1. Marco Jurídico de la Auditoría Informática.

1.1. Introducción y Definiciones.

La tecnología informática y los sistemas de información han cambiado muchos aspectos de la vida de las personas en estos
últimos años. La informática se encuentra arraigada en nuestras comunicaciones, en nuestra recreación y principalmente en
nuestros trabajos. Es por esto que la Tecnología de Información (TI) debe ser legislada y regulada con normas y leyes, y los
profesionales TI tiene que esforzarse por conocerlas y respetarlas.

El tratar de hablar de un marco jurídico no puede hacerse desconociendo el concepto del Derecho. La Real Academia Española
define claramente al Derecho de la siguiente manera:

“Conjunto de principios y normas, expresivos de una idea de justicia y de orden, que regulan las relaciones humanas en toda
sociedad y cuya observancia puede ser impuesta de manera coactiva.

Derecho Administrativo: parte del ordenamiento jurídico, que regula la Administración Pública, su organización y sus servicios,
así como sus relaciones con los ciudadanos.

Conforme a Derecho: Conforme a la norma aplicable.” El Derecho es afectado por la TI de dos maneras:

1.La TI es utilizada como una herramienta de trabajo para el operador jurídico, de la misma forma que se utiliza como
herramienta para cualquier otra profesión.
2.La TI es un objeto más del Derecho que debe estudiarse y analizarse. De aquí surge el término Derecho Informático
que es una rama del Derecho.

El Derecho Informático se encarga de regular a la comunidad informática, evitando que esta quede sin control alguno. A partir
del Derecho Informático surgen conceptos que tratará esta sección como la protección de datos personales, la protección
jurídica del software, los delitos informáticos y el comercio electrónico entre otras.

1.2. Protección de Datos de Carácter Personal.

La ley 25.326 – Ley de Protección de datos personales y Hábeas Data fue sancionada en Argentina el 4 de octubre del año 2000.
El artículo 1º define el objetivo de la ley:

“La presente ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de
datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para
garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las
mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional.

Las disposiciones de la presente ley también serán aplicables, en cuanto resulte pertinente, a los datos relativos a personas de
existencia ideal.

En ningún caso se podrán afectar la base de datos ni las fuentes de información periodísticas.”

El artículo 2º establece las definiciones de los términos informáticos, las más importantes son:

“Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables.

Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o
morales, afiliación sindical e información referente a la salud o a la vida sexual.

Archivo, registro, base o banco de datos: Indistintamente, designan al conjunto organizado de datos personales que sean objeto
de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento,
organización o acceso.

Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación,
ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento
de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o
transferencias.

Responsable de archivo, registro, base o banco de datos: Persona física o de existencia ideal pública o privada, que es titular de
un archivo, registro, base o banco de datos.

Datos informatizados: Los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado.

Titular de los datos: Toda persona física o persona de existencia ideal con domicilio legal o delegaciones o sucursales en el país,
cuyos datos sean objeto del tratamiento al que se refiere la presente ley.

Usuario de datos: Toda persona, pública o privada que realice a su arbitrio el tratamiento de datos, ya sea en archivos, registros
o bancos de datos propios o a través de conexión con los mismos.

Disociación de datos: Todo tratamiento de datos personales de manera que la información obtenida no pueda asociarse a
persona determinada o determinable.” i

El Derecho a la privacidad, o derecho a los datos personales, se ve directamente afectado por la aplicación de la TI a la
información de las personas. Si bien el procesamiento de información personal se ha estado realizando en las organizaciones de
manera manual mucho antes de la implementación de la TI, el tratamiento automatizado que provee la TI ha producido un
incremento en la preocupación por el tema de la privacidad.

1.2.1. Derecho a la intimidad.

El derecho a la intimidad o a la vida privada se fundamenta en el hecho de que las personas poseen datos, acciones o situaciones
que desean se mantengan en secreto y desconocidos a la sociedad. Estos son asuntos verídicos que se desea reservar para uno
mismo, o para un grupo reducido de personas, y que su divulgación traería aparejada problemas o dificultades a la persona. De
acuerdo al afamado jurista y filósofo peruano del derecho Carlos Fernández Sessarego, el derecho a la intimidad es "la respuesta
jurídica al interés de cada persona de lograr un ámbito en el cual pueda desarrollar, sin intrusión, curiosidad, fisgoneo ni
injerencia de los demás, aquello que constituye su vida privada, es decir la exigencia existencial de vivir libre de un indebido
control, vigilancia o espionaje"ii

Asimismo (y refiriéndose al derecho de amparo contra todo acto u omisión de autoridades públicas o de particulares, que en
forma actual o inminente lesione, restrinja, altere o amenace, con arbitrariedad o ilegalidad manifiesta, derechos y garantías), el
tercer párrafo del artículo 43 de la Constitución de la Nación Argentina establece lo siguiente:

“Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten
en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación,
para exigir la supresión, rectificación, confidencialidad o actualización de aquellos. No podrá afectarse el secreto de las fuentes
de información periodística.”iii

Además, la reforma constitucional de 1994 estableció en el artículo 43, párrafo tercero de la Constitución Nacional que "Toda
persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en
registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para
exigir la supresión, rectificación, confidencialidad o actualización de aquellos. No podrá afectarse el secreto de las fuentes de
información periodística."

1.2.2. Protección de Datos Personales.

La información se denomina de carácter personal cuando el segmento de la realidad que es objeto la información es sobre una
persona. Con la llegada de la TI es necesario un replanteo sobre el derecho a la intimidad, debido a la gran cantidad de
información que es almacenada y procesada en los bancos de datos de las distintas entidades, públicas y privadas.

En este punto vale la pena hacer una aclaración de los términos “datos” e “información”. Los archivos o banco de datos son los
lugares donde se almacena físicamente a los “datos” de las personas, estos datos por sí solo no aportan valor, sino que es
necesario efectuar un procesamiento de los mismos para obtener un resultado útil. Este resultado es lo que se denomina
“información”. El procesamiento de la información puede comprender operaciones de adición, combinación, exclusión o
comparación de los datos.

Los datos denominados “personales” son aquellos a los que se pueda identificarlos con una persona en particular, conociendo de
este modo características de esta persona. Dentro de los “datos personales” se encuentran los “datos sensibles”, que se refieren
a aspectos privados de las personas que puedan dar lugar a la discriminación. Algunos ejemplos de datos sensibles son la
religión, la pertenecía racial, ideología política, fisonomía moral e ideológica entre otros.

La protección de datos personales hace hincapié en la protección del derecho a la intimidad personal, en otras palabras, "aquella
parte de la legislación que protege el derecho fundamental de libertad, en particular del derecho individual a la intimidad,
respecto del procesamiento manual o automático de datos"iv.

El Capítulo II de la ley 25.326 se titula “Principios generales relativos a la protección de datos”. En el artículo 4º se exponen
principios de calidad de los datos, el siguiente es un extracto del mismo:

1. Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos
en relación al ámbito y finalidad para los que se hubieren obtenido.

2. La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la
presente ley.

3. Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que
motivaron su obtención.

4. Los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario.

5. Los datos total o parcialmente inexactos, o que sean incompletos, deben ser suprimidos y sustituidos, o en su caso
completados, por el responsable del archivo o base de datos cuando se tenga conocimiento de la inexactitud o carácter
incompleto de la información de que se trate, sin perjuicio de los derechos del titular establecidos en el artículo 16 de la
presente ley.

6. Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular.

7. Los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido
recolectados.

El cumplimiento de estos principios de calidad es responsabilidad de cada encargado de los sistemas de información que
almacenen o procesen información de las personas. Además, los artículos 13, 14 y 15 especifican el derecho que tienen las
personas de acceder y consultar la información referida a ellos, “incluidos en los bancos de datos públicos, o privados”. En este
tenor, “la información debe ser suministrada en forma clara, exenta de codificaciones y en su caso acompañada de una
explicación, en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen”.

En el artículo 16 se declara el derecho de que los datos personales incorrectos “sean rectificados, actualizados y, cuando
corresponda, suprimidos o sometidos a confidencialidad”, así como la notificación a terceros que hayan sido afectados por la
información errónea. La excepción a este derecho, de pedir que la información personal sea actualizada o borrada, la
constituyen los bancos de datos como el AFIP o el Veraz.

Todas las empresas u organizaciones que posean bases de datos con información de las personas tienen que registrarlo ante la
Dirección Nacional de Protección de Datos Personales (DNPDP), dependiente del Ministerio de Justicia. Por el solo hecho de no
tener registrado el banco de datos en la DNPDP se comete infracción de a ley 25.326.

En la actualidad todavía existe una brecha muy importante entre lo que establece la ley y la realidad que se práctica el país. Esto
debe ser resuelto con reglamentaciones e interpretaciones judiciales que tengan en cuenta la protección integral de la
información.

1.2.3. Hábeas Data.

El Hábeas Data es un derecho que poseen las personas efectuar un amparo para conocer los datos referidos a ellos,
almacenados en bancos de datos públicos o privados. Este derecho también permite exigir la supresión, rectificación,
actualización y confidencialidad de los mismos si fueran falsos o discriminatorios. El término hábeas data se interpreta como
“traigan los datos”, es similar al término hábeas corpus que significa “traigan el cuerpo”. Por lo que el propósito de este derecho
es que las personas puedan verificar la exactitud de sus datos personales.

El artículo 33 de la ley 25.326 de protección de datos personales establece:

1) “La acción de protección de los datos personales o de hábeas data procederá:

a) para tomar conocimiento de los datos personales almacenados en archivos, registros o bancos de datos públicos
o privados destinados a proporcionar informes, y de la finalidad de aquéllos;

b) en los casos en que se presuma la falsedad, inexactitud, desactualización de la información de que se trata, o el
tratamiento de datos cuyo registro se encuentra prohibido en la presente ley, para exigir su rectificación, supresión,
confidencialidad o actualización.”

Y en el artículo 38 encontramos lo siguiente:

1) "La demanda deberá interponerse por escrito, individualizando con la mayor precisión posible el nombre y domicilio del
archivo, registro o banco de datos y, en su caso, el nombre del responsable o usuario del mismo.

2) En el caso de los archivos, registros o bancos públicos, se procurará establecer el organismo estatal del cual dependen.

3) El accionante deberá alegar las razones por las cuales entiende que en el archivo, registro o banco de datos
individualizado obra información referida a su persona; los motivos por los cuales considera que la información que le atañe
resulta discriminatoria, falsa o inexacta y justificar que se han cumplido los recaudos que hacen al ejercicio de los derechos que
le reconoce la presente ley.

4) El afectado podrá solicitar que mientras dure el procedimiento, el registro o banco de datos asiente que la información
cuestionada está sometida a un proceso judicial.

