REPÚBLICA BOLIVARIANA DE VENEZUELA. MINISTERIO DEL PODER POPULAR PARA LA DEFENSA. UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA DE LA FUERZA ARMADA. NÚCLEO VARGAS. 11vo TÉRMINO DE INGENIERIA DE SISTEMAS. SECCIÓN: 11SIS-S1 CÁTEDRA: Auditoria de Sistema.
PROFESOR:
ELABORADO POR:
Israel Sanabria.
Luis Álvarez Edith Berroteran Jeylys Fonseca Rita Hurtado Xiovicmar Larez
MAIQUETÍA, OCTUBRE 2009.
Introducción.
En este trabajo se hablara un poco de los conceptos generales de la auditoria de informática, las funciones del auditor y funciones de la auditoria en la organización, los elementos que deben constituir una buena auditoria, la auditoria interna y externa, las áreas de la planif planifica icació ción n de la audito auditoría ría,, los tipos y clases clases de auditor auditoría, ía, el fraude a través de computadoras y se señala señalan n las diferent diferentes es formas formas de comete cometerr un fraude fraude informát informático ico y algunos ejemplos de dichos fraudes.
La Auditoría. La auditoría es un Conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático con el fin de proteger sus activos y recursos, verifi verificar car si sus activi actividad dades es se desarr desarroll ollan an eficie eficiente ntement mentee de acuerd acuerdo o con las normas normas informáticas y generales existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente. La auditoría en informática es la revisión y la evaluación de los controles, sistemas, sistemas, procedimientos de informática; informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, seguridad, de la organización que participan en el procesamiento de la información, información, a fin de que por medio del señalamiento decursos decursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. decisiones. La auditoría en informática es de vita vitall impo import rtan anci ciaa para para el buen buen desem desempe peño ño de los siste sistemas mas de inform informaci ación ón,, ya que prop propor orci cion onaa los los cont contro role less nece necesa sari rios os para para que que los sistemas sean confiables y con un buen nivel de seguridad. seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software). software). Funciones Del Auditor Informático.
El papel papel de audit auditor or debe debe esta estarr enca encami minad nado o haci haciaa la búsq búsque ueda da de probl problem emas as existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas. Además que el auditor Informático debe estar capacitado en los siguientes aspectos: * Debe Deberrá ver cua cuand ndo o se puede puede cons conseg egui uirr la máxi máxima ma efi eficaci caciaa y rent rentab abiilidad idad de los los medios informáticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y del estudio de las soluciones mas idóneas, según los problemas detectados en el sistema informático, siempre y cuando las soluciones que se adopten no violen la ley ni los principios éticos. (Ej. Por que está mal el reporte). * Una Una vez vez estu estudi diad ado o el sist sistem emaa info inform rmát átic ico o a audi audita tar, r, el el audi audito torr debe deberá rá esta establ blece ecerr los los requisitos mínimos, aconsejables y óptimos para su adecuación con la finalidad de que cumpl cumplaa para para lo que fue fue dise diseña ñado, do, dete determ rmin inan ando do en cada cada clas clasee su adapt adaptab abil ilid idad, ad, su fiabilidad, limitaciones, posibles mejoras, costos. * El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas, dañina, o que genere riesgo in justificativo para el auditado e
igualmente igualmente de proponer proponer modificaci modificaciones ones carentes carentes de bases científicas científicas insuficien insuficientement tementee probadas o de imprevisible futuro. * El aud audit itor or al al igual igual que otro otross prof profes esio ional nales es (Ej (Ej.. Médi Médicos cos,, aboga abogado dos, s, edu educa cador dores es,, etc. etc.)) pueden incidir en la toma de decisiones en la mayoría de sus clientes con un elevado grado de autonom autonomía, ía, dado dado la dificu dificulta ltad d prácti práctica ca de los mismos mismos,, de consta constatar tar su capacid capacidad ad profesional y en desequilibrio de desconocimientos