INFORME CORTO

AUDITORIA Y DELITOS INFORMATICOS

Villeta Cundinamarca, 6 de julio de 2019

Elaborado por: Mary Luz Alvarez

Objetivo general

 Realizar un informe acerca de los delitos informáticos, teniendo en cuenta

el impacto en la función de las auditorias en cualquier tipo de organización.

Resumen

Auditor -delitos informáticos

Es importante establecer vual es el papel del auditor informático en relación con la

detención y minimización de la ocurrencia de delitos informáticos dentro de las
organizaciones a que esta presta sus servicios; se debe examinar la actuación de
auditor frente a los delitos con estrategias para evitarlos, recomendaciones
adecuadas, conocimientos requeridos en fin una serie de elementos que definen el
aporte que este brinda en el maje de los casos de los delitos informáticos.

El papel del auditor informático solamente esta basado en la verificación de

controles, evaluación del riesgo de fraudes y el diseño y desarrollo de exámenes
que sean apropiados a la naturaleza de la auditoria asignada, y que deben
razonablemente detectar:
INFORME CORTO Pág.2

AUDITORIAS Y DELITOS INFORMATICOS

Irregularidades que puedan tener un impacto sobre el área aditada o sobre toda la
organización. Debilidades en los controles internos que podrían resultar en la falta
de prevención o detección de irregularidades.

¿Cuáles son los métodos o formas que las empresas utilizan para evitar la fuga de
información, o que instalen softwares maliciosos en los equipos de los
colaboradores que realizan o llevan a cabo labores administrativas o de oficina?

La seguridad de la información se organiza sobre tres pilares básicos sobre los

cuales deben aplicarse la medidas de seguridad.

 La disponibilidad de la información implica que la información esté

disponible cuando la necesitemos. Ejemplos de falta de disponibilidad de la
información son cuando se sufre un ataque de denegación de servicio, se
produce una caída del sistema impidiendo accesos legítimos o la posibilidad
de entrar en el correo electrónico de la empresa debido a un error de
configuración. Ambos tienen graves consecuencias para la seguridad de la
información.
 La integridad de la información se refiere a que la información sea correcta y
no esté modificada o sea errónea. La información ha podido ser alterada
deliberadamente o ser incorrecta y nosotros podemos fundamentar nuestras
decisiones en ella. Ejemplos de ataques contra la integridad de la
información son la modificación maliciosa en los ficheros del sistema
informático aprovechando una vulnerabilidad, o un la alteración de un
dosier de ventas por un empleado con malas intenciones o por error humano.
 La confidencialidad supone que la información solo está disponible para el
personal autorizado. El término need-to-know, define que la información solo
se dará a conocer a las personas, entidades o sistemas autorizados para su
acceso. Ejemplos de inexistencia de confidencialidad, son el acceso a
información confidencial por parte de un atacante a través de internet, la
propagación no autorizada por las redes sociales de información
confidencial, o el acceso por parte de un trabajador a información crítica de
la compañía situada en carpetas sin permisos asignados, a la que no debería
tener acceso.
 Conocer el valor de la propia información. Realizar un análisis de riesgos y
un estudio de valuación de activos para poder determinar un plan de acción
adecuado que permita evitar posibles filtraciones.
 INFORME CORTO Pág.3
AUDITORIAS Y DELITOS INFORMATICOS

 Concientizar y disuadir. Diseñar una estrategia de concientización que

incluya la responsabilidad en el manejo de la información, que funcione
tanto para capacitar a las personas que podrían filtrar información por error
u omisión, como para persuadir a las que deliberadamente intenten hacerlo,
mostrando las potenciales consecuencias.

 Utilizar defensa en profundidad. Considerar el modelo de defensa en

capas para tomar distintas medidas de diferente naturaleza, a fin de no
centralizar las soluciones ni promover puntos únicos de falla.

 Incluir herramientas tecnológicas. En ámbitos corporativos, contar de ser

posible con una solución técnica de protección, por medio de hardware,
software, o combinación de ambos, tanto a nivel de redes como de equipos
(servidores y estaciones de trabajo). El crecimiento de amenazas como
el spyware hacen que los códigos maliciosos también sean potenciales
puntos de fuga de información.