5) El Juez podrá disponer el bloqueo provisional del archivo en lo referente al dato personal motivo del juicio cuando sea
manifiesto el carácter discriminatorio, falso o inexacto de la información de que se trate.”
1.2.4. Conclusiones sobre la protección de datos personales.

Como consecuencia de la ley 25.326 es posible declarar que el uso de información de las personas con un propósito distinto al
ingresado al banco de datos, y en especial la falta de veracidad de la misma, constituye una violación a la protección de datos
personales. Ejemplo de esto son correos electrónicos con propagandas, las promociones telefónicas, o la difusión de datos entre
entidades privadas cuando las direcciones de mail, el número de teléfono u otros datos extraído de las bases no tuvieron el
consentimiento del titular.

Los datos referidos a enfermedades, como el SIDA, deben ser administrados con extremada confidencialidad dado que su
divulgación puede traer grave consecuencias discriminatorias a las personas.

El Congreso Internacional sobre Derechos y Garantías en el Siglo XXI efectuado en Abril de 1999 en la ciudad de Buenos Aires,
sostiene que:

“Constituyen violaciones a la autodeterminación informativa (protección de datos personales) la utilización o empleo de la

información personal, especialmente la inserta en los registros automatizados de un Banco de Datos, con una finalidad diferente
a la declarada o propuesta al ser ingresados los datos al registro”.

“Debe establecerse una prohibición absoluta para la colecta de datos personales informatizados referidos a los “datos sensibles”
(por ej. raza, religión, ideología, conducta sexual). Los datos personales referidos a enfermedades deben ser registrados con
severas restricciones de acceso por parte de terceros, y en particular los de SIDA, o la convivencia con VIH”.

“Debe establecerse que toda persona pueda acceder, mediante un mecanismo eficaz, rápido y gratuito a los datos personales
que le conciernan”.

“El derecho de acceso, implica necesariamente la facultad de solicitar la corrección de esos archivos de datos personales, frente
a las inexactitudes que pudieran contener los respectivos registros, ya sea porque el dato fue mal informado o erróneamente
ingresado al sistema. El mismo derecho asiste en caso de ser necesaria la actualización de los datos personales, especialmente
los contenidos en ficheros informáticos y también integra el derecho a la autodeterminación informativa la facultad de eliminar
los registros de datos personales que han perdido vigencia, no debiendo conservarse por ningún medio”.

“Debe considerarse un uso arbitrario o no razonable de la información, generador de derecho al resarcimiento toda decisión con
efectos jurídicos sobre una persona o que les afecte de manera significativa, que se base únicamente en un tratamiento
automatizado de datos destinado a evaluar determinados aspectos de su personalidad (rendimiento laboral, crédito, fiabilidad,
conducta, etc.)”

“Cuando existan informes patrimoniales negativos, que no estén respaldados y se adopte una decisión que perjudique a la
persona referida en los informes debe presumirse que se ha obrado en forma arbitraria, siendo aplicable el instituto del abuso
del derecho” v.

1.3. La Protección Jurídica de los Programas.

En los primeros años de la informática la protección jurídica se centró exclusivamente en los componentes de hardware, esto se
debió principalmente a que el software sólo era utilizado para controlar al equipo, y su importancia con respecto al hardware
era ínfima. No obstante, a medida que el software fue incrementando su importancia, funcionalidad y valor para las empresas,
fue necesario implementar una regulación y protección jurídica para el mismo.

Para proteger jurídicamente al hardware se lo incluía en la categoría de “patentabilidad” o “inventos patentables”, dado que se
lo consideraba como un elemento material o un artefacto. Sin embargo, no es tan sencillo clasificar al software dentro de un
marco jurídico por su carácter de elemento inmaterial, incorporal, intelectual, moral y económico. Si bien las opiniones de las
jurisprudencias no son unánimes se lo suele circunscribir a alguna de las siguientes categorías:

1.3.1. Protección por Derecho de Patentes.

Para poder otorgar un derecho de patentes a un objeto, este debe cumplir con los requisitos de novedad, nivel inventivo y
aplicabilidad industrial. Resulta difícil tratar de considerar que el software cumpla con los requisitos de esta categoría de un
modo cabal, más aún, en muchos casos se lo define jurídicamente como un conjunto mental de pasos y operaciones dentro de
un ordenador. No puede asegurarse que el algoritmo del mismo no haya sido inventado por otra persona, como también que la
solución propuesta por el software no sea sólo una unión de ideas del estado de la técnica, como lo requiere el nivel inventivo; y
por último el software no siempre aporta una solución a un problema técnico como es condición de la aplicabilidad industrial.

Además, el software se puede considerar como ideas o conceptos abstractos, que son patrimonio común de la humanidad y no
pueden ser validados ni protegidos por un ordenamiento jurídico de patentes de invención dado que esta se enfoca en
productos y procesos no teóricos.

Por otra parte, varios programas de software han sido aceptados por las oficinas de patentes de algunos países, como en Estados
Unidos y Japón, que consideraron al software como programas destinados a administrar procesos industriales de producción de
componentes físicos.
1.3.2. Protección por Derecho de Autor.

El Derecho ha adoptado, de manera generalizada internacionalmente, al régimen de derecho de autor para incluir a los
programas de software. Algunas de las razones para ello comprenden al hecho que ya existen leyes y principios conocidos a
escala mundial, como el copyright, para su aplicación legal; también a que algunos organismos de registros ya han dictado
normas para la registración de software en este régimen; y que la doctrina y los fallos judiciales se han inclinado
mayoritariamente por este sistema.

Esta postura, de aceptar al software dentro de la protección jurídica de los derechos intelectuales, es ampliamente mayoritaria y
ha sido elegida por los países firmantes del "Acuerdo sobre los Aspectos de los Derechos de Propiedad Intelectual relacionados
con el Comercio" (ADPIC), también conocido como TRIPS, celebrado en el marco de la Ronda Uruguay del GATT (Acuerdo
General sobre Aranceles Aduaneros y Comercio), donde se expresa que los programas, sean códigos fuentes o programas
compilados, gozarán de la protección del Convención de Berna de 1971. Esto significa que los programas de software son
considerados como obras literarias, y reciben consecuentemente la protección jurídica aplicable a ellas.

Las críticas a la protección del software por derecho de autor radican, principalmente, en que la protección del copyright se
extiende por demasiado tiempo y que existen dudas sobre la exclusividad de un autor para impedir la reproducción no
autorizada de su código cuando no haya un fin de lucro en la copia de un programa.

1.3.3. Protección por Secreto Industrial.

Esta protección abarca la información secreta que genera un valor comercial y una ventaja competitiva a las empresas en la
producción del software. Los ataques a esta información pueden provenir de conductas desleales a acuerdos de
confidencialidad, espionaje o actos similares para apropiarse indebidamente del secreto industrial.

La protección que proporciona el Secreto Industrial al software es distinta a la que brindan el Derecho de Patentes y el Derecho
de Autor. Por un lado, en el Derecho de Patentes el software toma el carácter público pero se prohíbe su reproducción, mientras
que el Secreto Industrial preserva los datos del funcionamiento del programa.

Por otra parte, si bien el Derecho de Autor protege aún a las obras inéditas, no es su objetivo la tutela del secreto sino la
protección de la titularidad del programa; mientras que el Secreto Industrial se centra en proteger judicialmente la
confidencialidad de la información de todo lo que pueda atacarla. El Derecho de Autor y el Derecho de Patentes protegen la
propiedad del titular del trabajo prohibiendo su copia no autorizada.

1.3.4. Protección Jurídica de los Programas en la Argentina.

En nuestro país la Dirección Nacional de Propiedad Industrial rechazó patentar al software debido a que el artículo 4 de la ley
111 veda la protección jurídica a los inventos completamente teóricos sin aplicación industrial indicada. No obstante, el decreto
del Poder Ejecutivo 165/94 incluyó al software dentro de la ley Propiedad Intelectual 11.723, con lo que le brinda protección
jurídica y posibilita su registro en la Dirección Nacional de Derecho de Autor. Este decreto contempla a los programas fuentes y a
los compilados, y señala cómo proceder para el registro de derechos de autor en su artículo 2º:

“Para proceder al registro de obras de base de datos publicadas, cuya explotación se realice mediante su transmisión a distancia,
se depositarán amplios extractos de su contenido y relación escrita de su estructura y organización, así como de sus principales
características, que permitan a criterio y riesgo del solicitante individualizar suficientemente la obra y dar la noción más fiel
posible de su contenido.”vi

Conjuntamente, el artículo 3º señala: “Para proceder al registro de obras de software o de base de datos que tengan el carácter
de inéditas, el solicitante incluirá bajo sobre lacrado y firmado todas las expresiones de la obra que juzgue convenientes y
suficientes para identificar su creación y garantizar la reserva de su información secreta.”

En el año 1998 se promulgó la Ley 25.036, denominada la Ley del Software, que se basa los acuerdos internacionales donde
participa la Argentina, como la ADPIC, y donde se brinda protección al software mediante los derechos de autor. Esta normativa
reforma la Ley de Propiedad Intelectual actualizando cuatro artículos y añadiendo uno.

El artículo 1º se modificó para incluir a los programas fuentes y objetos. El artículo modificado establece que: "A los efectos de la
presente ley, las obras científicas, literarias y artísticas comprenden los escritos de toda clase, entre ellos los programas de
computación fuente y objeto, las compilaciones de datos o de otros materiales...". Y la última parte fija el límite del alcance de la
protección de esta forma: "...la protección del derecho de autor abarcará la expresión de ideas, procedimientos, métodos de
operación y conceptos matemáticos pero no esas ideas, procedimientos, métodos y conceptos en sí".

Si bien la Ley 25.036 marca un gran avance en la protección legal del software -por ejemplo la copia de los programas sin la
autorización del propietario del derecho de autor corresponde a una falta del código Penal en el artículo 172- todavía existen
vacios jurídicos en lo que concierne a los delitos informáticos, como son los fraudes, alteración de datos, destrucción de
información, etc.

1.4. Protección Jurídica sobre Bases de Datos y la Multimedia.

Las bases de datos constituyen conjuntos organizados de información que resultan de gran utilidad para las organizaciones. Ellas
han llegado a gestionar un volumen muy importante de datos capaces de ser accesibles individualmente por medios
tecnológicos. Debido al crecimiento en la utilización de las bases de datos en prácticamente todas las industrias, se hace
necesaria su regulación y su enmarcación dentro del Derecho.

