una nación, tanto en el sector público como privado, en la medida en que la INFORMACION es considerada un activo tan o más importante que cualquier otro en una organización.

Concepto de Auditoríaa las tecnologías de la Información


Existen, normas, técnicas y buenas practicas dedicadas a la evaluación y aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad de la INFORMACION tratada y almacenada a través de la computadora y equipos afines, así como de la eficiencia, eficacia y economía con que la administración de un ente están manejando dicha INFORMACION y todos los recursos físicos y humanos asociados para su adquisición, captura, procesamiento, transmisión, distribución, uso y almacenamiento.


Cuyo objetivo es una opinión o juicio, para lo cual se aplican técnicas de auditoria de general aceptación y conocimiento técnico específico.


apoyada por un conjunto de conocimientos acerca de la tecnología informática, de técnicas y procedimientos de auditoría y de conocimientos contables, para evaluar la calidad, fiabilidad y seguridad de un entorno informático dado, así como brindar seguridad razonable acerca de la utilidad de la información almacenada y procesada en ellos, con el fin de emitir un juicio al respecto.

Concepto de Auditoría

Finalmente, deberá expresar su opinión acerca del grado de eficiencia, eficacia y economía con que están siendo usados - administrados todos los recursos de tecnología informática a cargo de la administración, incluido el factor humano.

Auditoría de Red

La globalización, la competencia y los avancestecnológicos están aumentando la importancia de las redes corporativas en todos los sectores empresariales.

Las empresas con mayor visión deben estar preparadas para una creciente dependencia de sus redes y, en consecuencia, para un crecimiento de red exponencial.Además, La infraestructura de las Tecnologías de la Información y de las Comunicaciones (TIC) se ha convertido en un activo empresarial estratégico y la red constituye su núcleo.

Concepto

Una Auditoria de Redes es, en esencia, una serie de mecanismos mediante los cuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la información.

CONCEPTO Una Auditoria de Redes es, en esencia, unaserie de mecanismos mediante los cuales sepone a prueba una red informática, evaluandosu desempeño y seguridad, a fin de lograr unautilización más eficiente y segura de lainformación. El primer paso para iniciar unagestión responsable de la seguridad esidentificar la estructura física (hardware,topología) y lógica (software, aplicaciones) delsistema (sea un equipo, red, intranet, extranet),y hacerle una Análisis de Vulnerabilidad, parasaber en qué grado de exposición nosencontramos;

Concepto

El primer paso para iniciar unagestión responsable de la seguridad esidentificar la estructura física (hardware,topología) y lógica (software, aplicaciones) del sistema (sea un equipo, red, intranet, extranet), y hacerle una Análisis de Vulnerabilidad, para saber en qué grado de exposición nos encontramos.

Concepto

Así, hecha esta "radiografía" de la red, seprocede a localizar sus fallas máscríticas, para proponer una Estrategia deSaneamiento de los mismos; un Plan deContención ante posibles incidentes; y unSeguimiento Contínuo del desempeño delsistema.

TIPOS DE AUDITORÍA

Tipos de Auditoría

Auditoría Interna y Auditoría Externa:

La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada.

Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento.

Auditoría externa

Realizada por personas afines a la empresa auditada; es siempre remunerada.

Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados.

Auditoría informática interna

La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales.

La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorías, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.


En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades técnicas y los costeo de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informática y ésta necesita que su propia gestión esté sometida a los mismos Procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático.


En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoría propia y permanente, mientras que el resto acuden a las auditorías externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la Auditoría Interna de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su propio grupo de Control Interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no sería independiente.


Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas.


Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. Las razones para hacerlo suelen ser:

1) Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados.

Ausitoría informática interna

2) Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa.

3) Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la misma empresa.


Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa.

La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de la empresa.

La función auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente.

Tipos y clases de auditoría

Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática: de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Áreas Especificas de la Auditoría Informática más importantes.

Tipos y clases de auditoría

Cada Área Especifica puede ser auditada desde los siguientes criterios generales:

Desde su propio funcionamiento interno.

Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de cumplimiento de las directrices de ésta.

Desde la perspectiva de los usuarios, destinatarios reales de la informática.

Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama auditada.

Tipos y clases de auditoría entre otras

Financiera Informática Gestión Cumplimiento

ORGANIZACIÓN DE LA FUNCIÓN DE AUDITORÍA

Organización de la función de auditoría

La función de auditoría informática paso de ser una función de ayuda al auditor financiero a ser una función que desarrolla un trabajo, y seguirá haciéndolo en el futuro.

En acuerdo con la importancia que tienen los sistemas informáticos y de información para las organizaciones. El auditor informático pasa a ser auditor y consultor y asesor en:seguridad, control interno, eficiencia y eficacia, tecnología informática, continuidad de operaciones, gestión de riesgos.

Mas allá de los sistemas informáticos sino en el contexto empresarial.


¿cómo se debe organizar la función de auditoría informática dentro de la empresa?

Históricamente la función de auditoría informática se considera dentro de la función de auditoría interna, pero debe ser independiente de los objetivos de la auditoría interna operativa y financiera.

Debe tener accesibilidad total a los sistemas informáticos y de información.

Debe estar bajo la dirección del director de auditoría interna, para evitar que otras dependencias cambien o disminuyan su imagen.


No debe depender del encargado de sistemas ni del departamento de organización, financiero o administrativo (debe ser independiente).