técnicos existente entre al auditor y los auditados (Puede pesar gravemente). * El audit auditor or debe deberá rá pre prest star ar sus sus ser servi vici cios os de de acuer acuerdo do a las las posi posibi bili lida dades des de la la cien cienci ciaa y a los medios a su alcance con absoluta libertad, respecto a la utilización de dichos medios y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su labor. En los casos en que precariedad de los medios puestos a su disposición, impidan o dificulten seriamente la realización de la auditoria deberá negarse realizar hasta que se le garantice un míni mínimo mo de condi condici cione oness técni técnica cass que no comp compro rome meta tan n la cali calida dad d de sus sus serv servic icio ioss o dictámenes. * Cuan Cuando do dura durant ntee la ejec ejecuc ució ión n de la audi audittori oria, el audi audito torr cons consiider dere conv conven eniient ente recabar informe de otros mas calificados, sobre un aspecto o incidencia que superase su capacidad profesional para analizarlo en idóneas condiciones deberá remitir el mismo a un especialista en la materia o recabar su dictamen para reforzar la calidad y viabilidad global de la auditoria. * El aud audit itor or deb debee actu actuar ar con con cie ciert rto o grad grado o de hum humil ilda dad d evit evitan ando do dar dar la la impr impres esió ión n de estar al corriente de una información privilegiada sobre nuevas tecnologías a fin de actuar en de prev previs isio ione ness rect rectas as y un porc porcen enta taje je de ries riesgo go debi debidam dament entee fund fundam amen enta tado. do. (Si (Si conocemos alguna tecnología de primer orden debemos tener un cierto grado de humildad, que no se salga de la realidad [decir que ya sabemos esto...]). * El audi audito torr tan tanto to en en sus sus rela relaci cione oness con con el audi audita tado do com como o con con terc tercer eras as per perso sona nass debe deberá rá en todo momento, deberá actuar conforme a las normas implícitas o explícitas de dignidad de la profesión profesión y de corrección corrección en el trato personal. (Que en todo momento, momento, como cuando estamos en el bar, cafetería, o fiesta por que los auditores tienen la responsabilidad). * El aud audit itor or debe deberrá faci facilita litarr e incr increm emen enttar la conf confiianza anza de audi audita tado do en base base a una una actuación de transparencia, en su actividad actividad profesional sin alardes científicocientífico- técnico, que, por su incomp incompren rensió sión, n, pueden pueden restar restar credib credibili ilidad dad a los result resultados ados obtenidos obtenidos y a las directrices aconsejadas.
La función de la auditoría en la organización: Al igual que los demás órganos de la empresa los sistemas informáticos están sometidos a un control. La importancia de llevar un control, se puede deducir de varios aspectos, así tenemos: Las computadoras y los centros de procesos de datos se pueden convertir en blancos apet apetec ecib ible less no solo olo para para el espi espion onaj ajee no para para la deli delinc ncue uenc ncia ia y el terr terror oris ismo mo..
Las computadoras creadas para procesar y difundir resultados pueden en cierto momento generar resultados o información errónea (Virus, tc). (La máquina suele arrojar resultados erróneos cuando es alimentada con datos erróneos).
Un sist sistem emaa info inform rmát átic ico o mal mal dise diseña ñado do puede puede conve convert rtir irse se en una una herra herrami mient entaa peligrosa para la persona, puesto que las máquinas obedecen las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los sistemas de información, por lo tanto la gestión y la organización de la empresa no pueden depender de un SOFTWARE o un HARDWARE mal diseñado.
Elementos De Una Auditoria: Los elementos que deben constituir una auditoría de información son: * Identificación de los recursos y los flujos de información. * Valoración del uso efectivo que se hace de las tecnologías de la información disponibles. * Control y racionalización de costes. * Marketing de la unidad y de sus productos informativos. * Diseño de las tareas de las personas que trabajan con información dentro de la unidad.