La protección jurídica de las bases de datos se encuadra en la protección brindada por los derechos de Propiedad Intelectual. La
Propiedad Intelectual incluye a los derechos reconocidos legalmente a los autores de trabajos efectuados con el esfuerzo de su
intelecto y actividades de investigación. El Derecho protege a la Propiedad Intelectual al otorgar derechos a los creadores para
administrar sus obras, lo que les permite controlar su acceso y sus derechos morales y económicos.

La Propiedad Intelectual se ha dividido en dos ramas: derechos de autor y propiedad industrial. Los derechos de autor se refieren
a las obras o trabajos intelectuales de las personas para su comprensión, también intelectual, por parte de terceros. La
propiedad industrial se enfoca en los trabajos intelectuales utilizados para la industria y el comercio.

Las bases de datos entran dentro de ambas categorías, dado que son obras desarrolladas por el intelecto humano gozan de las
protecciones brindadas por los derechos de autor; y cuando son utilizadas en la industria se pueden considerar bienes
competentes de la protección que otorga la propiedad industrial. Para que una base de datos sea protegida por los derechos de
la Propiedad Intelectual debe contar con el requisito de originalidad, esto significa principalmente que la obra no debe ser copia
de alguna otra. Aunque también pueden solicitarse requisitos más estrictos, como en el derecho privado francés, donde se
solicita que la obra lleve en sello de la personalidad del autor.

La tecnología permite, en muchos casos, copiar literalmente los datos de una base a otra sin pedir autorización al autor de la
misma. Esta situación da lugar al fenómeno de la piratería informática que tanto auge tiene en la actualidad. La persona que
copia los datos, puede reordenarlos o reorganizarlos para presentarlos de otra manera, sin embargo, resulta evidente que se
está perjudicando al esfuerzo que realizó el autor de la primera base de datos en su investigación original. Sin una protección de
Propiedad Intelectual, los autores de bases de datos perderían su interés en invertir tiempo y esfuerzo en una obra que pueda
ser fácilmente copiada.

Por otro lado, el conflicto se genera al considerar los derechos fundamentales, constitucionalmente reconocidos, de la “libertad
de expresión y de comunicación” o el derecho a “comunicar o recibir libremente información veraz por cualquier medio de
difusión”vii. Si se ignorarán estos derechos se produciría un perjuicio a las investigaciones científicas, tecnológicas y culturales,
las cuales en muchos casos están basadas en estudios de otros investigadores. De aquí que el Derecho se enfoca en proteger la
inversión realizada por el autor original de la obra de la apropiación no autorizada de su trabajo.

1.4.1. Aplicación en el Derecho Europeo.

En el año 1988 la Comunidad Europea (CE) publicó el Libro Verde sobre “derechos de autor y el desafío tecnológico: problemas
de derecho de autor que requieren una iniciativa inmediata”. Esta publicación, con sus recomendaciones y propuestas, dio inicio
a una serie de directivas sobre los derechos de autor, como la 91/250/CEE (sobre protección jurídica de los programas de
ordenador), la 92/100/CEE (sobre los derechos de alquiler y préstamo y otros derechos afines a los derechos de autor), la
93/83/CEE (sobre los derechos de autor y derechos afines en el ámbito de la radiodifusión por satélite y de la distribución por
cable), y la 93/98/CEE (sobre el plazo de protección de los derechos de autor y afines), entre otros.

El profesor Sergio Cámara Lapuenteviii explica de la siguiente manera las características principales de estas propuestas:
1. “La Directiva sanciona una doble protección: por una parte, mediante derecho de autor para la “estructura” de la
base de datos que reúna un criterio uniforme y armonizador de originalidad consistente en que “la selección o disposición de su
contenido constituyan una creación intelectual de su autor” (art. 3.1); este derecho implica una serie de “restricciones” (art. 5)
para terceros, o derechos exclusivos para el autor (reproducción, adaptación, distribución, exhibición o representación al
público) y varias excepciones a esas “restricciones” (art. 6). Por otra parte, se concede un nuevo derecho de Propiedad
Intelectual, denominado sui generis, para proteger, hasta cierto punto, el contenido de la base de datos que no cumpla tal
requisito de originalidad; consiste en la posibilidad que tiene el fabricante de “prohibir la extracción y/o reutilización de la
totalidad o de una parte sustancial del contenido de ésta, evaluada cualitativa o cuantitativamente, cuando la obtención, la
verificación o la representación de dicho contenido represente una inversión sustancial desde el punto de vista cualitativo o
cuantitativo” (art. 7).

2. Las bases de datos “fácticas”, en línea con los últimos tratados internacionales, han quedado clara y definitivamente
protegidas; así se desprende de la definición de base de datos contenida en el art. 1.2, como “recopilaciones de obras, datos y
otros elementos independientes dispuestos de manera sistemática o metódica y accesibles individualmente por medios
electrónicos o de otra forma”. La novedad de la Directiva en el contexto internacional radica en que dichas compilaciones
pueden protegerse no sólo por el derecho de autor sino también mediante el derecho sui generis.

3. Además, la Directiva, como se desprende del inciso final de la definición transcrita, protege todo tipo de base de
datos, y no sólo las electrónicas (como sucedía hasta la propuesta modificada), porque, amén de ser la solución más sencilla, no
sería razonable sostener diferentes reglas legales para idéntico material con el solo fundamento del medio empleado, pues una
base de datos en soporte papel no tendría la protección que tendría la misma base escaneada.

4. El plazo de protección para el derecho sui generis es de 15 años (art. 10), superando así los diez años propuestos
inicialmente. Cualquier cambio sustancial del contenido de la base permite acceder a un nuevo e idéntico término de protección.

5. En la propuesta modificada en 1993 se mantenía la necesidad de conceder licencias obligatorias con fines
comerciales cuando las obras o materiales contenidos en una base de datos puesta a disposición del público no pudiera crearse,
recogerse u obtenerse de otra fuente de forma independiente; también cuando el productor de la base de datos fuese un ente
público creado o autorizado para recoger y divulgar información , o una entidad privada en situación de monopolio en virtud de
una concesión exclusiva efectuada por un organismo público.”

1.4.2. Aplicación en el Derecho de los Estados Unidos.

En los Estados Unidos la ley de derechos de autor fue establecida en 1976 y modificada en 1992. Está basada en la originalidad
de la obra y para definirlas utilizan el término “sudor de la frente” (en inglés “sweat of the brow” o “industrious collection”). Por
lo que la protección de derecho de autor sobre las bases de datos depende del esfuerzo y trabajo del creador, y no de su
creatividad.

En el año 1991 se llevó a cabo una demanda de derechos de autor con un fallo de la Corte Suprema de los Estados Unidos de
gran trascendencia en los tribunales de ese país. El caso se conoce como Feist vs. Rural, tuvo lugar entre la cooperativa
telefónica “Rural Telephone Service Company, Inc” y “Feist Publications”. Rural se dedicaba a recompilar guías telefónicas sin
cargo como una franquicia monopólica para el nordeste de Kansas. Feist preparaba también una guía telefónica pero para un
área geográfica más amplia que Rural.

Feist solicitó incluir en su guía los datos de Rural, lo cual fue negado por esta última. Sin embargo, Feist copió la información sin
tener el permiso, lo que llevó a que Rural iniciara una demanda por infracción de derechos de autor. La Corte dictaminó que no
se aplicaba el derecho de autor a la información de la guía por falta de originalidad en la guía de Rural, por lo que no se estimó la
demanda. Con este fallo, se puede entender que en los Estados Unidos no es posible proteger a la inversión y al contenido de
una base de datos real.

Debido a que esto ha sido considerado como perjudicial para la industria de los Estados Unidos, se han generado propuestas
para restaurar la protección de derechos de autor a las bases de datos, como la H.R. 3531 “Ley sobre la inversión en bases de
datos y contra la piratería de la Propiedad Intelectual” que establece un derecho similar y más amplio al sui generis europeo. Sin
embargo, ente proyecto de ley fue desestimado por considerarse muy proteccionista de los derechos de los productores de
bases de datos.

Conclusiones sobre la Protección Jurídica sobre Bases de Datos y la Multimedia.

Para que la industria de las bases de datos y multimedia llegue a ser un negocio rentable para los productores, es necesario el
establecimiento de un marco legal que regule a la competencia con leyes de derechos de autor y protección contractual.

Un punto fundamental que la legislación debe considerar es la relación de equilibrio entre, por un lado, la protección de la
inversión y del trabajo de los autores de las bases de datos de la competencia desleal y de la copia; y por otro lado, la necesidad
la libre circulación de la información con fines científicos y sociales. Una forma de lograrlo es con limitantes a las restricciones
excesivas de acceso a los datos dependiendo del propósito de la investigación, como en los casos de fines científicos, culturales,
educativos, de seguridad nacional o similar.

No sólo tiene importancia las leyes que se puedan promulgar dentro del país, sino que también juegan un papel importante los
tratados internacionales, al considerar jurídicamente a la tecnología como un fenómeno de influencia global.

1.5. Los Delitos Informáticos.

Con el desarrollo de la tecnología informática y el uso de los sistemas de información en las industrias y en los hogares, han
surgido nuevas actividades delictivas que se denominan “delitos informáticos”.

El penalista español Cuello Calónix define ciertos elementos integrantes del delito de la siguiente manera:

 “El delito es un acto humano, es una acción (acción u omisión).

 Dicho acto humano ha de ser antijurídico, debe lesionar o poner en peligro un interés jurídicamente protegido.

 Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto típico.
 El acto ha de ser culpable, imputable a dolo (intención) o a culpa (negligencia), y una acción es imputable cuando
puede ponerse a cargo de una determinada persona.

 La ejecución u omisión del acto debe estar sancionada por una pena.
Por tanto, un delito es: una acción antijurídica realizada por un ser humano, tipificado, culpable y sancionado por una pena.”

Para el autor mexicano Julio Tellez Valdez los delitos informáticos son "actitudes ilícitas en que se tienen a las computadoras
como instrumento o fin (concepto atípico) o las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras
como instrumento o fin (concepto típico)". Por otra parte, el tratadista penal italiano Carlos Sarzana, indica que los delitos
informáticos son "cualquier comportamiento criminal en que la computadora está involucrada como material, objeto o mero
símbolo".

El Delito Informático también podría definirse como: “toda acción consciente y voluntaria que provoca un perjuicio a una
persona natural o jurídica sin que necesariamente conlleve a un beneficio material para su autor, o que, por el contrario,
produce un beneficio ilícito para su autor aun cuando no perjudique de forma directa o inmediata a la víctima, y en cuya
comisión intervienen, indispensablemente, de forma activa, dispositivos normalmente utilizados en las actividades
informáticas”x

Los siguientes cuadros exponen los delitos informáticos reconocidos por la Organización de las Naciones Unidas (ONU) en un
artículo publicado el 28 de Noviembre de 2002, bajo la descripción "Tipos de Delitos Informáticos".