El departamento de auditoría informática debe tener una organzación interna basada en:

Jefe del departamento

Gerente o supervisor de auditoría informática

Staff de auditores informáticos


El tamaño debe estar en función de los objetivos de la función, con especialistas en entorno informático en comunicaciones y o redes, responsable de gestión de riesgo operativo, responsable de la auditoría de sistemas y de ser posible un especialista para la elaboracíón de programas trabajos conjuntos con la auditoría financiera.

ESTÁNDARES, DIRECTRICES,

PROCEDIMIENTOS Y GUÍAS DE AUDITORÍA

Estándares

La Organización Internacional para la Estandarización, ISO por sus siglas en inglés (International Organization for Standardization), es una federación mundial que agrupa a representantes de cada uno de los organismos nacionales de estandarización (como lo es el IRAM en la Argentina), y que tiene como objeto desarrollar estándares internacionales que faciliten el comercio internacional.

Cuando las organizaciones tienen una forma objetiva de evaluar la calidad de los procesos de un proveedor, el riesgo de hacer negocios con dicho proveedor se reduce en gran medida, y si los estándares de calidad son los mismos para todo el mundo, el comercio entre empresas de diferentes países puede potenciarse en forma significativa – y de hecho, así ha ocurrido –.

Estándares

Durante las últimas décadas, organizaciones de todos los lugares del mundo se han estado preocupando cada vez más en satisfacer eficazmente las necesidades de sus clientes, pero las empresas no contaban, en general, con literatura sobre calidad que les indicara de qué forma, exactamente, podían alcanzar y mantener la calidad de sus productos y servicios.

De forma paralela, las tendencias crecientes del comercio entre naciones reforzaba la necesidad de contar con estándares universales de la calidad. Sin embargo, no existía una referencia estandarizada para que las organizaciones de todo el mundo pudieran demostrar sus prácticas de calidad o mejorar sus procesos de fabricación o de servicio.

Estándares

Teniendo como base diferentes antecedentes sobre normas de estandarización que se fueron desarrollando principalmente en Gran Bretaña, la ISO creó y publicó en 1987 sus primeros estándares de dirección de la calidad: los estándares de calidad de la serie ISO 9000.

Con base en Ginebra, Suiza, esta organización ha sido desde entonces la encargada de desarrollar y publicar estándares voluntarios de calidad, facilitando así la coordinación y unificación de normas internacionales e incorporando la idea de que las prácticas pueden estandarizarse tanto para beneficiar a los productores como a los compradores de bienes y servicios. Particularmente, los estándares ISO 9000 han jugado y juegan un importante papel al promover un único estándar de calidad a nivel mundial.

Estándares LA FAMILIA ISO

Las series de normas ISO relacionadas con la calidad constituyen lo que se denomina familia de normas, las que abarcan distintos aspectos relacionados con la calidad:

ISO 9000: Sistemas de Gestión de Calidad Fundamentos, vocabulario, requisitos, elementos del sistema de calidad, calidad en diseño, fabricación, inspección, instalación, venta, servicio post venta, directrices para la mejora del desempeño.

ISO 10000: Guías para implementar Sistemas de Gestión de Calidad/ Reportes TécnicosGuía para planes de calidad, para la gestión de proyectos, para la documentación de los SGC, para la gestión de efectos económicos de la calidad, para aplicación de técnicas estadísticas en las Normas ISO 9000. Requisitos de aseguramiento de la calidad para equipamiento de medición, aseguramiento de la medición.

ISO 14000: Sistemas de Gestión Ambiental de las Organizaciones. Principios ambientales, etiquetado ambiental, ciclo de vida del producto, programas de revisión ambiental, auditorías.

ISO 19011: Directrices para la Auditoría de los SGC y/o Ambiental

I.1 Aplicación La ISO 9001 – 2000 se puede aplicar en cualquier tipo de

organización, ya sea con o sin fines de lucro, manufacturera o de servicios, grande, mediana o pequeña.

I.2 ¿Qué se necesita para iniciar un proceso de Aseguramiento de la Calidad s/Normas ISO serie 9001-2000?

¸ Compromiso real y participación de los directivos ¸ Involucramiento de todos los empleados¸ Comunicación¸ Capacitación de todas las áreas de la organización ¸ Disponibilidad de recursos dedicados a la implementación del SGC (responsables, tiempos, dinero, espacios físicos para reuniones, etc.)¸ Definición clara de responsabilidades

¸ Realización de un diagnóstico de calidad¸ Comprensión de los requerimientos de los clientes¸ Fijación de políticas y objetivos de calidad¸ Establecimiento de un plan de calidad¸ Ordenamiento de la documentación existente¸ Creación de la documentación del SGC s/ norma ISO (Manual de Calidad, procedimientos, instrucciones de trabajo)¸ Puesta a punto o calibración de máquinas, equipos, etc.¸ Diseño e implementación de mecanismos de mejora continua¸ Definición, planificación e implementación de actividades de medición y seguimiento necesarias para asegurar el cumplimiento de las exigencias de la norma

DirectricesUna auditoría se realiza con base a un patrón o conjunto de directrices o buenas practicas sugeridas. Existen estándares orientados a servir como base para auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el standard ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.

Procedimientos

Al conjunto de técnicas de investigación aplicables a un grupo de hechos o circunstancias que nos sirven para fundamentar la opinión del auditor dentro de una auditoría, se les dan el nombre de procedimientos de auditoría en informática.

La combinación de dos o más procedimientos, derivan en programas de auditoría, y al conjunto de programas de auditoría se le denomina plan de auditoría, el cual servirá al auditor para llevar una estrategia y organización de la propia auditoría.

El auditor no puede obtener el conocimiento que necesita para sustentar su opinión en una sola prueba, es necesario examinar los hechos, mediante varias técnicas de aplicación simultánea.