Auditoría Interna Y Auditoría Externa La auditoria es realizada en recursos materiales y personas que perteneces a la empresa auditada.
Auditoría Interna: Existe por expresa decisión de la empresa, es decir que también se puede optar por su disolución en cualquier momento.
Auditoría Externa: Es realizada por personas afines a la empresa se presupone una mayor objetividad que en la auditoria interna debido Al mayor distanciamiento entre auditor y auditado. La auditoria informática tanto interna como externa debe ser una actividad exenta de cualquier cualquier contenido contenido o matiz político político ajena a la propia estrategia estrategia y política política general de la empresa.
Áreas De La Planificación De La Auditoría. Las Las empr empres esas as acude acuden n a las las audi audito tori rias as cuand cuando o exist existen en algu alguno noss sínt síntom omas as bien bien perceptibles de debilidad. Estos síntomas pueden agruparse en algunas clases:
Síntomas De Descoordinación Y Desorganización. * No coinciden los objetivos de la informática de la compañía * Los estándares de productividad se desvían sencillamente de los promedios habituales. * Síntomas De Mala Imagen O Insatisfacción De Los Usuarios * No se atienden a las peticiones de cambio de los usuarios * No se repa repara ran n las las averí averías as de HARD HARDWA WARE RE ni se resu resuel elve ven n prob proble lema mass en plaz plazos os razonables * No se cumplen los plazos de entregas de resultados * Síntomas De Debilidades Económico – Financiero * Incremento desmesurado de costos * Necesidad de justificación de inversiones informáticas * Desviaciones presupuestarias significativas * Costos y plazos nuevos para proyectos * Síntomas De Inseguridad (Evaluación Del Nivel De Riesgo) * Seguridad lógica * Seguridad física
Ubicación Y Organización De La Auditoría. La ubicación de los procesos auditores dentro de un área de sistemas depende del tipo de auditoria que se desee implementar, Así tenemos que en muchas ocasiones la auditoria depende exclusivamente de la parte directriz o gerencial y en otras ocasiones de acuerdo a las necesidades de la empresa. La auditoria informática nace de los niveles medios bajos de la empresa. (A nivel de organización la ubicación es medio bajo, medios bajos son los Usuarios, con una serie de quejas obligan a hacer auditoria)
Tipos y clases de auditoría. Auditoria Informática De Explotación: La explotación informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de procesos, etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación y se someten a controles de integridad y calidad. (Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no sirvan; estos dos juntos realizan una información buena)
Auditoria Informática De Desarrollo De Proyectos O Aplicaciones: La función de desarrollo es una evaluación del llamado Análisis de programación y sistemas. Así por ejemplo una aplicación Prerrequisitos del usuario y del entorno:
podría
tener
las
siguientes
fases
- Análisis funcional. - Diseño. - Análisis orgánico (preprogramación y programación). - Pruebas. - Explotación. Todas Todas esta estass fase fasess deben deben esta estarr some someti tida dass a un exig exigen ente te cont contro roll inte intern rno, o, de lo contrario, contrario, pueden producirse producirse insatisfacción insatisfacción del cliente, cliente, insatisfa insatisfacción cción del usuario, usuario, altos costos, etc. Por lo tanto la auditoria deberá comprobar la seguridad de los programas, en el sentid sentido o de garant garantiza izarr que el servic servicio io ejecut ejecutado ado por la máquin máquina, a, los resultad resultados os sean sean exactamente los previstos y no otros (El nivel organizativo es medio por los usuarios, se da cuenta el administrador Ejm. La contabilidad debe estar cuadrada)
Auditoria Informática De Sistemas: Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, líneas y redes de las instalaciones informáticas se auditen por separado, aunqu aunquee form formen en parte parte del del entor entorno no gener general al del sist sistem emaa (Ejm (Ejm.. De audi audita tarr el cabl cablea eado do estructurado, ancho de banda de una red LAN)
Auditoria Informática De Comunicación Y Redes: Este tipo de auditoria deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada. Deberá conocer cuantas líneas existen, como son, donde están instaladas, y sobre ellas hacer una suposición de inop inoper erat ativ ivida idad d info inform rmát átic ica. a. Toda Todass esta estass acti activi vidad dades es debe deben n esta estarr coord coordin inad adas as y dependientes de una sola organización (Debemos conocer los tipos de mapas actuales y anteriores, anteriores, como son las líneas, el ancho de banda, suponer suponer que todas las líneas están mal, la suposición mala confirmarlo).