Cuadro

1.5.1. Legislación Argentina contra los Delitos Informáticos.

La legislación Argentina regula el comportamiento de las personas con respecto a la informática de manera comercial y penal,
aunque todavía no contempla los delitos informáticos.

La protección de la Propiedad Intelectual está regulada por la ley 111 de Patentes de Invención. Algunos artículos fueron
modificados por la ley 11723 de la Propiedad Científica, Literaria y Artística, en especial el artículo 71 expresa:

“Será reprimido con la pena establecida por el art. 172 del código penal, el que de cualquier manera y en cualquier forma
defraude los derechos de Propiedad Intelectual que reconoce esta ley.”xii

Y el artículo 72 continúa con la siguiente declaración:

“Sin perjuicio de la disposición general del artículo precedente, se consideran casos especiales de defraudación y sufrirán la pena
que él establece, además del secuestro de la edición ilícita:

a) El que edite, venda o reproduzca por cualquier medio o instrumento, una obra inédita o publicada sin autorización de su
autor o derechohabientes;

b) El que falsifique obras intelectuales, entendiéndose como tal la edición de una obra ya editada, ostentando falsamente el
nombre del editor autorizado al efecto;

c) El que edite, venda o reproduzca una obra suprimiendo o cambiando el nombre del autor, el título de la misma o alterando
dolosamente su texto;

d) El que edite o reproduzca mayor número de los ejemplares debidamente autorizados.”

El Código Penal posee sanciones para las faltas que pueden cometerse por medio de la tecnología informática, como por
ejemplo, los artículos 109 al 117 son los delitos contra el honor, el 209 es para la instigación a cometer delitos, el 83 es la
instigación al suicidio y 172 para las estafas, defraudación, falsificación, tráfico de menores, narcotráfico, etc.

1.5.2. Función del Auditor frente a los Delitos Informáticos.

La función del auditor informático es verificar los sistemas de control, a fin de evaluar los riesgos de ocurrencia de fraudes que
posee la entidad. Debe detectar adecuadamente las irregularidades que puedan impactar en la organización, y las debilidades de
los controles internos que puedan pasar por alto fraudes o delitos.

Al efectuar una auditoria pueden encontrarse ocurrencias de delitos informáticos en las actividades evaluadas. En estos casos el
auditor determina, en primer término, si la situación se corresponde con un delito; si ese es el caso se deben reunir las pruebas
necesarias, determinar las falencias que permitieron la existencia del delito, e informar a la autoridad que corresponda en la
organización auditada, así como a las autoridades regulatorias en caso de requerimientos legales.
El auditor debe ejercer profesionalismo en situaciones de delitos informáticos al no hacer público ni divulgar las informaciones
donde no corresponda. La falta de mesura podría ocasionar los siguientes inconvenientes en las entidades auditadas:

 Desconfianza de los empleados al sistema de control.

 Estimular los delitos al exponer debilidades del sistema de control.

 Desconfianza en la entidad por parte de los accionistas, clientes, proveedores e inversionistas.

 Pérdida de personal y problemas para contratar nuevo al crecer la desconfianza en la organización.

Cuando el auditor se encuentra con estos delitos debe proporcionar sugerencias para resolver los problemas de control. Estas
recomendaciones pueden incluir:

Revisar por completo los procesos involucrados.

Agregar controles adicionales o más sofisticados.

Establecer planes de contingencia.

Implementar nuevas herramientas de control y similares.

1.5.3. Publicaciones sobre los Delitos Informáticos.

La revista informática web DiarioTi publicó el siguiente artículo referido a los delitos informáticos:

“El ciberdelito cuesta un billón de dólares.

La compañía de seguridad informática McAfee ha presentado un informe basado en entrevistas con 800 directores de TI en todo
el mundo. Su conclusión es que el delito informático ocasiona pérdidas del orden del billón de dólares; es decir, un millón de
millones o 1.000.000.000.000.

Diario Ti: La actual crisis financiera también deja su huella en la seguridad informática. El 42% de las empresas consultadas por
McAfee mencionan que los empleados despedidos constituyen el mayor riesgo de seguridad contra la empresa.

La mayor parte de las pérdidas proviene del robo de datos, a la vez que las empresas usan 600 millones de dólares para asegurar
su información.

Los ciberdelincuentes han comenzado a usar en grado cada vez mayor que antes a terceros para el lavado de dinero. Se trata de
usuarios de Internet que se dejan tentar por una oferta de dinero, a cambio de recibir en su cuenta bancaria dinero proveniente
de transacciones delictivas, robo de tarjetas de crédito, usurpación de identidad y phishing. Los delincuentes también usan
moneda virtual en comunidades en línea con el fin de lavar dinero y enviarlo fuera del país. Por ahora no existe una cifra
concreta de las transacciones de dinero realizadas en juegos como World of Warcraft, aunque el ciberdinero usado en este
puede ser cambiado por dinero real.

McAfee propone que los gobiernos de todo el mundo destinen mayores fondos para combatir el ciberdelito. También sugiere
revisar las leyes actuales, debido a que muchos instrumentos legales ni siquiera tipifican como delito alguno de los actuales
modelos de ciberdelincuencia.

Cabe señalar que McAfee, en su condición de proveedor de soluciones de seguridad informática, es parte en el tema, ya que una
mayor inversión en seguridad le beneficiaría directamente.”xiii

La compañía experta en seguridad informática, Recovery Labs, propone una serie de recomendaciones para ayudar a los
usuarios a proteger sus equipos y su información de amenazas como virus, gusanos, spam, phishing, etc.:

“Relacionados con su equipo informático:

 Actualice regularmente su sistema operativo y el software instalado en su equipo, poniendo especial atención a las
actualizaciones de su navegador web. A veces, los sistemas operativos presentan fallos, que pueden ser aprovechados por
delincuentes informáticos. Frecuentemente aparecen actualizaciones que solucionan dichos fallos. Estar al día con las
actualizaciones, así como aplicar los parches de seguridad recomendados por los fabricantes, le ayudará a prevenir la posible
intrusión de hackers y la aparición de nuevos virus.

 Instale un Antivirus y actualícelo con frecuencia. Analice con su antivirus todos los dispositivos de almacenamiento de
datos que utilice y todos los archivos nuevos, especialmente aquellos archivos descargados de internet.
 Instale un Firewall o Cortafuegos con el fin de restringir accesos no autorizados de Internet.

 Es recomendable tener instalado en su equipo algún tipo de software anti-spyware, para evitar que se introduzcan en su
equipo programas espías destinados a recopilar información confidencial sobre el usuario.

Relacionados con la navegación en internet y la utilización del correo electrónico:

 Utilice contraseñas seguras, es decir, aquellas compuestas por ocho caracteres, como mínimo, y que combinen letras,
números y símbolos. Es conveniente además, que modifique sus contraseñas con frecuencia. En especial, le recomendamos que
cambie la clave de su cuenta de correo si accede con frecuencia desde equipos públicos.

 Navegue por páginas web seguras y de confianza. Para diferenciarlas identifique si dichas páginas tienen algún sello o
certificado que garanticen su calidad y fiabilidad. Extreme la precaución si va a realizar compras online o va a facilitar
información confidencial a través de internet. En estos casos reconocerá como páginas seguras aquellas que cumplan dos
requisitos:

o Deben empezar por https:// en lugar de http.

o En la barra del navegador debe aparecer el icono del candado cerrado. A través de este icono se puede acceder a un
certificado digital que confirma la autenticidad de la página.

 Sea cuidadoso al utilizar programas de acceso remoto. A través de internet y mediante estos programas, es posible acceder
a un ordenador, desde otro situado a kilómetros de distancia. Aunque esto supone una gran ventaja, puede poner en peligro la
seguridad de su sistema.

 Ponga especial atención en el tratamiento de su correo electrónico, ya que es una de las herramientas más utilizadas para
llevar a cabo estafas, introducir virus, etc. Por ello le recomendamos que:

o No abra mensajes de correo de remitentes desconocidos.

o Desconfíe de aquellos e-mails en los que entidades bancarias, compañías de subastas o sitios de venta online, le
solicitan contraseñas, información confidencial, etc.

o No propague aquellos mensajes de correo con contenido dudoso y que le piden ser reenviados a todos sus
contactos. Este tipo de mensajes, conocidos como hoaxes, pretenden avisar de la aparición de nuevos virus, transmitir
leyendas urbanas o mensajes solidarios, difundir noticias impactantes, etc. Estas cadenas de e-mails se suelen crear
con el objetivo de captar las direcciones de correo de usuarios a los que posteriormente se les enviarán mensajes con
virus, phishing o todo tipo de spam.

o Utilice algún tipo de software Anti-Spam para proteger su cuenta de correo de mensajes no deseados.

En general, es fundamental estar al día de la aparición de nuevas técnicas que amenazan la seguridad de su equipo informático,
para tratar de evitarlas o de aplicar la solución más efectiva posible.”xiv
1.6. Los Controles Informáticos.

La función de los controles informáticos es la de prevenir y evitar la ocurrencia de los delitos en los sistemas de información.
Existen organismos dedicados específicamente a esta tarea, uno de ellos es la guardia Civil Española cuya investigación de los
delitos informáticos se orientada a la prevención del delito. Los oficiales informáticos de esta institución trabajan en conjunto
con colegas de la Scotland Yard (británica), el FBI (Estados Unidos), la PAF (francesa), KGH (soviético) entre otros.

Los delitos informáticos financieros parecen ser el blanco principal de los criminales en la actualidad y con vistas de crecimiento
en el futuro. Esto está muy relacionado con el hecho que la economía tiende a convertirse en una actividad puramente virtual,
con actividades totalmente ejecutadas por los sistemas de información. Por lo que las organizaciones que luchan contra los
delitos informáticos se enfocan en perseguir a los criminales de “cuello blanco”, además de otros delitos, como la evasión de
impuestos, pornografía infantil, terrorismo y narcotráfico.

En la Argentina existe la División Computación en la Policía Federal, que cuenta con oficiales que patrullan la red a fin de
encontrar delitos informáticos. Ellos trabajo bajo pedidos de la justicia y por requerimientos de algunas instituciones. Este grupo
investiga casos de adopción ilegal, prostitución infantil, pornografía, terrorismo y venta de armas, drogas y otros
estupefacientes. El mayor reto que tienen es encontrar la ubicación física de los delincuentes una vez encontrada su dirección
electrónica.