Procedimientos

Análisis de datos. Dentro de este trabajo, desarrollaremos

diversos tipos de técnicas y procedimientos de auditoría, de los cuales destacan el análisis de datos, ya que para las organizaciones el conjunto de datos o información son de tal importancia que es necesario verificarlos y comprobarlos, así también tiene la misma importancia para el auditar ya que debe de utilizar diversas técnicas para el análisis de datos, basados en [bib-solis-2002], las cuales se describen a continuación.

Procedimientos

En General los procedimientos de auditoría permiten:Obtener conocimientos del control interno.Analizar las características del control interno.Verificar los resultados de control interno.Fundamentar conclusiones de la auditoría.Por esta razón el auditor deberá aplicar su experiencia y decidir cuál técnica o procedimiento de auditoría serán los mas indicados par obtener su opinión.

Procedimientos

Comparación de programas esta técnica se emplea para efectuar una

comparación de código (fuente, objeto o comandos de proceso) entre la versión de un programa en ejecución y la versión de un programa piloto que ha sido modificado en forma indebida, para encontrar diferencias.

Mapeo y rastreo de programas esta técnica emplea un software especializado que

permite analizar los programas en ejecución, indicando el número de veces que cada línea de código es procesada y las de las variables de memoria que estuvieron presentes.

Procedimientos

Análisis de código de programas Se emplea para analizar los programas de una

aplicación. El análisis puede efectuarse en forma manual (en cuyo caso sólo se podría analizar el código ejecutable).

Datos de prueba Se emplea para verificar que los procedimientos de

control incluidos los programas de una aplicación funcionen correctamente. Los datos de prueba consisten en la preparación de una serie de transacciones que contienen tanto datos correctos como datos erróneos predeterminados.

Procedimientos

Datos de prueba integrados Técnica muy similar a la anterior, con la diferencia

de que en ésta se debe crear una entidad, falsa dentro de los sistemas de información.

Análisis de bitácoras Existen varios tipos de bitácoras que pueden ser

analizadas por el auditor, ya sea en forma manual o por medio de programas especializados, tales como bitácoras de fallas del equipo, bitácoras de accesos no autorizados, bitácoras de uso de recursos, bitácoras de procesos ejecutados.

Procedimientos

Simulación paralela Técnica muy utilizada que consiste en

desarrollar programas o módulos que simulen a los programas de un sistema en producción. El objetivo es procesar los dos programas o módulos de forma paralela e identificar diferencias entre los resultados de ambos.

Procedimientos

Monitoreo. Dentro de las organizaciones todos los

procesos necesitan ser evaluados a través del tiempo para verificar su calidad en cuanto a las necesidades de control, integridad y confidencialidad, este es precisamente el ámbito de esta técnica, a continuación se muestran los procesos de monitoreo:

Procedimientos

M1 Monitoreo del proceso. M2 Evaluar lo adecuado del control

Interno. M3 Obtención de aseguramiento

independiente. M4 Proveer auditoría independiente.

Procedimientos

M1 Monitoreo del proceso Asegura el logro de los objetivos para los

procesos de TI, lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeño y la implementación de sistemas de soporte así como la atención regular a los reportes emitidos.

Para ello la gerencia podrá definir indicadores claves de desempeño y factores críticos de éxito y compararlos con los niveles propuestos para evaluar el desempeño de los procesos de la organización.

Procedimientos

M2 Evaluar lo adecuado del control Interno Asegura el logro de los objetivos de control

interno establecidos para los procesos de TI, para ello se debe monitorear la efectividad de los controles internos a través de actividades administrativas, de supervisión, comparaciones, acciones rutinarias, evaluar su efectividad y emitir reportes en forma regular

M3 Obtención de aseguramiento independiente Incrementa los niveles de confianza entre la

organización, clientes y proveedores, este proceso se lleva a cabo a intervalos regulares de tiempo.

Para ello la gerencia deberá obtener una certificación o acreditación independiente de seguridad y control interno antes de implementar nuevos servicios de tecnología de información que resulten críticos, así como para trabajar con nuevos proveedores de servicios de tecnología de información, luego la gerencia deberá adoptar como trabajo rutinario tanto hacer evaluaciones periódicas sobre la efectividad de los servicios de tecnología de información, de los proveedores de estos servicios así como también asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnología de información y de los proveedores de dichos servicios.

Procedimientos M4 Proveer auditoría independiente. Incrementa los niveles de confianza de

recomendaciones basadas en mejores prácticas de su implementación, lo que se logra con el uso de auditorías independientes desarrolladas a intervalos regulares de tiempo.

Para ello la gerencia deberá establecer los estatutos para la función de auditoría, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditoría.

El auditor deberá ser independiente del auditado, esto significa que los auditores no deberán estar relacionados con la sección o departamento que esté siendo auditado y en lo posible deberá ser independiente de la propia empresa, esta auditoría deberá respetar la ética y los estándares profesionales, seleccionando para ello auditores que sean técnicamente competentes, es decir que cuenten con habilidades y conocimientos que aseguren tareas efectivas y eficientes de auditoría informática.

La función de la auditoría informática deberá proporcionar un reporte que muestre los objetivos, período de cobertura, naturaleza y trabajo de auditoría realizado, así como también la organización, conclusión y recomendaciones relacionadas con el trabajo de auditoría informática llevado a cabo.

Procedimientos

Análisis de bitácoras. Hoy en día los sistemas de cómputo se

encuentran expuestos a distintas amenazas, las vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen más complejos, el número de ataques también aumenta, por lo anterior las organizaciones deben reconocer la importancia y utilidad de la información contenida en las bitácoras de los sistemas de computo así como mostrar algunas herramientas que ayuden a automatizar el proceso de análisis de las mismas.