Auditoria De La Seguridad Informática: Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total. En la actualidad se debe también cuidar la información de los virus informáticos, los cuales permanecen ocultos y dañan sistemáticamente los datos.
Fraude a través de computadoras: computadoras: Estas conductas consisten en la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada con el objeto de obtener ganancias indebidas.
Estafas electrónicas: La proliferación de las compras telemáticas permite que aumenten tamb tambié ién n los los caso casoss de esta estafa fa.. Se trat tratar aría ía en este este caso caso de una una dinámica comisiva comisiva que cumpliría todos los requisitos del delito de estafa, ya que además del engaño y el "animus defraudandi" existiría un engaño a la persona que compra. No obstante seguiría existiendo una laguna legal en aquellos países cuya legislación no prevea los casos en los que la operación se hace engañando al ordenador. "Pesca" u "olfateo" de claves secretas: Los delincuentes suelen engañar a los usuarios nuevos e incautos de la Internet para que revelen sus claves personales haciéndose pasar por agentes de la ley o empleados del proveedor delservicio. del servicio. Los "sabuesos" utilizan programas para identificar claves de usuarios, que más tarde se pueden usar para esconder su verdadera identidad y cometer otras fechorías, desde el uso no autorizado de sistemas de computadoras hasta delitos financieros, vandalismo o actos de terrorismo. terrorismo.
Estratagemas: Los estafadores utilizan diversas técnicas para ocultar computadoras que se "parece "parecen" n" electr electróni ónicame camente nte a otras otras para para lograr lograr acceso acceso a algún algún sistem sistemaa genera generalme lmente nte restringido y cometer delitos. El famoso pirata Kevin Mitnick se valió de estratagemas en 1996 para introducirse en la computadora de la casa de Tsutomo Shimamura, experto en seguridad, y distribuir en la Internet valiosos útiles secretos de seguridad.
Jueg Juegos os de azar azar: El juego El juego elec electr trón ónic ico o de azar azar se ha incr increm emen enta tado do a medi medida da que que el comercio brin brinda da faci facili lidad dades es de créd crédit ito o y trans transfe fere renci nciaa de fondo fondoss en la Red. Red. Los problemas ocurren en países donde ese juego es un delito o las autoridades nacionales exi exigen gen licen icenci cias as.. Adem Además ás,, no se pued puedee gara garant ntiizar zar un juego uego limpi mpio, dada dadass las inconveniencias técnicas y jurisdiccionales que entraña su supervisión.
Fraude: Ya se han hecho ofertas fraudulentas al consumidor tales consumidor tales como la cotización de acciones, bonos y valores o la venta de equipos de computadora en regiones donde existe el comercio electrónico. electrónico.
Blanqu Blanqueo eo de din dinero ero: Se espe espera ra que que el comer comerci cio o elec electr tróni ónico co sea sea el nuevo nuevo luga lugarr de transferencia electrónica de mercancías o dinero para lavar las ganancias que deja el delito, sobre todo si se pueden ocultar transacciones.
Copia ilegal de software y espionaje informático: Se engloban las conductas dirigidas a obte obtene nerr dato datos, s, en form formaa ileg ilegít ítim ima, a, de un sistem sistemaa de inform informaci ación ón.. Es común el apoderamiento de datos de investigaciones, listas de clientes, clientes, balances, etc. En muchos casos el objeto del apoderamiento es el mismo programa de computación (software) que suele tener un importante valor económico.