Otro organismo que utiliza internet para combatir los delitos es El Consejo del Menor y la Familia, que posee un grupo de
especialistas dedicados a indagar redes de tráficos de niños y otros delitos cometidos con menores. Ellos advierten de manera
inmediata a la justicia cualquier hallazgo relevante.

La Universidad de Belgrano alberga al Grupo de Investigacion en Seguridad y Virus Informáticos (G.I.S.V.I.) que se dedica a
resolver casos de ataques con virus destinados a sabotear información de las empresas. Este organismo informa tres casos
típicos de virus encontrados:

 Virus con complemento humano: son los virus lanzados internamente en las empresas por un empleado de la
misma. Para poder evitarlo se deben establecer mecanismos de control en las computadoras o terminales a las que
tienen acceso los empleados.
 Virus de daño dirigido: para controlarlos es necesario el uso de antivirus específicos que puedan detectarlos y
eliminarlos.

 Sabotaje Corporativo: se refiere a cuando una empresa es atacada por una organización de la competencia.
Generalmente se utilizan virus informáticos para recabar información confidencial.

En el boletín informativo de Junio de 2003 del Instituto de Auditores Internos de Argentinaxv, se hace referencia a un
documento publicado por el Institute of Internal Auditors (IIA) titulado “Management Antifraud Programs and Controls”. En esta
publicación se exponen medidas preventivas para evitar la ocurrencia de delitos informáticos dentro de las organizaciones, las
más relevantes son:

“Crear y mantener una cultura de honestidad y moral elevada.

Evaluar los riesgos de fraude, implementando los procesos, procedimientos y controles necesarios para mitigar los
riesgos y reducir las oportunidades de fraude.

Desarrollar un adecuado proceso de vigilancia.”

Se hace hincapié en que al elevar la moral de los empleados y al lograr que estos tengan sentimientos positivos hacia la entidad,
con una cultura de valores elevados y honestidad, el fraude y los delitos informáticos serán menos frecuentes que en los lugares
donde los empleados se sienten abusados, amenazados o ignorados.

Las organizaciones deben promover y exigir el cumplimiento de un código de conducta corporativo. Algunos puntos que no
pueden faltar en el mismo son la ética, la confidencialidad, los conflictos de intereses, la Propiedad Intelectual, el acoso sexual y
el fraude. Muchas empresas requieren que sus empleados completen un entrenamiento del código de conducta anualmente,
renovando su compromiso a cumplirlo. Estos entrenamientos se enfocan en lograr que los empleados conozcan las
reglamentaciones y los cambios que estas hayan sufrido, los recientes problemas éticos y cómo prevenir situaciones similares
futuras, y cómo se puede mitigar los riesgos al cumplir con las normas y los reglamentos.

La IIA también recomienda que los entrenamientos abarquen temas tales como:

 “La obligación del empleado de comunicar ciertos asuntos.

 Tipos de asuntos a ser comunicados, incluyendo fraudes reales o presuntos.

 Información sobre cómo comunicarlos.”

En este mismo documento, la IIA también se explaya sobre cómo las organizaciones pueden reducir las oportunidades de fraude
al identificar y medir los riesgos que puedan ocasionarlos, tomando medidas para mitigar los riesgos identificados, e
implementando y supervisando controles internos preventivos y de detección, así como otras medidas disuasorias.

“Para prevenir o desalentar el fraude con eficacia debería existir una función de vigilancia apropiada, la que puede estar bajo la
supervisión general del comité de auditoría. El comité de auditoría debería:

- Evaluar la identificación de riesgos de fraude, la implementación de medidas antifraude y la creación del tono
apropiado en el máximo nivel.

- Ayudar al directorio a llevar a cabo sus responsabilidades de vigilancia con respecto al proceso de información
financiera de la empresa y al sistema de control interno.

- Animar a la dirección para que proporcione a los empleados mecanismos para informar sus preocupaciones
acerca de comportamientos no éticos, fraudes reales presuntos, o violaciones del código de conducta o de la
política de ética.

Los auditores internos pueden constituirse en un medio de detección y de disuasión del fraude. En esta tarea deberían, por
ejemplo, determinar:

 Si el ambiente de la organización promueve la conciencia de control.

 Si se establecen metas y objetivos realistas para la organización.

 Si existen políticas escritas que describan actividades prohibidas y las acciones requeridas si se descubren
transgresiones.
  Si se establecen y mantienen políticas de autorización apropiadas para las transacciones.

 Si se desarrollan políticas, prácticas, procedimientos, informes y otros mecanismos para supervisar actividades de
salvaguarda de activos, particularmente en áreas de alto riesgo.

 Si los canales de comunicación proporcionan a la dirección información adecuada y confiable.

 Si deben hacerse recomendaciones para el establecimiento o mejora de controles razonables para desalentar el
fraude.

Los auditores externos pueden ayudar a la dirección proporcionando una evaluación de los procesos de la empresa para
identificar, evaluar y responder a los riesgos de fraude. Los examinadores de fraude certificados pueden dar asistencia al comité
de auditoría y al cuerpo directivo sobre aspectos del proceso de vigilancia, en forma directa o formando parte de los equipos de
auditores internos o externos.”

1.7. Intercambio Electrónico de Datos (EDI – Electronic Data Interchange).

De acuerdo con la autora española María del Mar Rodríguez Domínguez et al, “la clave para competir en el entorno actual,
caracterizado por una fuerte agudización de la competencia en todos los sectores y un cambio en el paradigma tecnoindustrial
por el desarrollo de las aplicaciones científico- técnicas, reside en el establecimiento de sistemas efectivos de mejora continua de
la productividad -sin reducción de la calidad- que lleven implícitos una utilización óptima de la información. El desarrollo de
sistemas de información interorganizacionales con fines estratégicos se presenta como una de las opciones para afrontar esta
nueva situación, donde la flexibilidad y la cooperación se han convertido en el reto de las empresas competitivas. Una de estas
aplicaciones, el intercambio electrónico de datos, permite mantener flujos de comunicación en tiempo real que refuercen los
acuerdos cooperativos que forman parte de la estrategia global de la empresa.”xvi

Además Enrique Claver Cortés et al define al EDI como: “El Intercambio Electrónico de Datos (EDI) es un tipo de Sistema
Interorganizativo (IOS) que elimina la intervención manual en la transmisión de documentos normalizados. Actualmente, el uso
del EDI es imprescindible, sobre todo si se quiere trabajar en determinados sectores, que lo exigen debido a los múltiples
beneficios que ofrece a las empresas. Para su éxito se necesita una implementación cuidadosamente planificada. También son
factores clave en la difusión de este sistema, entre otros, solucionar el problema de los estándares EDI, que los socios
comerciales que lo usan tengan confianza entre sí y que ejerzan su poder de negociación de forma persuasiva.”xvii

En otras palabras, el EDI es el intercambio electrónico de documentos comerciales y administrativos entre sistemas de
información de distintas empresas. Para que esto sea posible ambos sistemas deben comunicarse en un lenguaje común, que se
logra a través de normalización de los formatos de los datos. Esto ocurre generalmente entre organizaciones que poseen una
alta relación comercial, como por ejemplo la relación clientes - proveedor, o las entidades financieras con el estado o similares.
Estas empresas que utilizan EDI se denominan “socios comerciales”. La información comercial que generalmente se transmite
son datos de transacciones, aunque también se suelen intercambiar información referente a cotizaciones de precios y consultas
sobre el estado de las órdenes de compra.

La EDI representa una ventaja competitiva para muchas empresas, que logran optimizar sus recursos con su implementación.
Algunos beneficios que el EDI proporciona son:

 La información que se intercambio logra mayor calidad, al ser más exacta y poseer menos errores que con el
procesamiento manual.

 El trabajo es más organizado y se desarrolla en menor tiempo dado que la información se transmite
electrónicamente, con un mejor cash-flow dado por la transmisión y gestión automática del dinero independiente de
los horarios de las jornadas laborales.

 Mejoran las relaciones comerciales al disminuir los tiempos de utilización de los recursos y al aumentar la
satisfacción de los clientes por una mejor disponibilidad de la información.

 Reducción de los costos al aumentar la productividad de las actividades de recolectar, enviar y recibir información.
Se reduce también la documentación escrita y los costos de su envío.

Las interacciones entre las organizaciones participantes del EDI se llevan a cabo a través de aplicaciones informáticas, que
cumplen el rol de interfaces entre los sistemas para el intercambio de los datos locales. El EDI debe formalizar la estructura que
tendrán los datos para puedan ser entendibles por las aplicaciones participantes de la transmisión, así como el significado
comercial que tendrán.

Las ONU desarrolló estándares para que las transacciones electrónicas de la plataforma funcional del EDI se efectúen de manera
uniforme. Los estándares más utilizados son el ANSI X-12 para los Estados Unidos y el EDIFACT para Europa, que es el único
estándar normalizado para el intercambio electrónico de datos.

Muchas organizaciones adoptaron al EDI debido a las numerosas negociaciones y los altos esfuerzos de cooperación que
desarrollan con sus socios comerciales. Estas relaciones inter-organizacionales son un requisito para la implantación exitosa de
un EID, como también son las alianzas estratégicas, las sociedades comerciales, los joint venture, los consorcios de investigación
y desarrollo, etc. Tres factores claves para el desarrollo de una EDI son la confianza, el poder y la visión.

1.7.1. El Factor “Confianza” en un EDI.

Muchos estudios sobre el EDI tradicional fundamentan su éxito en la economía de los costos de las transacciones. Esta teoría
afirma que los socios de negocios a menudo no confían entre sí debido a que poseen un mayor interés en sí mismos que en el
éxito de la alianza. Para reducir el costo que esto ocasiona y mejorar el grado de confianza, los socios de negocios necesitan
emplear ciertos mecanismos, como son la búsqueda previa de información, los contactos, las negociaciones y los contratos, así
como la aplicación a posteriori del seguimiento, control y aseguramiento. El coste de las transacciones entre ellos resulta en
costos asociados a estos mecanismos. Cinco atributos generales pueden influir en el costo de transacción: especificidad de los
activos, incertidumbre del entorno transaccional, frecuencia de las transacciones, grado de confianza, y actitud ante el riesgo de
los socios de negocios. El EDI intenta bajar los costos de transacción mediante la mejora de estos cinco atributos.

Como cualquier IOS, la confianza es un factor importante para el éxito de la EDI. Las organizaciones que aplican la confianza
están más dispuestas a invertir en un EDI y a compartir información con sus socios comerciales. Por otra parte, la confianza
puede detener la aparición del comportamiento oportunista. La oportunidad de compartir información con los socios de
negocios mejorará después de la reducción de este tipo de comportamiento.