Procedimientos

El crecimiento de Internet enfatiza esta problemática, los sistemas de cómputo generan una gran cantidad de información, conocidas como bitácoras o archivos logs, que pueden ser de gran ayuda ante un incidente de seguridad, así como para el auditor.

Una bitácora puede registrar mucha información acerca de eventos relacionados con el sistema que la genera los cuales pueden ser:

Fecha y hora. Direcciones IP origen y destino. Dirección IP que genera la bitácora. Usuarios. Errores.

Procedimientos

La importancia de las bitácoras es la de recuperar información ante incidentes de seguridad, detección de comportamiento inusual, información para resolver problemas, evidencia legal, es de gran ayuda en las tareas de cómputo forense.

Las Herramientas de análisis de bitácoras mas conocidas son las siguientes:

Para UNIX, Logcheck, SWATCH. Para Windows, LogAgent

Procedimientos

Las bitácoras contienen información crítica es por ello que deben ser analizadas, ya que están teniendo mucha relevancia, como evidencia en aspectos legales.

El uso de herramientas automatizadas es de mucha utilidad para el análisis de bitácoras, es importante registrar todas las bitácoras necesarias de todos los sistemas de cómputo para mantener un control de las mismas.

Procedimientos

Técnicas de auditoría asistida por computadora La utilización de equipos de computación en las

organizaciones, ha tenido una repercusión importante en el trabajo del auditor, no sólo en lo que se refiere a los sistemas de información, sino también al uso de las computadoras en la auditoría.

Al llevar a cabo auditorías donde existen sistemas computarizados, el auditor se enfrenta a muchos problemas de muy diversa condición, uno de ellos, es la revisión de los procedimientos administrativos de control interno establecidos en la empresa que es auditada.

Procedimientos

La utilización de paquetes de programas generalizados de auditoría ayuda en gran medida a la realización de pruebas de auditoría, a la elaboración de evidencias plasmadas en los papeles de trabajo.

Según [bib-zavaro-martinez] las técnicas de auditoría Asistidas por Computadora (CAAT) son la utilización de determinados paquetes de programas que actúan sobre los datos, llevando a cabo con más frecuencia los trabajos siguientes:

Procedimientos

Selección e impresión de muestras de auditorías sobre bases estadísticas o no estadísticas, a lo que agregamos, sobre la base de los conocimientos adquiridos por los auditores.

Manipulación de la información al calcular subtotales, sumar y clasificar la información, volver a ordenar en serie la información, etc.

Procedimientos

Consecuentemente, se hace indispensable el empleo de las CAAT que permiten al auditor, evaluar las múltiples aplicaciones específicas del sistema que emplea la unidad auditada, el examinar un diverso número de operaciones específicas del sistema, facilitar la búsqueda de evidencias, reducir al mínimo el riesgo de la auditoría para que los resultados expresen la realidad objetiva de las deficiencias, así como de las violaciones detectadas y elevar notablemente la eficiencia en el trabajo.

Procedimientos

Teniendo en cuenta que se hacía imprescindible auditar sistemas informáticos; así como diseñar programas auditores, se deben incorporar especialistas informáticos, formando equipos multidisciplinarios capaces de incursionar en las auditorías informáticas y comerciales, independientemente de las contables, donde los auditores que cumplen la función de jefes de equipo, están en la obligación de documentarse sobre todos los temas auditados.

Procedimientos

De esta forma los auditores adquieren más conocimientos de los diferentes temas, pudiendo incluso, sin especialistas de las restantes materias realizar análisis de esos temas, aunque en ocasiones es necesario que el auditor se asesore con expertos, tales como, ingenieros industriales, abogados, especialistas de recursos humanos o de normalización del trabajo para obtener evidencia que le permita reunir elementos de juicio suficientes.

Examen de registros de acuerdo con los criterios especificados.

Búsqueda de alguna información en particular, la cual cumpla ciertos criterios, que se encuentra dentro de las bases de datos del sistema que se audita.

Procedimientos

Benchmarking Las empresas u organizaciones deben buscar

formas o fórmulas que las dirijan hacia una mayor calidad, para poder ser competitivos, una de estas herramientas o fórmulas es el Benchmarking.

Existen varios autores que han estudiado el tema, y de igual manera existen una gran cantidad de definiciones de lo que es benchmarking, a continuación se presentan algunas definiciones.

Procedimientos

Benchmarking es el proceso continuo de medir productos, servicios y prácticas contra los competidores o aquellas compañías reconocidas como líderes en la industria (1)

(1) [bib-imcp] Normas y procedimientos de auditoría. Instituto Mexicano de Contadores Públicos (IMCP).

Procedimientos

Esta definición presenta aspectos importantes tales como el concepto de continuidad, ya que benchmarking no sólo es un proceso que se hace una vez y se olvida, sino que es un proceso continuo y constante.

Según la definición anterior podemos deducir que se puede aplicar benchmarking a todas las facetas de las organizaciones, y finalmente la definición implica que el benchmarking se debe dirigir hacia aquellas organizaciones y funciones de negocios dentro de las organizaciones que son reconocidas como las mejores.

Procedimientos

Entre otras definiciones tenemos la extraída del libro Benchmarking de Bengt, la cual es: “benchmarking es un proceso sistemático y continúo para comparar nuestra propia eficiencia en términos de productividad, calidad y prácticas con aquellas compañías y organizaciones que representan la excelencia”.