Infr Infrac acci ción ón de los los dere derech chos os de auto autorr: La inter nterpr pret etac aciión de los conc concep epttos de copia, distribución, distribución, cesi cesión ón y comun comunic icaci ación ón públi pública ca de los los prog progra rama mass de orden ordenad ador or utilizando la red provoca diferencias de criterio a nivel jurisprudencial.
Infracción del Copyright de bases de datos: No existe una protección uniforme de las bases de datos en los países que tienen acceso a Internet. El sistema de protección más habitua habituall es el contra contractu ctual: al: el propie propietar tario io del sistem sistemaa permit permitee que los usuari usuarios os hagan hagan
"downloads" "downloads" de los ficheros ficheros contenidos en el sistema, sistema, pero prohíbe el replicado de la base la base de datos o la copia masiva de información.
Uso ilegítimo de sistemas informáticos ajenos: Esta modalidad consiste en la utilización sin autorización de los ordenadores y los programas de un sistema informático ajeno. Este tipo tipo de cond conduc ucta tass es com comúnm únmente ente com cometi etido por por empl emplea eado doss de los sist sistem emas as de procesamiento de datos que utilizan los sistemas de las empresas para fines privados y actividades complementarias a su trabajo. En estos supuestos, sólo se produce un perjuicio económico importante para las empresas en los casos de abuso en el ámbito del teleproceso o en los casos en que las empresas deben pagar alquiler por el tiempo de uso del sistema.
Acceso no autorizado: La corriente reguladora sostiene que el uso ilegítimo de passwords y la entrada en un sistema informático sin la autorización del propietario debe quedar tipificado como un delito, puesto que el bien jurídico que acostumbra a protegerse con la contraseña es lo suficientemente importante para que el daño producido sea grave.
Delitos informáticos contra la privacidad: Grupo de conductas que de alguna manera pueden afectar la esfera de privacidad del ciudadano mediante la acumulación, archivo y divulgación indebida de datos contenidos en sistemas informáticos. Esta tipificación se refiere a quién, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos datos reserv reservado adoss de caráct carácter er person personal al o famili familiar ar de otro otro que se hallen hallen regist registrad rados os en ficheros o soportes informáticos, electrónicos o telemáticos, o cualquier otro tipo de archivo o registro público o privado. Exis Existe ten n circ circun unst stanc ancia iass agra agrava vant ntes es de la divu divulg lgac ació ión n de fich ficher eros os,, los los cual cuales es se dan dan en función de: El carácter de los datos: ideología, religión, religión, creencias, salud, salud, origen racial y vida sexual. Las circunstancias de la víctima: menor de edad o incapaz. También También se comprende la interceptaci interceptación ón de las comunicaciones, comunicaciones, la utilización de artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen o de cualqui cualquier er otra otra señal señal de comuni comunicac cación ión,, se piensa piensa que entre entre lo anteri anterior or se encuent encuentra ra el pinchado de redes informáticas.
Interceptación de e-mail: En este caso se propone una ampliación de los preceptos que castigan la violación de correspondencia, y la interceptación de telecomunicaciones, telecomunicaciones, de forma que la lectura de un mensaje electrónico ajeno revista la misma gravedad.
Pornografía infantil: La distribución de pornografía infantil por todo el mundo a través de la Internet está en aumento. Durante los pasados cinco años, el número número de condenas por transmisión o posesión de pornografía infantil ha aumentado de 100 a 400 al año en un país nort nortea eame meri rica cano no.. El prob proble lema ma se agra agrava va al apar aparec ecer er nuev nuevas as tecn tecnol olog ogía ías, s, como como la criptografía, criptografía, que sirve para esconder pornografía y demás material "ofensivo" que se transmita o archive.