1.7.2. El Factor “Poder” en un EDI.

La teoría de la dependencia de los recursos de Pfeffer y Salanzickxviii es también aplicable a la explicación de la implementación
de un EDI. Esta teoría afirma que la dependencia inter-organizacional es creada cuando un socio de negocio "no controla
completamente todas las condiciones necesarias para el logro de una acción o para obtener el resultado deseado de la acción".

Desde este punto de vista teórico, un socio de negocios necesita reducir el grado de interdependencia, es decir, reducir al
mínimo la incertidumbre de la dependencia de los socios comerciales de los recursos importantes. De acuerdo con esta teoría, la
estructura de poder entre los socios de negocios se encuentra muy correlacionada con el grado de interdependencia y su
balance, que se determina por quién tiene el control de los recursos claves.

El proceso de implementación de un EDI requiere la institucionalización de:

 Los estándares de calidad acordados.

 Las prácticas comerciales.

 La información a ser compartida.

 Las inversiones en equipamiento y recursos humanos.

Estos requisitos pueden afectar sustancialmente la asignación de recursos claves, que son lo que determinan la relación de
interdependencia.

El poder convincente y el poder imperativo que posea una organización también pueden influir en otra entidad para que
implemente un EDI. El poder convincente se utiliza con mecanismos de incentivos, como recompensas financieras, para animar a
una organización a implementar un EDI, principalmente al demostrar los beneficios económicos que le logran con un EDI.

Cuando una organización tiene un poder de negociación más importante que sus pequeños y diversificados socios comerciales,
el poder imperativo resulta ser más efectivo que el poder convincente para forzar a los socios a adoptar un EDI. Este es el caso
de las firmas comerciales dominantes cuyas decisiones ejercen una gran presión en las compañías que trabajan con ellas.

1.7.3. El Factor “Visión” en un EDI.

El objetivo a corto plazo de la cooperación inter-organizacional es obtener beneficios económicos. El objetivo a largo plazo es
buscar y maximizar una relación duradera inter-organizacional con los socios comerciales a través de una serie de actividades de
cooperación. Ambas partes de la alianza necesitan crear una visión común y definir claramente sus respectivas funciones y
expectativas. Una comunicación constante sobre los objetivos comunes puede facilitar el desarrollo exitoso de la relación de
cooperación. Por lo tanto, es importante crear una visión compartida antes que la asociación se inicie. La visión lograda afectará
el costo y los beneficios percibidos por la ejecución del EDI, mejorando así la disposición a implementar otros proyectos del EDI.

El contar con objetivos comunes mejorará también la voluntad de los socios comerciales de compartir el conocimiento, la
integración de negocios y las inversiones en joint venture, además de fomentar el compromiso y la confianza en la asociación.
Por lo que, el establecer una visión común antes de crear la alianza formal influye considerablemente en el grado de
participación de las organizaciones en el EDI.

1.7.4. Legislación del EDI.

La legislación para el Intercambio Electrónico de Datos se ubica dentro de la legislación para el comercio electrónico. En 1996 la
Asamblea General de la ONU, a instancia de la Comisión de Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI),
aprobó una resolución conocida como Ley Modelo sobre Comercio Electrónico. El propósito de esta ley es uniformar y
evolucionar las relaciones jurídicas comerciales que se efectúan por medios informáticos y de comunicación. Esta disposición
jurídica ha sido precursora del estudio e implantación de muchas de estas instituciones en la normativa sobre esta materia a
escala internacional. El documento comprende por primera vez de manera exhaustiva la forma en que debería tratarse las
categorías jurídicas que están siempre presentes en el comercio electrónico; también aparecen instituciones como mensajes de
datos, intercambio electrónico de datos (EDI), iniciador y destinatario de mensaje de datos, intermediario y sistema de
información.

La misma comisión de la Asamblea General de Naciones Unidas, también desarrolló la Ley Modelo sobre Firmas Electrónicas, que
fue aprobada por una resolución de la Asamblea General en diciembre de 2001. Esta ley estableció en su texto instituciones de
gran trascendencia para el comercio electrónico, como firma electrónica, certificado, firmante, prestador de servicios de
certificación y parte que confía.

La organización internacional GS1 se dedica a establecer estándares para las cadenas de abastecimiento y demanda en una
amplia gama de industrias y tecnologías. GS1 posee una filial en la Argentina sin fines de lucro y, como parte de su cartera de
productos, brinda una homologación para que las empresas puedan otorgar servicios EDI.

El objetivo de esta homologación de proveedores EDI es fijar las pautas, procesos y requerimientos de la GS1 Argentina y los
procesos aplicables a dicha homologación, a fin de garantizar a sus afiliados que los proveedores de EDI sean aptos para brindar
el servicio y/o aplicaciones de intercambio electrónico de documentos (EDI) en las mejores condiciones técnico- operativas
posibles, a los efectos de optimizar los procesos logísticos y comerciales en beneficio de todos los involucrados en la cadena de
abastecimiento y demanda.

En su página web oficial, la GS1 Argentina afirma lo siguiente acerca del EDI:

“El comercio Electrónico es una nueva forma de hacer negocios, a medida que las empresas evolucionan buscando nuevos y
mejores métodos para realizar sus procesos de negocio, perciben que la información “Justo a tiempo” juega un papel
trascendental y estratégico para poder competir o hasta sobrevivir en el mercado. De ahí que la información precisa, confiable y
en tiempo, tenga un valor fundamental en el desarrollo de los negocios de una empresa. Con la difusión de internet y el comercio
electrónico, el intercambio electrónico de da tos (EDI) se está redefiniendo como una herramienta esencial en las operaciones
comerciales, que propicia:

• Realizar negocios con mayor rapidez, facilidad y eficiencia.

• Lograr el ahorro en los costos que se obtienen de realizar

transacciones de comercio electrónico.

• Reducir los costes de operación, los niveles de inventario y los

errores administrativos.

• Aumentar la precisión y velocidad del intercambio de información El objetivo de la Homologación de Proveedores

EDI, es fijar las pautas, procesos y requerimientos de GS1 Argentina para con las empresas que deseen ser homologadas, y los
procedimientos aplicables a dicha homologación.

GS1 Argentina busca garantizar a sus afiliados, por medio de este proceso, que los proveedores de EDI homologados por esta
organización, sean aptos para brindar el servicio y/o aplicaciones de intercambio electrónico de documentos (EDI) en las mejores
condiciones técnicas/operativas posibles, a los efectos de optimizar los procesos logísticos y comerciales en beneficio de todos
los involucrados en la cadena de abastecimiento y demanda.”xix

Dentro de las normas vinculadas al Comercio Electrónico en el Derecho Argentino se pueden destacar los siguientes decretos:

 Los decretos 554/97 y 1018/98 donde el Estado argentino declaró el acceso a Internet como de
interés nacional.

 El decreto 1279/97 en el que se declaró que el servicio de Internet se considera comprendido dentro
de la garantía constitucional de la libertad de expresión.
 El decreto 427/98 y las resoluciones 194/98, y 212/98 en las que se introduce a la firma digital dentro
del ámbito de la Administración Pública.

 El decreto 1023/2001 que regula las contrataciones públicas electrónicas.

 La Ley 25.506 y el decreto reglamentario 2628/2002 que declara la validez de la firma digital, la firma
electrónica y el documento electrónico.

1.7.5. Transferencia Electrónica de Fondos (TEF).

En su concepto más amplio, la TEF puede comprender cualquier tipo de envío de dinero a través de medios electrónicos. Esto no
solamente se restringe a internet, sino que incluye a cualquier tecnología de comunicación que pueda efectuar una trasmisión
de fondos de manera automática, inmediata y simultanea por pedido del titular de una cuenta en una entidad financiera.
Algunos ejemplos de esto son: las transferencias entre bancos y entidades financieras o de estas con otras organizaciones, pagos
con tarjeta de crédito, cajeros automáticos, terminales de puntos de ventas y pagos por internet desde los hogares.

En la Argentina la Transferencia Electrónica de Fondos de encuentra regulada por el Banco Central (BCRA) dentro de su
normativa “Sistema Nacional de Pagos – Transferencias”, que fue publicada en el Boletín Oficial el 7 de Diciembre de 2004.

El BCRA define al sistema como:

“El sistema definido para transferencias se basa en la compensación electrónica de la información de transacciones a través de
las Cámaras Electrónicas de Compensación (CEC), lo cual implica el intercambio electrónico de los datos entre las Entidades
originantes y receptoras, de manera de hacer posible que:

 Los clientes de las Entidades Financieras que deseen realizar movimientos de fondos mediante transferencias
minoristas puedan operar en forma sencilla, a través de la Entidad que ellos seleccionen.

 Las Entidades receptoras puedan impactar las cuentas de sus clientes sobre la base de las transacciones informadas
por las Entidades originantes.

 Pueda operarse la liquidación de los saldos compensados entre las Entidades a través de la imputación de sus cuentas
en el BCRA.”xx

En cada transacción de una TEF entran en juego ciertos actores, ellos son:

 Cliente originante: es quien solicita el envío de dinero desde su cuenta.

 Entidad originante: es la entidad financiera donde reside la cuenta del cliente originante y es quien emite la
transferencia.

 Entidad receptora: es la entidad que recibe las transacciones y es quien posee las cuentas del cliente receptor.

 Cliente receptor: es el titular de la cuenta en la entidad receptora de los fondos de la transferencia.

 Centro de transmisión: son los puntos para el envío de recepción de los archivos electrónicos de las transacciones.
Son elementos de telecomunicaciones que poseen las entidades originante y receptora para comunicarse con el CEC. Estos
centros pueden estar en la casa central o en las sucursales de las entidades financieras, incluso pueden contratar a un tercero
para que les preste el servicio.

 Cámaras Electrónicas de Compensación (CEC): son instituciones que trabajan en libre competencia administrando las
compensaciones electrónicas emitidas por las entidades financieras. Entre las funciones de las CEC podemos ejemplificar que
ellas procesan los archivos recibidos y generan archivos de detalles con las transacciones aprobadas y las rechazadas,
intercambian transacciones con otras CEC, liquidan saldos de cuentas en el BCRA, envían información estadística y de control al
BCRA y generan los datos para los cálculos de las comisiones del TEF.

Figura 1. Relación entre Participantes del TEF. Fuente: Boletín Oficial 07/12/2004.

Los tipos de transferencia que se pueden realizar a través de este sistema incluyen al pago de los sueldos, pagos previsionales,
pagos de asignaciones familiares, pago a proveedores, transferencias clientes y proveedores, entre otras transacciones y pagos
similares como el servicio Pago Mis Cuentas.