Como vemos en esta definición se vuelve a mencionar el hecho de que benchmarking es un proceso continuo, también se presenta el término de comparación y por ende remarca la importancia de la medición dentro del benchmark.

Procedimientos

Estos autores se centran, a parte de la operaciones del negocio, en la calidad y en la productividad de las mismas, considerando el valor que tienen dichas acciones en contra de los costos de su realización lo cual representa la calidad, y la relación entre los bienes producidos y los recursos utilizados para su producción, lo cual se refiere a la productividad.

Por lo que podemos ver existen varias definiciones sobre lo que es benchmarking, y aunque difieren en algunos aspectos también se puede notar que concuerdan o presentan una serie de elementos comunes.

Procedimientos

Para empezar en la mayoría de ellas se resalta el hecho de que benchmarking es un proceso continuo que al aplicarla en nuestra empresa resuelva los problemas de la misma, sino que es un proceso que se aplicará una y otra vez ya que dicho proceso está en búsqueda constante de las mejores prácticas de la industria, y como sabemos la industria está en un cambio constante y para adaptarse a dicho cambio desarrolla nuevas practicas, por lo que no se puede asegurar que las mejores prácticas de hoy lo serán también de mañana.

Procedimientos

También se vio en las diferentes definiciones que este proceso no sólo es aplicable a las operaciones de producción, sino que puede aplicarse a todas la fases de las organizaciones, por lo que benchmarking es una herramienta que nos ayuda a mejorar todos los aspectos y operaciones del negocio, hasta el punto de ser los mejores en la industria, observando aspectos tales como la calidad y la productividad en el negocio.

De igual manera podemos concluir que es de suma importancia como una nueva forma de administrar ya que cambia la práctica de compararse sólo internamente a comparar nuestras operaciones en base a estándares impuestos externamente por las organizaciones conocidas como las de excelencia dentro de la industria.

[2]http://Monografias.com/Trabajos4.html

Guías

Una guía de auditoría es un manual escrito que contiene directrices específicas o instrucciones para llevar a cabo una auditoría. Estas guías están generalmente específicas de negocio industrias o sectores, tales como las compañías de seguros, corredurías y compañías de financiamiento. Guías de auditoría pueden basarse en los principios de marco de contabilidad nacionales o reglamentaciones gubernamentales relativas a industrias específicas del negocio o sectores.Auditores utilicen dichas guías para evaluar la financiera o las operaciones de negocios de una empresa y determinan si cualquier violaciones o debilidades importantes existen en información interna o externa de la empresa.

Una guía de auditoría puede desarrollarse para cada tipo de auditoría llevada a cabo por una firma de contabilidad pública u otra organización. Tipos más comunes de las auditorías incluyen financiera, cumplimiento de normas, o las auditorías operacionales. La Guía de auditoría puede utilizarse por auditores internos empleados directamente por la empresa o por auditores públicos que realizan auditorías externas. Guías de auditoría interna y auditoría externa usualmente difieren en su ámbito de aplicación para la evaluación de la información de la empresa. Las auditorías internas suelen ser menos formal y destinados a uso de gestión sólo. Una guía de auditoría externa a menudo se utiliza para evaluar la información de la empresa de despacho a los interesados de negocios externos.

Una guía de auditoría interna normalmente comprueba la implementación de las empresas de controles internos para proteger su información financiera y de negocios. Controles internos podrán limitar el número de funciones de un individuo puede completar en la empresa, restringir el acceso a información confidencial de la empresa o del cliente, garantizar que la compañía cumple requisitos para las designaciones profesionales, o reunión específica gubernamentales y legales. Los directores de contabilidad a menudo son responsables de desarrollar a la Guía de auditoría interna y asegurar que la guía cubre todas las funciones importantes del negocio de la empresa.

Planeación de la Auditoria Informática

Se debe recopilar información para obtener una visión general del área a auditar por medio de: observaciones, entrevistas preliminares ysolicitudes de documentos.

La finalidad es definir el objetivo y alcance del estudio, así como el programa detallado de la investigación.

La planeación de la auditoría debe señalar en forma detallada el alcance y dirección esperados y debe comprender un plan de trabajo para que, en caso de que existan cambios o condiciones inesperadas que ocasionen modificaciones al plan general, sean justificadas por escrito.

Se debe hacer una investigación preliminar solicitando y revisando la información de cada una de las áreas de la organización.

Para poder analizar y dimensionar la estructura por auditar se debe solicitar:

1- A nivel Organización Total:

Objetivos a corto y largo plazo

Manual de la Organización

Antecedentes o historia del Organismo

Políticas generales

2. A nivel Área informática:Objetivos a corto y largo plazo Manual de organización del área que incluya puestos, niveles jerárquicos y tramos de mando. Manual de políticas, reglamentos internos y lineamientos generales. Número de personas y puestos en el área Procedimientos administrativos en el área. Presupuestos y costos del área.

3. Recursos materiales y técnicosSolicitar documentos sobre los equipos, número (de los equipos por instalados, por instalar y programados), localización y características. Fechas de instalación de los equipos y planes de instalación. Contratos vigentes de compra, renta y servicio de mantenimiento. Contrato de seguros Convenios que se mantienen con otras instalaciones Configuración de los equipos, capacidades actuales y máximas. Planes de expansión Ubicación general de los equipos Políticas de operación Políticas de uso o de equipos

4- Sistemas Manual de formularios. Manual de procedimientos de los

sistemas Descripción genérica Diagrama de entrada, archivo y salida. Salidas impresas Fecha de instalación de los sistemas Proyectos de instalación de nuevos

sistemas.