 Seguir los estándares. Alinearse con estándares internacionales de gestión

de la seguridad permite disminuir el riego de que puedan ocurrir incidentes,
así como también de que el negocio se vea afectado por un determinado
evento de filtración.

 Mantener políticas y procedimientos claros. Relacionado con el punto

anterior, se debe tener una clara definición y comunicación de las políticas
de seguridad y acuerdos de confidencialidad, aceptados y firmados por
todos los usuarios. Esto minimiza potenciales fugas de información, al
contar con un consentimiento firmado del usuario para no realizar ciertas
acciones.

 Procedimientos seguros de contratación y desvinculación. En estos dos

momentos se conecta o desconecta una nueva pieza externa con el motor
de la organización, por lo que deben tenerse en cuenta de manera muy
particular, controlando especialmente los accesos y registros de los
usuarios en sus primeros o últimos momentos de trabajo.

 Seguir procesos de eliminación segura de datos. Es fundamental que los

datos que se desean eliminar sean efectivamente eliminados, y los medios
de almacenamiento adecuadamente tratados antes de ser reutilizados.
 INFORME CORTO Pág.4
AUDITORIAS Y DELITOS INFORMATICOS

 Conocer a la propia gente. En algunos casos es posible identificar a las

personas conflictivas o con un determinado grado de disconformidad, que
podrían ser foco de cierto tipo de problemas relacionados con la
confidencialidad. Muchas veces es dificultoso detectarlo, pero es
recomendable prestar atención a los indicadores de conflicto.

 Aceptar y entender la realidad. Seguir todos estos consejos no garantiza

nada, pero ayuda a comprender que se deben tomar medidas concretas y
definir un plan realista, alejado de la paranoia innecesaria. No se pueden
controlar absolutamente todas las acciones de todas las personas en todo
momento, por lo que siempre habrá un margen de error que quedará
abierto, y que deberá intentar reducirse al mínimo a medida que pasa el
tiempo.

¿Cuáles son los tipos de Auditoria que más son utilizados en las empresas
colombianas, que se debe tener en cuenta a la hora de ser auditados?

En el ejercicio de control fiscal que le corresponde a la Contraloría General de la

República y en el macro de las ISSAI, se aplicaran los siguientes tipos de
auditoria:

• auditoría financiera

•auditoría de cumplimiento

• auditoría de desempeño

Estos tipos de auditoría pueden ser ejecutados de manera individual o

combinada. Las auditorías acogen los sistemas de control fiscal establecidos en la
Ley 42 de enero 26 de 1993, así: financiero, de legalidad, de gestión, de
resultados, la revisión de cuentas y la evaluación del control interno.
 INFORME CORTO Pág.5
AUDITORIAS Y DELITOS INFORMATICOS

¿Qué diferencia existe entre Auditorias en función del alcance que se audita, y en
función de cuando se audita?

Los principios básicos para el desarrollo de una buena auditoria los podéis
encontrar en la ISO 19011:2011. Esta norma tiene como finalidad describir el
proceso de una auditoria eficaz, indicando las pautas de actuación y las
competencias necesarias de los auditores.

Una de las dudas que surge en relación con la auditoria de primera parte o
auditoría interna es si la puede desarrollar personal propio de la organización.
Respecto a este tema, la norma ISO 19011:2011 señala lo siguiente (de manera
casi literal): la independencia es la base de la imparcialidad de la auditoria. Para
auditorías internas, los auditores deberían ser independientes de los gerentes
operativos de las funciones a ser auditadas, aunque delegue responsabilidades,
no podrán auditar su departamento al ser responsable de la eficacia y eficiencia
del mismo. Los auditores deberían mantener una actitud objetiva a lo largo del
proceso de auditoría para asegurarse de que los hallazgos y conclusiones de la
auditoria estarán basados sólo en la evidencia de la auditoria. Por ejemplo, un
auditor del departamento de Calidad podrá auditar todos los procesos menos los
que se realicen en su área productiva (es decir, las actividades desarrolladas por
el propio departamento de Calidad).

