Transcript El Marco Jurídico de la auditoria informática

EL MARCO JURÍDICO DE LA
AUDITORIA INFORMÁTICA
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
• La ley LOPD (Ley Orgánica de Protección de datos):
• Limitar el uso de la informática para garantizar el honor, la
intimidad personal y familiar de sus ciudadanos y el legítimo
ejercicio de sus derechos.
• El objetivo de la protección de los datos no es la protección de los
datos en sí, más bien la protección de la intimidad y la privacidad
de las personas dueñas de los mismo.
PRINCIPIOS
• Finalidad: antes de la creación de un archivo de datos se ha de conocer
la finalidad con la que se crea.
• Pertenencia: los datos deben estar relacionados con el fin para el que
se crearon.
• Utilización abusiva: los datos recolectados deben ser utilizados
solamente para el fin inicial.
• Exactitud de los datos registrados: el responsable del archivo debe
poner los medios necesarios para comprobar la exactitud y actual.
• Derecho al olvido: los datos deben desaparecer del archivo, una vez
que ya se hayan utilizado para el fin.
• Consentimiento: el tratamiento automatizado de los datos requerirá el
consentimiento del afectado. Salvo que la ley disponga de otra cosa, contemplando
algunas excepciones y teniendo el carácter de revocable.
• Datos especialmente protegidos: garantizar el tratamiento automatizado de los
datos de carácter personal, referentes a ideologías, afiliaciones, sindical, religión,
creencias del afectado, origen racial, salud, vida sexual, etc. Principio de seguridad, el
responsable debe adoptar medidas que garanticen la seguridad de los datos de los
archivos.
• Acceso individual: el autor tendrá derecho a saber que se hacen con sus datos y debe
obtener una copia.
• Publicidad: debe existir un archivo público en el que conste el diseño de los datos del
archivo, tanto de titularidad pública como privada.
PROTECCIÓN JURÍDICA DE PROGRAMAS EN EL COMPUTADOR.
• Según la Ley de la Propiedad Intelectual un programa de computadora
• Definición de programa de computador: “Toda secuencia de instrucciones
o indicaciones destinadas a ser utilizadas directa o indirectamente en un
sistema informático, para realizar una función o una tarea o para obtener
un resultado determinado, cualquiera que fuera su forma de expresión o
fijación”.
• Un Programa de computador es un bien inmaterial ya que es producto creado
de la mente
• La protección jurídica de los programas se puede aplicar utilizando
estipulaciones contractuales, secreto comercial, derecho de patentes, derecho
de marcas, y derechos de autor.
LAS BASES DE DATOS Y LA MULTIMEDIA
• ¿Que se protege de una DB?
• Todo el procedimiento de creación y
resultado final de la misma
•
•
•
•
•
El contenido de una DB
Textos
Imágenes
Sonidos
Gráficos
¿Quienes participan?
• El creador: Crea, modifica,
selecciona, ordena y mantiene la
base de datos.
• El distribuidor: Comercializa el
producto.
• El usuario: Utiliza y consulta la
base de datos.
LAS BASES DE DATOS Y LA MULTIMEDIA
¿Que es Media?
• Archivos de texto
• Archivos Gráficos
• Archivos de sonido
• Archivos de imágenes fijas
• Archivos de imágenes en
movimiento
• ¿Que es Multimedia?
• Videojuegos
• Educación y entretenimiento
• Revistas
• Publicidad
• Simuladores
BASES DE DATOS
• Ley 7979: establece reformas a la ley de derechos de autor y ley de
patentes, en la cual se establecen mecanismos de protección a
creaciones de software, modelos industriales y registros
empresariales.
• Ley 8454: Ley de certificados de firmas digitales y documentos
electrónicos, establece los controles jurídicos ligados a los certificados
electrónicos.
DELITOS INFORMÁTICOS
• El delito es un acto humano, una acción.
• Dicho acto humano ha de ser antijurídico, debe de poner en peligro un
interés jurídicamente protegido.
• Debe corresponder a un tipo legal, definido por la ley, ha de ser un acto
típico.
• El acto ha de ser imputable a dolo (intención) o a culpa.
• La ejecución u omisión del acto debe ser sancionado con pena.