Como resultado de los trabajos preliminares se debe explicitar:

objetivo

alcance

limitaciones y colaboración necesarias

grado de responsabilidad

Informes que se entregaran

Fases de la Auditoría Informática

TOMA DE CONTACTO PLANIFICACION DE LA OPERACION DESARROLLO DE LA AUDITORIA FASE DE DIAGNOSTICO PRESENTACION DE LAS

CONCLUSIONES FORMULACION DEL PLAN DE

MEJORAS

Toma de Contacto En esta etapa se deberán establecer:

- Definitivamente el objetivo de la AI - Las áreas a cubrir - Personas de la Organización que habrán de

colaborar y en que momentos de la auditoria - Plan de trabajo: - tareas - calendario - resultados parciales - presupuesto - equipo auditor necesario

Planificación de la Operación

Desarrollo de la Auditoria Informática Es el momento de ejecutar las tareas

que se enunciaron en la fase anterior. Es esta una fase de observación, de recolección de datos, situaciones, deficiencias, en resumen un período en el que:

se efectuarán las entrevistas previstas en la fase de planificación.

se completarán todos los cuestionarios que presente el auditor

se observarán las situaciones deficientes, no solo las aparentes, sino las que hasta ahora no hayan sido detectadas, para lo que se podrá llegar a simular situaciones límites.

se observarán los procedimientos, tanto los informáticos como los de usuarios.

se ejecutarán por lo tanto, todas las previsiones efectuadas en la etapa anterior con el objeto de llegar a la siguiente etapa en condiciones de diagnosticar la situación encontrada.

Fase de Diagnóstico

Cuando ya se hayan efectuado todas los estudios y revisiones, se debe elaborar el diagnóstico. Como resultados de esta etapa han de quedar claramente definidos los puntos débiles, y por contrapunto los fuertes, los riesgos eventuales, y en primera instancia los posibles tipos de solución o mejoras de los problemas planteados.

Estas conclusiones se discutirán con las personas afectadas por lo que serán suficientemente argumentadas y probadas.

Es un momento delicado en el trato con las áreas, los auditores deben presentar estas conclusiones como un plan de mejoras en beneficio de todos, en lugar de una reprobación de los afectados, salvo en el caso de que esto sea estrictamente necesario.

Presentación de las Conclusiones Formulación del Plan de Mejoras Llegados a este último punto, la dirección

conoce ya las deficiencias que el equipo auditor ha observado en su departamento informático, éstas han sido discutidas. Mas no basta con quedarse ahí, ahora es cuando los auditores han de demostrar su experiencia en situaciones anteriores lo suficientemente contrastadas y exitosas y ser capaces de adjuntar, al informe de auditoría, el plan de mejoras que permitirá solventar las deficiencias encontradas.

El plan de mejoras abarcará todas las recomendaciones derivadas de las deficiencias detectadas en la realización de la auditoria. Para ello se tendrán en cuenta los recursos disponibles, o al menos potencialmente disponibles, por parte de la Empresa objeto de la Auditoria.

Entre las primeras se incluirán aquellas mejoras puntuales y de fácil realización como son las mejoras en plazo, calidad, planificación o formación. Las medidas de mediano plazo necesitaran de uno a dos años para poderse concretar. Aquí pues caben mejoras más profundas y con mayor necesidad de recursos, como la optimización de programas, o de la documentación, e incluso de algunos aspectos de diseño de los sistemas.

Para finalizar, las consideraciones a largo plazo, pueden llevar cambios sustanciales en las políticas, medios o incluso estructuras del servicio de informática. Estas mejoras pueden pasar por la reconsideración de los sistemas en uso o de los medios, humanos y materiales, con que se cuenta, llegando si es preciso a una seria reconsideración del plan informático.

ALGUNAS RECOMENDACIONES A TENER EN CUENTA:

1- No hacer juicios sin la suficiente fundamentación 2- Cuidar los aspectos de imagen, presentación y protocolo 3- No adelantar resultados parciales que pueden distorsionar el resultado final 4- Las entrevistas iniciales son un aspecto muy a cuidar. Hay que prepararlas muy bien para que surtan el efecto que de ellas se espera.

5- En todo momento, por cordiales que resulten las relaciones con los auditados, no perder de vista el papel de consultores experimentados que han de tener los auditores informáticos. 6- Exponer la idea que los resultados de la auditoria no harán más que intentar mejorar, a todos los efectos, el servicio de informática con el beneficio que ello supondría para todos los implicados en el área.

7- Exponer la idea que al final de la auditoria no se trata de castigar a nadie. El objetivo fundamental es el de encontrar deficiencias y corregirlas.

8- Estudiar hechos y no opiniones. (no se toman en cuenta rumores ni información sin fundamento)

9- Investigar las causas, no los efectos.

10- Atender razones, no excusas.

11- Criticar objetivamente y a fondo todos los informes y los datos recabados.

CÓDIGO DE ETICA PROFESIONAL DEL AUDITOR

Elaborar resumen capítulo 7 Piattini

EL CONTROL INTERNO

El control interno informático controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y no normas fijados por la Dirección de la organización y/o a la dirección de informática así como los requerimientos legales.

Misión del control interno informático

Asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válida.

Suele ser un órgano staff, dotado de las personas y medios materiales proporcionados para tareas encomendadas.

Objetivos:

Controlar que todas las actividades que se realicen cumplan con normas y procedimientos, evaluar sus beneficios y asegurarse de cumplimiento de normas legales.