Las auditorias de segunda y tercera parte son las denominas auditorías externas.

Las auditorías de segunda parte se desarrollan por el interés de una organización

hacia un tercero, normalmente son las realizadas a los proveedores,
subcontratistas y franquiciados. El objetivo que persigue es determinar la
adecuación de los sistemas de gestión con los servicios que se han o se van a
contratar. Puede ser desarrollada por la propia empresa cliente con sus medios o
contratarla a un tercero.

Las auditorias de tercera parte son realizadas por organizaciones auditoras

independientes y externas a la organización, que proporcionan la certificación de
que el sistema cumple con la norma estándar de referencia.

Cuando se audita en conjunto dos o más sistemas de gestión de distinta disciplina

(calidad, medio ambiente, seguridad y salud en el trabajo, innovación etc.) se
denomina auditoria de tercera parte combinada.
 INFORME CORTO Pág.6
AUDITORIAS Y DELITOS INFORMATICOS

¿Qué se conoce por pánico económico? Sustente.

Divulgar información tiene una responsabilidad y si esta es falsa o inexacta y

afecta “la confianza de los clientes” de entidades vigiladas puede generar el delito
de pánico económico. Así lo consagra el artículo 302 de la Ley 599 del 2000.

La norma contempla que el delito también se da cuando se provoque o estimule

“el retiro del país de capitales nacionales o extranjeros o la desvinculación
colectiva de personal”. De hecho, si alguien se halla responsable de este delito, se
contempla una sanción de 32 a 144 meses de cárcel y multa que puede ir de
66,66 a 750 salarios mínimos legales mensuales vigentes (a datos de 2018, oscila
entre 52 millones de pesos y 585 millones).

El pánico económico es de tipo penal compuesto alternativo, pues se puede

realizar mediante una de dos conductas: o bien mediante la divulgación al público
de información falsa o inexacta; o bien mediante la reproducción de esta.

Divulgar significa: publicar, extender o poner al alcance del público una cosa.
El verbo reproducir significa: volver a producir o producir de nuevo. Para la
estructuración del tipo es necesario que tanto la divulgación como la reproducción
recaigan sobre información falsa o inexacta (objeto material de la conducta) que
pueda afectar la confianza, bien sea que haya sido elaborada por el propio sujeto
que la divulga o la reproduce, o bien sea que haya sido elaborada por un tercero.

La divulgación o reproducción de la información debe realizarse en un medio o en

un sistema de reproducción público. El tipo penal solo reprime la información falsa
o inexacta: información falsa es aquella que es totalmente contraria a la verdad, es
decir, la que no guarda correspondencia alguna con la realidad de los hechos
narrados; al paso que información inexacta es la que no es fiel reproducción de la
realidad, por no poner de presente puntos esenciales del hecho que se intenta
hacer público, o por tenerlos de más. La información falsa o inexacta debe tener la
capacidad de afectar la confianza de los clientes, usuarios, inversionistas o
accionistas de las instituciones especificadas en el tipo.

Delito de peligro abstracto: basta que la información tenga la potencialidad de

afectar la confianza de los sujetos enumerados en el tipo.

Delito de mera conducta: la conducta será punible por el solo hecho de divulgar
dicha información. Por confianza podemos entender la expectativa que tiene una
persona o un grupo de personas, conforme a la cual se espera fundadamente que
el sistema siga funcionando dentro de los parámetros normales.
 INFORME CORTO Pág.7
AUDITORIAS Y DELITOS INFORMATICOS

Provocar significa: incitar, inducir a uno a que ejecute una cosa; y estimular es
incitar o excitar. Para efectos de la consumación, basta que el sujeto activo actúe
con esa finalidad.

Por pánico económico se podría sancionar a toda persona que publique una
información falsa que cause daño a la economía nacional para alterar los precios
de bienes o servicios con el fin de beneficiar a un sector, mercado o producto
específico.

El delito de pánico financiero pretende castigar a aquel que divulgue noticias

falsas que provoquen el retiro masivo de depósitos de cualquier institución del
sistema financiero y las de la economía popular y solidaria que realicen
intermediación financiera, que pongan en peligro su estabilidad o provoquen su
cierre definitivo.