DELITOS INFORMÁTICOS
• Delitos contra la intimidad: Contempla la figura de quien para descubrir los
secretos o vulnerar la intimidad de otro se apodera de correos electrónicos o
de otros documentos. También la interceptación de las comunicaciones,
utilización de artificios técnicos de escucha, transmisión, grabación o
reproducción del sonido o de la imagen o de cualquier otra señal de
comunicación.
• Delitos contra el patrimonio: Entre los delitos contra el patrimonio se
encuentran:
• Estafas informáticas
• Defraudaciones
• Daños informáticos
• Propiedad intelectual
DELITOS INFORMÁTICOS
• Falsedades Documentales: Hace referencia a la falsificación de documentos
públicos oficiales o mercantiles puestos en circulación, por ejemplo la
falsificación de documentos como tarjetas de crédito y credenciales.
DELITOS INFORMÁTICOS
• Ley 8148: establece lineamientos en cuanto a violación de las
comunicaciones electrónicas, fraude informático, alteración de datos
y sabotaje informáticos.
• Ley 4573: marca las directrices para reprimir y sancionar delitos
informáticos.
• Decreto 30151: Directrices relativas al empleo del software ilegal en
oficinas públicas.
LA LEGISLACIÓN EN COSTA RICA
• A pesar de poseer un marco jurídico bastante limitado para regular el
entorno cibernético, Costa Rica cuenta con leyes que regulan:
1) Delitos Informáticos
2) Propiedad Intelectual 3) Bases de datos
• La Contraloría General de la Republica establece un manual técnico donde
se brindan guías en la implementación de auditoría de sistemas, dichas
están contenidas en el documento “Normas técnicas para la gestión y
control de las tecnologías de información”.
CONTRATO INFORMATICO
Un contrato informático es un concepto ambiguo que puede abarcar
distintos tipos de contratos:
- En sentido amplio u objetivo, abarca todos aquellos convenios cuyo
objeto sea un bien o servicio informático. El objeto del contrato, por
tanto, sería la prestación de un servicio informático.
- En sentido restringido o formal, son aquellos contratos cuyo
perfeccionamiento se da por vía informática, indiferentemente de cual
sea su objeto.
CONTRATO INFORMATICO
Los contratos informáticos pueden referirse tanto a bienes (hardware o software) como a
servicios informáticos (tales como mantenimiento preventivo, correctivo o evolutivo;
desarrollo y hospedaje de sitios web, prestación de servicios de certificación digital, etc.).
Pueden ser objeto de contratación electrónica cualesquiera cosas, siempre que para su
contratación no se requiera de alguna forma específica que sea incompatible con los
medios electrónicos.
La principal cuestión que se plantea es en cuanto a la prueba del contrato, La forma, hoy
por hoy, de acreditar estos extremos para un particular o incluso un profesional pasa por
la firma electrónica.
INTERCAMBIO ELECTRÓNICO DE DATOS
• Se define como intercambio entre sistemas de información, por medios
electrónicos, de datos estructurados. Se pueden transferir documentos
electrónicos o datos de negocio de un sistema computacional a otro.
• Se pueden realizar intercambio en distintos formatos:
• EDIFACT
• XML
• ANSI ASC X12
• TXT
• El intercambio electrónico de datos (EDI) significa ahorro de tiempo,
costos y eliminación de errores.
INTERCAMBIO ELECTRÓNICO DE DATOS
• Requisitos básicos del EDI:
• El intercambio debe realizarse por medios electrónicos.
• El formato tiene que estar formalizado.
• La conexión debe ser de un computador a otro.
• Razones de su implementación:
• Precisión.
• Velocidad.
• Ahorro.
• Satisfacción del cliente.
PRIVACIDAD DEL CORREO ELECTONICO
Art. 196. Unifica el tipo penal de violación de correspondencia y
comunicaciones sancionando con prisión de tres a seis años a quien “con
peligro o daño para la intimidad o privacidad de un tercero y sin su
consentimiento” le intercepte o se apodere de comunicaciones dirigidas a
otra persona. La pena se agrava de cuatro a ocho años si las conductas son
realizadas por la persona encargada de la salvaguarda de las
comunicaciones o soporte técnico.
PRIVACIDAD DEL CORREO ELECTONICO
Las comunicaciones electrónicas
El secreto de las comunicaciones privadas constituye un derecho
fundamental consagrado en el artículo 24 de la Carta Política, al disponer:
"Se garantiza el derecho a la intimidad, a la libertad y al secreto de las
comunicaciones.