Asesorar sobre el conocimientos de las normas

Debido a que cada día es mas frecuente el uso de redes en las instituciones, las cuales que van desde simples redes internas y redes locales (LANs), hasta las redes metropolitanas (MANs) o las redes instaladas a escala mundial (WANs). El establecimientos para estos controles para la seguridad en sistemas de redes y sistemas multiusuario de una empresa es de vital importancia. Razón por la cual se debe tomar medidas muy especificas para la protección, resguardo y uso de programas, archivos e información compartida de la empresa.

Respecto a la seguridad en redes, existe un sinnúmero de medidas preventivas y correctivas, las cuales constantemente se incrementan en el mundo de los sistemas.

Debido a la características de los propios sistemas computacionales , a las formas de sus instalaciones , el numero de terminales y a sus tipos de conexión , es necesario adaptarse a los constantes cambios tecnológicos que buscan garantizar la seguridad en el funcionamiento de las propias redes, de sus programas de uso colectivo, de su archivos de información y de su demás características.

La seguridad en las redes es muy eficiente y con una profundidad digna de señalarse debido a que constantemente se establecen y actualizan sus controles, los cuales van desde restricción de las accesos para usuarios, hasta el uso de palabras claves para el ingreso a los programas y archivos de la empresa , así como el monitoreo de actividades, rutinas de auditoria para identificar comportamientos, con el propósito de salvaguardar la información y los programas de estos sistemas.

Lo mismo ocurre respecto a los planes y programas de contingencias diseñados para la salvaguarda de la información, de los programas y de los mismos sistemas de red establecidos en la empresa.

CONTROLES

ORGANIZACIÓN Registro de los intercambios Custodia de activos que no sean los del propio departamento Corrección de errores que no provengan de los originados por el

propio dpto. En cuanto a la organización dentro del mismo departamento , las

siguiente funciones deben estar segregadas: programación del sistema operativo análisis , programación y mantenimiento operación ingreso de datos control de datos de entrada / salida archivos de programas y datos.

DESARROLLO Y MANTENIMIENTO DE SISTEMAS Las tecnicas de mantenimiento y programación

operativos del sistema deben estar normalizados y documentados.

OPERACIÓN Y PROCEDIMIENTOS Deben existir controles que aseguren el

procesamiento exacto y oportuno de la información contable.

instrucciones por escrito sobre procedimiento para para preparar datos para su ingreso y procesamiento

La función de control debe ser efectuada por un grupo específico e independiente.

Instrucciones por escrito sobre la operación de los equipos.

Solamente operadores de computador deben procesar los SIST OP.

CONTROLES DE EQUIPOS Y PROGRAMAS DEL SISTEMA

Debe efectuarse un control de los equipos : programación del mantenimiento preventivo y

periódico registro de fallas de equipos Los cambios del sist. Op. Y la programación. CONTROLES DE ACCESO El acceso al PED debe estar restringido en todo

momento. También debe controlarse : el acceso los equipos debe estar restringido a

aquellos autorizados el acceso de documentación solo aquellos

autorizados el acceso a los archivos de datos y programas solo

limitado a operadores

•El funcionamiento adecuado de los protocolos de red

•El funcionamiento corrector de direcciones ya sean por un nivel o jerárquicas.

•El manejo de los tamaños de paquetes que se manejan en la red, según su máximo.

•El control de errores para la entrega confiable y en orden o sin orden de la información que se trasmite en la red.

•Control de flujo y de velocidad de trasmisión de los datos de la red.

•Control de congestión del manejo de la información, trasmisión y protocolo de la red.Administración y control de la problemática de seguridad de la red, la información, los usuarios, los sistemas computacionales y de las instalaciones físicas.Contabilidad de los tiempos de uso del sistema, ya sea por conexión de las terminales, por paquetes, por byte, por proceso o por cualqu

•Análisis del funcionamiento de los mecanismos de control de acceso a las instalaciones, información y software institucional.•Análisis de prevención de accesos múltiples, sin permisos, dolosos y de todas aquellas acciones para ingresar al sistema sin la autorización correspondiente.•Análisis del procesamiento de información en los sistemas de red.•Análisis de la administración y el control de la asignación de los niveles de acceso, privilegios y contraseña para los usuarios para ingresar al sistema de la información.•Análisis del monitoreo de las actividades de los usuarios.•Análisis de las medidas correctivas y preventivas para evitar la piratería de información, software, activos informáticos y consumibles del área de sistemas.

RIESGOS DE AUDITORÍA Y MATERIALIDAD

Análisis de riesgos y materialidad

El Riesgo en auditoría representa la posibilidad de que el auditor exprese una opinión errada en su informe debido a que los estados financieros o la información suministrada a él estén afectados por una distorsión material o normativa.

Análisis de riesgos y materialidad

En auditoría se conocen tres tipos de riesgo: Inherente, de Control y de Detección. El riesgo inherente es la posibilidad de que existan errores significativos en la información auditada, al margen de la efectividad del control interno relacionado; son errores que no se pueden prever. El riesgo de control está relacionado con la posibilidad de que los controles internos imperantes no preveen o detecten fallas que se están dando en sus sistemas y que se pueden remediar con controles internos más efectivos. El riesgo de detección están relacionados con el trabajo del auditor, y es que éste en la utilización de los procedimientos de auditoría, no detecte errores en la información que lesuministran. El riesgo de auditoria se encuentra así: RA = RI x RC x RD

Clasificación de los riesgos

Esta clasificación de los riesgos en auditoría puede tener sus variantes; por ejemplo, en Taylor y Glezze se mencionan el riesgo alfa(riesgo del rechazo indebido) y el riesgo beta(riesgo de la aceptación indebida)

La SAS No 39. Menciona el Riesgo Ultimo como una combinación de dos riesgos: el que se cometan errores de importancia en el proceso contable y el de que estos errores no sean detectados por el auditor. Se describe también como el riesgo de que en el saldo de una cuenta, exista un error monetario mayor que el que se pueda tolerar(Materialidad) y que el auditor no pueda detectarlo.