Todas las entidades financieras participantes en la TEF tienen responsabilidades en la operatoria, algunas de ellas son: garantizar
la fidelidad de la información que ingresa y egresa del sistema, cumplir con los estándares de calidad definidos, mantener copias
de resguardo de las transacciones, asegurar el correcto procesamiento de la información, efectuar los controles internos
correspondientes, mantener los niveles de seguridad apropiados, informar a los clientes de las transferencias realizadas, entre
otras similares.

1.7.6. Contratación Electrónica.

Dentro de la contratación electrónica se encuentran todos los documentos o intercambio electrónico cuyo propósito sea
contratar un servicio o producto.

En los casos de EDI y de TEF la contratación se realiza de manera anterior a la transferencia electrónica. En cambio, la
contratación electrónica se refiere a que la contratación se efectúa en el mismo momento de la transacción electrónica.

El autor chileno Renato Javier Jijena Leivaxxi define al contrato electrónico como “el intercambio telemático de información entre
personas que da lugar a una relación comercial, consistente en la entrega en línea de bienes intangibles o en un pedido
electrónico de bienes tangibles.” Y según Claudia Brizzio: “se denomina contratación electrónica o por medios informáticos, a la
que se realiza mediante la utilización de algún elemento electrónico, con influencia decisiva, real y directa sobre la formación de
la voluntad, el desenvolvimiento o la interpretación de un acuerdo”.xxii

Internacionalmente, la Ley Modelo sobre Comercio Electrónico y la Ley Modelo sobre Firmas Electrónicas de la Comisión de las
Naciones Unidas para el Derecho Mercantil Internacional han sido creadas para regular estas nuevas formas de contratación y
para armonizar las legislaciones nacionales de los diversos países sobre este tema, garantizando la seguridad de los contratos
electrónicos y los derechos de los consumidores y de los usuarios.

En Argentina la Ley 24.240 de Defensa del Consumidor reconoce a la contratación electrónica, en su artículo 33 incluye a la venta
que se realiza por medios electrónicos de comunicación. El contrato electrónico sigue siendo un contrato, por lo que está
regulado por el artículo 1.137 del Código Civil, que declara que hay contrato cuando varias personas se ponen de acuerdo sobre
una declaración de voluntad común, destinada a reglar sus derechos. Los contratos electrónicos son enteramente aplicables las
normas referentes a los contratos civiles, comerciales y de consumo.

Los contratos electrónicos poseen las siguientes características:

 Capacidad: se refiere a la capacidad y los medios de las personas para efectuar una contratación, en el Derecho
Argentino se regula por los artículos 6 y 7 del Código Civil que se refieren a la ley de domicilio.

Los componentes físicos que se requieren para tener la capacidad de efectuar una contratación electrónica y para identificar a
los autores de la misma incluyen, pero no se limitan, a las tarjetas magnéticas, claves magnéticas, códigos, reconocimiento de
timbre de voz, impresión digital, reconocimiento y memorización de la firma de las personas, y la firma digital.

 Consentimiento Online: se refiere a la oferta y la aceptación de los contratos que se realizan de forma online, y
representa la voluntad de las personas interconectadas expresada por medios electrónicos. La voluntad de las partes del
contrato se exterioriza a través de computadores y de telecomunicaciones de forma combinada.

Generalmente se considera al contrato electrónico como un contrato a distancia, por lo que debe distinguirse jurídicamente si
es entre personas físicamente presentes o ausentes. Por ejemplo, como en el caso de los contratos telefónicos las personas
están físicamente distantes, se puede incluir dentro de la contratación entre ausentes por más que la comunicación, al ser
inmediata, considere a los participantes como presentes. Los casos se tornan más complejos dentro de la contratación
electrónica, lo que importa no es la presencia física, sino la declaración de las personas, por lo que si las declaraciones son
instantáneas se considera que la celebración es entre presentes.

 Oferta Electrónica: El Código Civil Argentino expresa que el consentimiento debe manifestarse por ofertas o
propuestas de una de las partes y aceptación por la otra. El artículo 1.148 establece que, para que exista oferta, esta debe ser
realizada a una persona determinada, sobre un contrato especial y con todos los antecedentes constitutivos de los contratos. El
Código de Comercio establece que las ofertas indeterminadas no obligan al que las ha hecho.

1.7.7. Documentación Electrónica.

Generalmente se asocia la palabra “documento” a un texto escrito o impreso en un papel. Sin embargo, el autor español
Rouanet Moscardóxxiii define al documento como “un objeto normalmente escrito en el que, por tanto, se plasma algo
mediante letras u otros signos trazados o impresos sobre papel u otra superficie, pero que excepcionalmente puede no ser
escrito; y es un objeto en el que puede representarse un hecho natural o un acuerdo de voluntades (hecho voluntario, arte o
negocio) o ser el resultado de una actividad o de un procedimiento.”

Entonces, el documento no tiene que ser siempre papel, bien puede estar compuesto por otro objeto o materia, como por
ejemplo, por codificación binaria almacenada en un disco rígido. Los documentos electrónicos y los documentos en papel escrito
son conceptualmente diferenciables, pero materialmente inseparables dado que ambos pertenecen a la categoría de
documentos en el sentido jurídico.

La Comisión de Expertos de la Secretaría de Justicia de la Naciónxxiv explica que el art. 973 del Código Civil define el género por
una de sus especies del concepto de documento, que es la forma legal escrita. Sin embargo, en su Proyecto de Reformas al
Código Civil mantiene la estructura original del art. 973, agregando sólo un párrafo que permite la inclusión del documento
electrónico dentro de los documentos escritos, lo cual posibilita posteriormente equiparar su valor al de un documento público
o privado.

Los documentos electrónicos pueden dividirse en un sentido estricto y en sentido amplio:

 Sentido Estricto: son aquellos contenidos en la memoria central de la computadora, ya en las memorias externas
(discos, CDs, etc.), y tienen como característica el hecho que no pueden ser comprendidas por el hombre sin la ayuda de un
computador que traduzca las señales digitales al lenguaje natural.

 Sentido Amplio: son aquellos que la computadora forma a través de sus periféricos de salida y que consisten en
textos, diseños o gráficos asentados sobre papel, fácilmente comprensibles por el nombre.
1.7.7.1. Seguridad de la Documentación Electrónica.

Existen dos aspectos a considerar en la seguridad de la Documentación Electrónica, ellos son la autenticidad del documento y la
seguridad del soporte que almacena al documento.

Giannantonio enumera tres grandes métodos de autenticación de los documentos electrónicos, a saber:

1. El código de ingreso, que consiste en un número o una clave numérica que se otorga a una
persona para su uso exclusivo y personal;

2. La criptografía, que consiste en el arte o la ciencia de escribir un texto de tal forma, que sea
entendido solamente por quienes conocen los medios de descifrado. Por lo general, consisten en una clave confidencial unida a
un proceso lógico de transformación o algoritmo, que tornan los datos y programas incomprensibles para quienes no conozcan
dichas claves.

3. El reconocimiento de características físicas, utilizando las llamadas “técnicas biométricas”, que

consisten en que el ordenador identifique la voz, característica del iris, impresión digital del operador, etc.xxv

Estas técnicas pueden utilizarse en forma conjunta, por ejemplo, los cajeros automáticos además de solicitar las tarjetas
magnéticas, también solicitan el ingreso de un PIN de seguridad.

Con respecto a la seguridad del soporte, los documentos electrónicos utilizan técnicas de control totalmente distintas a las
conocidas para lo documentos escritos. Estas pueden resumirse en:

 Control técnico de los equipos, programas y aplicativos a utilizar.

 La estandarización de los sistemas informativos de manera uniforme para la emisión de los documentos electrónicos.

 Mecanismos de protección de los archivos que impidan su actualización y modificación, a fin de que el documento
mantenga la característica de inalterable.

ESTE TEMA DEBE SER PROFUNDIZADO EN EL CAPÍTULO 6 “EL MARCO JURÍDICO DE LA AUDITORÍA INFORMÁTICA”. PÁGINAS 141
A 149 DE LA BIBLIOGRAFÍA BÁSICA AUDITORÍA INFORMATICA - PIATTINI - DEL PESO (2º EDICIÓN AMPLIADA Y REVISADA)
1.8. Auditoría Jurídica.

La Auditoría Jurídica es una rama de la Auditoría Informática que se encarga de verificar que la TI y los sistemas de información
de una organización se ajusten a las normas y a la legislación vigente. De esta forma se convierte en una medida preventiva
contra sanciones, demandas y demás reclamos legales que la entidad pueda sufrir a causa de negligencias o irregularidad en el
contenido o uso de los sistemas informáticos.

La Auditoría Jurídica es realizada por un jurista experto que incluye las actividades de auditoría en una organización,
independientemente de la utilización de la información y su procesamiento, desde un punto de vista legal (incluyendo lo civil,
penal, laboral, etc.) con el objetivo de dictaminar sobre el cumplimiento de legalidad vigente.

Son cuatro los aspectos que cubre la Auditoría Jurídica: el entorno informático, la auditoría de las personas, de la información y
de los archivos.

1.8.1. Auditoría Jurídica del Entorno Informático.

En entorno informático está compuesto por el hardware, el software y los sistemas de comunicación que dan soporte al
procesamiento y almacenamiento de la información. Esta auditoría está dividida en tres partes:
 Auditoría del Hardware: son las actividades de verificación y evaluación del hardware, así como los contratos de
propiedad y mantenimiento del mismo.

 Auditoría del Software: son las actividades de auditoría sobre el mantenimiento de las licencias de los programas y
los aplicativos, así como las licencias para el desarrollo y el mantenimiento de los programas.

 Contratos de Terceros: son los contratos de outsourcing o tercerización, en donde la empresa contrata a un
proveedor externo para que le mantenga la IT de su organización. En la auditoría de deben revisar el cumplimiento al
mantenimiento de los programas establecida por el contrato, en especial los puntos referentes a los derechos de autor,
patentes, marcas, competencia desleal y secretos corporativos.

1.8.2. Auditoría de las Personas.

La Auditoría de la Personas se enfoca en evaluar a los usuarios de los sistemas informáticos. Un punto clave a considerar es
determinar los niveles de acceso que tendrán estos usuarios a la información almacenada y procesada por los sistemas. Los
datos deben clasificarse con distintos grados de sensibilidad, que representan el nivel de carácter personal que posee la
información y cuánto afecta a la intimidad, o cuán útil resultaría la información a la competencia. La información en la actualidad
representa el activo más importante que poseen las organizaciones, lo que convierte en vital a la forma en que se la protege.

Dependiendo del puesto de responsabilidad que ocupen los usuarios en la entidad, se deben otorgar distintos niveles de acceso
a los datos de acuerdo con el grado de sensibilidad de la misma. Aquí entra en juego el rol del responsable de los archivos, que
concede los permisos sobre los datos a los usuarios del sistema, garantizando así la protección de la información.