Son inviolables los documentos privados y las comunicaciones escritas, orales
o de cualquier otro tipo de los habitantes de la República...
PRIVACIDAD DEL CORREO ELECTONICO
Resta señalar que en la fiscalización y análisis del uso que se hace de los
medios tecnológicos debe tomar en consideración los principios
constitucionales, en particular los de equidad y proporcionalidad, pero
también el sentido común. Factores como el número de email personales
que se envían, la frecuencia de la actividad, la productividad del funcionario
que envía y recibe el correo, si se trata de un dominio de INTERNET propio
de la Institución, deben ser ponderados a fin de determinar la
responsabilidad del funcionario.
LA TRANSFERENCIA ELECTRÓNICA DE FONDOS
Puede abarcar todo tipo de envíos de fondos que se realizan por medios
electrónicos.
• Se puede definir como la transferencia de fondos que de forma automática es
ejecutada inmediata y simultáneamente a la orden dada por el titular de la
cuenta bancaria por medio de un sistema electrónico.
• Existen 4 tipos principales:
• Transferencias entre entidades financieras.
• Transferencias entre otras organizaciones y entidades financieras.
• El usuario colabora y mediante las tarjetas de plástico y los cajeros automáticos,
obtiene una serie de servicios bancarios.
• Se potencia el sistema con terminales en los puntos de venta y el banco es casa.
LA CONTRATACIÓN ELECTRÓNICA
Es una contratación entre ausentes que por sus características
especiales requiere que se le dote de garantías imprescindibles,
relacionadas con que:
• Los mensajes sean legibles,
• Los mensajes puedan ser imputados con certeza al emisor,
• Los mensajes, además, sean auténticos e íntegros; y
• El receptor o destinatario reciba y conserve tales mensajes.
LA CONTRATACIÓN ELECTRÓNICA
• En Costa Rica no hay regulación propiamente sobre el comercio
electrónico, por eso se dice que se aplican las normas y principios
generales, sobre todo la de contratación fuera del establecimiento
comercial y el derecho de retracto.
• En 2005 se emite en Costa Rica, la Ley 8454, Ley de Certificados,
Firmas Digitales y Documentos Electrónicos
LA CONTRATACIÓN ELECTRÓNICA
• “Reconocimiento de la equivalencia funcional. Cualquier
manifestación con carácter representativo o declarativo,
expresada o transmitida por un medio electrónico o
informático, se tendrá por jurídicamente equivalente a los
documentos que se otorguen, residan o transmitan por
medios físicos.” -Artículo 3
LA CONTRATACIÓN ELECTRÓNICA
• Otros Aspectos:
• Los documentos electrónicos pueden ser utilizados para la formación
de Contratos.
• Los documentos electrónicos se les reconocerá fuerza probatoria en
las mismas condiciones que a los documentos físicos.
• Está haciendo falta en Costa Rica mejor regulación sobre la contratación
electrónica, es urgente definir una sana y electrónicamente viable
política legislativa costarricense a través del dictado de una “ley de
comercio electrónico”, o bien, de la reforma de la legislación existente.
EL DOCUMENTO ELECTRÓNICO
Un documento electrónico es un documento cuyo soporte material es
algún tipo de dispositivo electrónico o magnético, y en el que el
contenido puede ser leído, interpretado, o reproducido, mediante el
auxilio de detectores de magnetización.
Prescindir del papel abarató los costes de transmisión de información y en
muchos casos aumentó la velocidad de comunicación. Sin embargo, sel
creó el problema de la existencia de múltiples formatos incompatibles.
Para resolver este problemas, muchas compañías de software
distribuyen visualizadores gratuitos (un buen ejemplo es Adobe's
Acrobat Reader). La otra solución ampliamente usada es desarrollar
formas de código estandarizadas y abiertas (un buen ejemplo es el
códigoHTML).
EL DOCUMENTO ELECTRÓNICO
En ocasiones, es preciso demostrar la autenticidad del documento
electrónico Con ese objeto, la autenticidad de los documentos
electrónicos se refuerza en base a dos mecanismos
complementarios:
- La firma electrónica
- La referencia a una base de datos documental securizada de
referencia para un documento dado.