La materialidad

La Materialidad es el error monetario máximo que puede existir en el saldo de una cuenta sin dar lugar a que los estados financieros estén sustancialmente deformados. A la materialidad también se le conoce como Importancia Relativa.

DETECCIÓN DE FRAUDES

Fraude

Definición.- Podemos afirmar que es un engaño hacia un tercero, abuso de confianza, dolo, simulación, etc. El término "fraude" se refiere al acto intencional de la Administración, personal o terceros, que da como resultado una representación equivocada de los estados financieros, pudiendo implicar:

* Manipulación, falsificación o alteración de registros o documentos. * Malversación de activos * Supresión u omisión de los efectos de ciertas transacciones en los

registros o documentos. * Registro de transacciones sin sustancia o respaldo * Mala aplicación de políticas contables.

Tipos de fraude Se considera que hay dos tipos de fraudes: el primero de ellos

se realiza con la intención financiera clara de malversación de activos de la empresa.

El segundo tipo de fraude, es la presentación de información financiera fraudulenta como acto intencionado encaminado a alterar las cuentas anuales.

* Los fraudes denominados internos son aquellos organizados por una o varias personas dentro de una institución, con el fin de obtener un beneficio propio.

* Los fraudes conocidos como externos son aquellos que se efectúan por una o varias personas para obtener un beneficio, utilizando fuentes externas como son: bancos, clientes, proveedores, etc.

Porque hay fraudes

Por Que Hay Fraudes

Se considera que hay fraudes por:

* Falta de controles adecuados.

* Poco y mal capacitado personal.

* Baja / alta rotación de puestos.

* Documentación confusa.

* Salarios bajos.

* Existencia de activos de fácil conversión: bonos, pagares, etc.

* Legislación deficiente.

* Actividades incompatibles entre sí.

Como se evita un fraude: La respuesta más sencilla es la de mejorar el control

administrativo, implementar practicas y políticas de control, analizar los riesgos que motiven a un fraude, tener la mejor gente posible, bien remunerada y motivada.

Como se detecta un fraude: Existe una infinidad de respuestas a esta pregunta las más

comunes son: * Observar, probar o revisar los riesgos específicos de control,

identificar los mas importantes y vigilar constantemente su adecuada administración.

* Simular operaciones. * Revisar constantemente las conciliaciones de saldos con

bancos, clientes, etc. * Llevar acabo pruebas de cumplimiento de la eficacia de los

controles.

COBIT, ITIL, MOPROSOFT

MARCO JURÍDICO NORMATIVO DE LA FUNCIÓN DE AUDITORÍA

LEGISLACIÓN INFORMÁTICA EN MÉXICO

Leyes relacionadas con la informática

Ley Federal del Derecho de Autor Ley de la Propiedad Industrial Ley Federal de Telecomunicaciones Ley de Información Estadística y

Geográfica

Situación en México

Instituciones de la Administración Pública Federal con

atribuciones vinculadas con la informática Secretaría de Gobernación Secretaría de Relaciones Exteriores Secretaría de Hacienda y Crédito Público Secretaría de Economía Secretaría de Comunicaciones y Transportes Secretaría de Contraloría y Desarrollo Administrativo Secretaría de Educación Pública Comisión Federal de Telecomunicaciones Consejo Nacional de Ciencia y Tecnología


Iniciativas jurídicas en materia informática 2 de marzo de 2000 en materia de

delitos informáticos

En materia de correo electrónico: 28 de abril de 1999 15 de diciembre de 1999 22 de marzo de 2000 Proyecto de Norma Oficial Mexicana


Protección de Datos Personales “Ley Federal de Protección de Datos

Personales” 14 de Febrero de 2001 Reformas al articulo 16 de la

Constitución Política de los Estados Unidos Mexicanos

Situación InternacionalAspectos legislados Abuso fraudulento en el procesamiento de

información (Austria, Japón) Daño de equipo de cómputo y uso ilegal de

equipo de cómputo (Japón) Lucrar utilizando inadecuadamente bases de

datos (Japón, Nueva Zelanda) Sabotear negocios ajenos (Japón) Piratería y adquisición ilegal de programas

(Francia, Alemania, Japón, Escocia, Gran Bretaña, El Salvador).

Situación InternacionalAspectos legislados Fraude o robo de información confidencial y

programas (Francia, Gran Bretaña, Austria, Suiza, Japón, Estados Unidos).

Alteración de programas (Japón, Gran Bretaña).

Regulación de delitos informáticos (Chile LEY-19223, y como proyecto en El Salvador).

Proyecto de legislación para proteger la intimidad, dignidad y autodeterminación de los ciudadanos frente a los retos que ofrece el procesamiento automatizado de datos personales (Costa Rica).

Situación InternacionalProyectos de legislación

Regulación de delitos informáticos (Chile LEY-19223, y como proyecto en El Salvador).

Proyecto de legislación para proteger la intimidad, dignidad y autodeterminación de los ciudadanos frente a los retos que ofrece el procesamiento automatizado de datos personales (Costa Rica).

Ejercicio de Reforzamiento

Elaborar un mapa conceptual, cuyo objetivo es el dominio de conceptos generales.

Fecha de entrega 8 de marzo, para derecho a examen 1er parcial y como parte del porcentaje (integración de portafolio).

auditoria redes unidad 1

Documents