Los distintos métodos para realizar estas conductas se deducen, fácilmente, de la forma de trabajo de un sistema informático: en primer lugar, es posible alterar datos, omitir ingresar datos verdaderos o introducir datos falsos, en un ordenador. Esta forma de realización se conoce como manipulación del input. Ulrich Sieber, cita como ejemplo de esta modalidad el siguiente caso tomado de la jurisprudencia alemana: Una empleada de un banco del sur de Alemania transfirió, en febrero de 1983, un millón trescientos mil marcos alemanes a la cuenta de una amiga -cómplice en la maniobramediante el simple mecanismo de imputar el crédito en una terminal de computadora del banco. La operación fue realizada a primera hora de la mañana y su falsedad podría haber sido detectada por el sistema de seguridad del banco al mediodía. Sin embargo, la rápida transmisión del crédito a través de sistemas informáticos conectados en línea (on line), hizo posible que la amiga de la empleada retirara, en otra sucursal del banco, un millón doscientos ochenta mil marcos unos minutos después de realizada la operación informática. En segundo lugar, es posible interferir en el correcto procesamiento de la información, alterando el programa o secuencia lógica con el que trabaja el ordenador. Esta modalidad puede ser cometida tanto al modificar los programas originales, como al adicionar al sistema programas especiales que introduce el autor. A diferencia de las manipulaciones del input que, incluso, pueden ser realizadas por personas sin conocimientos especiales de informática, esta modalidad es más específicamente informática y requiere conocimientos técnicos especiales. Sieber cita como ejemplo el siguiente caso, tomado de la jurisprudencia alemana: El autor, empleado de una importante empresa, ingresó al sistema informático un programa que le permitió incluir en los archivos de pagos de salarios de la compañía a «personas ficticias» e imputar los pagos correspondientes a sus sueldos a una cuenta personal del autor. Esta maniobra hubiera sido descubierta fácilmente por los mecanismos de seguridad del banco (listas de control, sumarios de cuentas, etc.) que eran revisados y evaluados periódicamente por la compañía. Por este motivo, para evitar ser descubierto, el autor produjo cambios en el programa de pago de salarios para que los «empleados ficticios» y los pagos realizados, no aparecieran en los listados de control. Por último, es posible falsear el resultado, inicialmente correcto, obtenido por un ordenador: a esta modalidad se la conoce como manipulación del output. Una característica general de este tipo de fraudes, interesante para el análisis jurídico, es que, en la mayoría de los casos detectados, la conducta delictiva es repetida varias veces en el tiempo. Lo que sucede es que, una vez que el autor descubre o genera una o algunas o falla en el sistema, tiene la posibilidad de repetir, cuantas veces quiera, la comisión del hecho. Incluso, en los casos de «manipulación del programa», la reiteración
puede ser automática, realizada por el mismo sistema sin ninguna participación del autor y cada vez que el programa se active. En el ejemplo jurisprudencial citado al hacer referencia a las manipulaciones en el programa, el autor podría irse de vacaciones, ser despedido de la empresa o incluso morir y el sistema seguiría imputando el pago de sueldos a los empleados ficticios en su cuenta personal. Una problemática especial plantea la posibilidad de realizar estas conductas a través de los sistemas de teleproceso. Si el sistema informático está conectado a una red de comunicación entre ordenadores, a través de las líneas telefónicas o de cualquiera de los medios de comunicación remota de amplio desarrollo en los últimos años, el autor podría realizar estas conductas sin ni siquiera tener que ingresar a las oficinas donde funciona el sistema, incluso desde su propia casa y con una computadora personal. Aún más, los sistemas de comunicación internacional, permiten que una conducta de este tipo sea realizada en un país y tenga efectos en otro. Respecto a los objetos sobre los que recae la acción del fraude informático, estos son, generalmente, los datos informáticos relativos a activos o valores. En la mayoría de los casos estos datos representan valores intangibles (ej.: depósitos monetarios, créditos, etc.), en otros casos, los datos que son objeto del fraude, representan objetos corporales (mercadería, dinero en efectivo, etc.) que obtiene el autor mediante la manipulación del sistema. En las manipulaciones referidas a datos que representan objetos corporales, las pérdidas para la víctima son, generalmente, menores ya que están limitadas por la cantidad de objetos disponibles. En cambio, en la manipulación de datos referida a bienes intangibles, el monto del perjuicio no se limita a la cantidad existente sino que, por el contrario, puede ser «creado » por el autor.