¿Las empresas como se ven perjudicadas o beneficiadas por este concepto?

Las empresas exportadoras, algunos sectores agrícolas y la industria automotriz

tienen el escenario para obtener buenos dividendos con la depreciación del peso.
En un escenario en el que el dólar se fortalece y varias monedas se
deprecian, como el peso, los grandes beneficiados son las empresas exportadoras
y los más afectados son las empresas importadoras.

¿Qué hacen las empresas para blindarse ante un escenario de pánico

económico?

Blindarse ante futuras crisis debe ser parte del plan estratégico de cualquier
compañía, no importa su tamaño. Y cubrir todas las áreas de la operación:
desde la financiera hasta recursos humanos, marketing y relaciones públicas.
.

¿Están las empresas colombianas preparadas con planes de contingencia para

sobrellevar un pánico económico?

En Colombia, si bien no existe un modelo económico específico, exclusivo y

excluyente, el que actualmente impera, fundado en el Estado Social de Derecho,
muestra una marcada injerencia del poder público en las diferentes fases del proceso
económico, en procura de establecer límites razonables a la actividad privada o de
libre empresa y garantizar el interés colectivo.
 INFORME CORTO Pág.8
AUDITORIAS Y DELITOS INFORMATICOS

De algunos ejemplos de pánico económico en el contexto colombiano o internacional,

teniendo en cuenta la fuente consultada.

 Superfinanciera presentó denuncias penales por pánico económico en

redes sociales. Por falsa información en contra de entidades financieras,
la Fiscalía General de la Nación comenzó a investigar algunas cuentas
de redes sociales desde donde se estarían difundiendo mensajes para
atemorizar a los ciudadanos sobre algunos
bancos.https://www.valoraanalitik.com/2018/11/29/superfinanc
iera-presentara-denuncias-penales-por-panico-economico-en-
redes-sociales/

[PDF
el delito de pánico económico a la luz de la privatización de

https://www.funlam.edu.co/revistas/index.php/summaiuris/article/download/.../1596

http://www.acj.org.co/images/descargas/trabajos_academicos/13-posesion-doctor-hernando-
hernandez-quintero.pdf

Conclusiones

- La importancia que tiene la auditoria es un elemento primordial para las

empresas ya que se obtendrá una información eficaz, real que proporcionan
los estudio auditable de cada uno de las empresa hoy en día nuestro sistema
empresarial y económico en sus grandes áreas toman la auditoria como lo
principal en cada empresa porque va a brindar un resultado real de la
situación
- Delitos informáticos son todos aquellas conductas ilícitas susceptibles de
ser sancionadas por el derecho penal, que hacen uso indebido de cualquier
medio Informático.
El delito Informático implica actividades criminales que un primer momento
los países han tratado de encuadrar en figuras típicas de carácter
tradicional, tales como robo, hurto, fraudes, falsificaciones, perjuicios,
estafa, sabotaje, etc., sin embargo, debe destacarse que el uso indebido de
INFORME CORTO Pág.9
 AUDITORIAS Y DELITOS INFORMATICOS

las computadoras es lo que ha propiciado la necesidad de regulación por

parte del derecho.

- En relación con el mercado de capitales, el diccionario de bolsa define la

expresión pánico como la “situación de temor que ínsita a deshacerse de los
valores mobiliarios y otros activos con acusada prisa y de mérito de los
precios”.
- En el sector financiero, el pánico es entendido como “temor o miedo al
colapso de los negocios, que causa la retirada en masa de los depósitos en
los bancos, ventas de acciones y transacciones similares”
- En la macroeconomía se enfoca el pánico como una situación de
inestabilidad determinada por un estado de alarma extremo que incide sobre
la totalidad de la estructura economía de un país, semejante a la que
sobrevino durante la “Gran Depresión”
- Desde esta perspectiva el pánico económico, de ningún modo es atribuible a
un elemento único o desencadenante, como quiera que el advenimiento de
aquel depende de la conjunción de una serie de factores con elementos de
feedback.