Otros Ejemplos: El autor, empleado del Citibank, tenía acceso a las terminales de computación de la institución bancaria. Aprovechando esta circunstancia utilizó, en varias oportunidades, las terminales de los cajeros, cuando ellos se retiraban, para transferir, a través del sistema informático, fondos de distintas cuentas a su cuenta personal. Posteriormente, retiró el dinero en otra de las sucursales del banco . En primera instancia el Juez calificó los hechos como constitutivos del delito de hurto en forma reiterada. La Fiscalía de Cámara solicitó el cambio de calificación, considerando que los hechos constituían el delito de estafa. La cámara del crimen resolvió: «... y contestando a la teoría fiscal, entiendo que le asiste razón al Dr. Galli en cuanto sostiene que estamos en presencia del tipo penal de hurto y no de estafa. Ello es así porque el apoderamiento lo hace el procesado y no le entrega el banco por medio de un error, requisito indispensable para poder hablar de estafa. El apoderamiento lo hace el procesado directamente, manejando el sistema de computación. De manera que no hay diferencia con la maniobra normal del cajero, que en un descuido se apodera del dinero que maneja
en caja y la maniobra en estudio en donde el apoderamiento del dinero se hace mediante el manejo de la computadora...» Como el lector advertirá, la resolución adolece de los problemas de adecuación típica a que hacíamos referencias más arriba. En realidad, el cajero no realizó la conducta de apoderamiento que exige el tipo penal del hurto ya que recibió el dinero de manos del cajero. En el caso de que se considere que el apoderamiento se produjo en el momento en el que el autor transfirió los fondos a su cuenta, el escollo de adecuación típica insalvable deriva de la falta de la «cosa mueble» como objeto del apoderamiento exigido por el tipo penal.
Conclusión.
Si se entiende que la auditoria informática comprende las tareas de evaluar, analizar los procesos informáticos, entonces a la hora de realizar una auditoría de información, debemos identificar el uso de la información que se hace en una organización y el flujo que sigue. Para ello, deberemos identificar los recursos de los que la organización a estudiar dispone, qué uso efectivo se hace de ellos y los resultados que se obtienen. También debemos detenernos en el equipamiento disponible, quién hace uso de él, el coste, el valor que aporta a la organización y qué tipo de profesional desempeña estas funciones. La audit auditor oría ía info inform rmat ativa iva debe debe rela relaci cion onar ar lo que que se encue encuent ntra ra con con los los obje objeti tivos vos de la organi organizac zación ión,, así como como relaci relacionar onarlos los con la cultur culturaa organi organizat zativa iva,, además además de ayudar ayudar a decidir cómo la organización debe desarrollar una política informativa. Con la auditoría, se persig persigue ue realiz realizar ar una diagno diagnosis sis de las carencia carenciass de la situac situación ión actual actual,, ya se trate trate de dupli duplica caci cione oness de la info inform rmac ació ión n como como falt faltaa de ésta ésta,, subut subutil iliz izaci ación ón de recur recurso sos, s, incompatibi incompatibilidad lidad y/u obsolescenci obsolescenciaa de sistemas, sistemas, carencias formativas formativas dentro dentro del conjunto conjunto de los miembros de la organización, necesidades extraordinarias de recursos e insuficiencia del personal.
Referencias Bibliográficas.
http://www.documentalistaenredado.net/33/elementos-para-una-auditora-de-informacin/ http://vbarreto.ve.tripod.com/keys/audi/audi01.html http://www.monografias.com/trabajos12/conygen/conygen.shtml http://www.mailxmail.com/curso-delitos-informaticos/conceptualizacion-generalidades