Los auditores tienen que verificar que las personas conozcan y cumplan con las obligaciones que posean con respecto a la
información a la que tienen acceso, manteniendo una conducta ética y no revelando información sensible. Generalmente, esta
conducta está establecida en los contratos laborales, donde se expresa la confidencialidad exigida en la información de la
entidad, tanto en la consulta de los datos como en la manipulación de la misma. Por lo que puede resultar en una medida
disciplinaria severa, y en una acción legal, el incumplimiento del secreto corporativo.

El artículo 10 de Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) de España establece que “El responsable del
fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal estén obligados al secreto
profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones
con el titular del fichero o, en su caso, con el responsable del mismo.” Además el Código Penal español incluye en el Capítulo IV
de su Título XIX (artículos 413-418), referente a delitos contra la Administración Pública, tipifica con carácter general las
conductas de infidelidad en la custodia de documentos y de la violación de secretos.

En la Argentina esto se implementó en la Ley 25.326, donde se define la figura del responsable diciendo en el artículo 2 que se
trata de una “persona física o de existencia ideal pública o privada, que es titular de un archivo, registro, base o banco de datos.”

El artículo 19 establece que “el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que
resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración,
pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea
que los riesgos provengan de la acción humana o del medio técnico utilizado.”

Además el artículo 10 declara que “el responsable y las personas que intervengan en cualquier fase del tratamiento de datos
personales están obligados al secreto profesional respecto de los mismos. Tal obligación subsistirá aun después de finalizada su
relación con el titular del archivo de datos.”
1.8.3. Auditoría de la Información.

La Auditoría de la Información se realiza después de haber auditado a los equipamientos, a los sistemas de información
(programas y aplicativos), a las personas que manipulan y consultan al sistema y al entorno informático.

En este paso el auditor se enfoca en verificar que se cumplan todas las normas del Derecho vigentes para la información, esto
puede abarcar temas como la calidad de los datos, su exactitud y la adecuación, pertinencia y posibles excesos en relación con el
ámbito y fines de la obtención de la información. En otras palabras, evalúa que el uso de la información sea compatible con los
propósitos por lo que fuera solicitada y recolectada.

Por último, el auditor debe validar que la manera en que la que la información es almacenada sea de de fácil acceso por parte de
las personas afectadas por su manejo.

1.8.4. Auditoría de los Ficheros (Archivos).

El propósito principal de la Auditoría de los Archivos es verificar que se encuentran implementados los mecanismos de seguridad
apropiados y necesarios para salvaguardar el acceso y la modificación de los archivos de datos.

Estos mecanismos de seguridad se deben enfocar en:

 Evitar la modificación no autorizada de la información en los archivos.

 Restringir el acceso a los archivos a las personas no autorizadas.

 Evitar la pérdida de los archivos con mecanismos de respaldo.

 Proporcionar métodos de implantación para los archivos.

Entran nuevamente en juego el papel del responsable de los archivos cuyas funciones se han descripto en las secciones previas.
La función del auditor es verificar la existencia de este rol dentro de la organización, así como del cumplimiento de sus
obligaciones y la eficacia de su trabajo. Las responsabilidades del responsable pueden resumirse en las siguientes:

 La obligación de comunicar a los afectados la cesión de los datos.

 La obligación de confidencialidad sobre la información que maneja.

 La obligación de hacer efectivo el derecho de acceso a los titulares de la información.

 La obligación de hacer efectivo el derecho de bloqueo de la información.

 La obligación de hacer efectivo el derecho de cancelación de la información.

 La obligación de hacer efectivo el derecho de rectificación de la información cuando sea solicitada por el titular.

 La obligación de hacer efectivo el derecho de supresión de la información cuando sea solicitada por el titular.
 La obligación de informar del procesamiento de los datos, entre otras obligaciones.
2. Principales Áreas de la Auditoría Informática.

2.1. La Auditoría Física.

La Auditoría Física es una parte de la Auditoría Informática, por lo que mantiene las mismas técnicas, métodos y procedimientos
que esta última solo diferenciándose en su alcance más restrictivo. La Auditoría Física puede realizarse tanto interna o
externamente.

El enfoque que toma la Auditoría Física dentro de la Auditoría Informática se centra en el ámbito tangible en el que se lleva a
cabo la labor profesional de la TI en la organización, verificando y evaluando los medios físicos, su funcionalidad, racionalidad y
seguridad, siendo este último (la seguridad) el foco preponderante del auditor.

El objetivo de la seguridad física es el garantizar la integridad de los activos físicos de la TI. Se puede entender por activos físicos
a las personas, los equipamientos y las comunicaciones. Existen tres tipos de medidas de contingencia que se deben
implementar dentro de la seguridad física como contramedidas a las fallas, desastres o ataques que puedan ocurrir:

 Antes de la Ocurrencia de Fallas: las medidas que se tomen dentro de la seguridad física tienden a evitar la
ocurrencia de las fallas, algunas de estas medidas pueden incluir a los controles de acceso, sistema contra incendios,
estabilización y respaldo de la energía, personal de seguridad, duplicación de servidores de datos y de comunicaciones, etc.

 Durante la Ocurrencia de Fallas: aquí es cuando se debe ejecutar el plan de contingencias. Este plan se
dispara ante la ocurrencia de eventos que pueden interrumpir el normal funcionamiento de una organización. Las fallas o
desastres pueden impactar a la entidad de diferente medida y como las organizaciones no suelen responder por sí solas ante
estos acontecimientos se debe contar con mecanismos especiales para hacerlo. El plan de contingencias incluye al plan de
recuperación de desastres y a un plan de procesamiento alternativos de datos, sus principales funciones son:

o Análisis de riesgos del sistema crítico para determinar la tolerancia a fallas.

o Prioridades en las aplicaciones y procesos del sistema a ser recuperadas ante las fallas.

o Tiempo crítico para recuperar el sistema sin sufrir pérdidas significativas.

o Lugares alternativos de trabajo durante el proceso de recuperación.

o Continuidad de comunicaciones que deberán ser asegurados.

o Servicios de respaldo y back-up que deban entrar en actividad.

 Después de la Ocurrencia de Fallas: una de las medidas que se pueden implementar para afrontar la etapa posterior a la
ocurrencia de estos eventos es la contratación de un mantenimiento técnico para las instalaciones y los equipos. Los contratos
de servicios podrían incluir repuestos, consumibles, garantías de fabricación y mano de obra especializada.

Otra medida es la contratación de seguros para afrontar los costos de la recuperación de los sistemas. Estos seguros incluyen un
resarcimiento económico en casos como la pérdida de los equipamientos, pérdida de beneficios netos por las fallas, gastos en
protección legal, pérdida de documentación valiosa, y similares.

El auditor también debe analizar otras áreas incluidas en la seguridad física, como por ejemplo:

 El organigrama de la entidad: el auditor puede utilizarlo para conocer las dependencias y las relaciones jerárquicas, orgánicas y
funcionales entre los cargos de la organización, y así poder analizar la rotación histórica del personal y la separación de
funciones, en especial en las áreas de procesamiento de la información.
 Históricos de Auditorías: puede servir para conocer las normas, procedimientos y planes sobre la seguridad física que se
hayan evaluado con anterioridad, así también los informes y recomendaciones de cambios que se hayan emitido.

 Departamento de Seguridad: el auditor puede verificar las funciones, dependencias, cargos y responsabilidades de los
miembros del departamento de seguridad, si el tamaño de la organización amerita tener un departamento propio de seguridad
o si las funciones las cumplen miembros del departamento de sistemas.

 Centro de Procesamiento de Datos: se debe verificar que los centros de procesamiento cumplan con las medidas de
seguridad física y sean lugares apropiados para la ejecución de las funciones informáticas.

 Equipamiento: el auditor verifica que los equipos de procesamiento, almacenamiento y comunicaciones -se encuentren estos
dentro del centro de procesamiento o distribuidos en toda la organización- cumplan con las medidas correspondientes de
control de acceso.

 Computadoras Personales: requieren una especial atención desde el punto de vista de la seguridad física, dado que son
elementos ubicados en toda la organización con capacidad de acceso a los datos corporativos.

 Seguridad Física del Personal: el auditor evalúa la implantación de las normas y políticas de seguridad para el personal que
utiliza las instalaciones. Por ejemplo, salidas de emergencia, sistemas de extinción de incendios, iluminación de emergencia,
bloqueo de puertas y ventanas, y otras medidas exigidas por normas de seguridad e higiene o por las buenas prácticas de la
industria.

2.1.1. Fuentes de la Auditoría Física.

Las tareas que se realizan como parte de la Auditoría Física deben estar enunciadas en el Plan de Auditoría para la organización.
Así como las demás actividades de la Auditoria Informática, la Auditoría Física se centra en efectuar pruebas que validen el
cumplimiento de las medidas de control delineadas por el directorio de la organización, y cuyo objetivo principal sea la
mitigación de los riesgos.

Las siguientes son las principales fuentes de normas o medidas de control informáticas que deben existir en las organizaciones,
algunos de estos puntos ya han sido nombrados en los apartados anteriores:

 Políticas, Normas y Planes de Seguridad: en primera instancia esto lo define de forma general el directorio de la empresa, y de
manera más particular lo detalla el departamento de seguridad.

 Histórico de Auditorías: las secciones referentes a la seguridad física resultan de utilidad como fuente de información para
planear una nueva auditoría.
 Contratos de Mantenimiento de Seguros: son fuente de información para las medidas a ejecutar después de la ocurrencia de
una falla.

 Entrevistas: con los encargados de la seguridad física tanto del área de sistemas como de la seguridad y mantenimiento del
edificio.

 Consultoría: informes de los consultores y técnicos acerca del estado del edificio sobre las instalaciones eléctricas, sanitarías,
gas, refrigeración, seguridad y vigilancia.

 Informes de Accesos y Visitas: son los reportes de los sistemas de control de entradas y salidas del personal, sirven para
verificar el cumplimiento de las normas en las áreas con grados de restricción.

 Políticas del Personal: administración de los registros del personal,

2.1.2. Objetivos de la Auditoría Física.

Si bien el principal objetivo de la Auditoría Informática se centra en la información que las organizaciones gestionan, la Auditoría
Física posee un concepto más amplio que sólo la información, por más que este sea el activo principal de muchas corporaciones.
La Auditoría Física abarca conceptos tales como:

 La infraestructura edilicia.

 Las instalaciones.

 El equipamiento y las comunicaciones.

 Los datos.

 Las personas.

2.1.3. Técnicas y Herramientas del Auditor.

Dado que la Auditoría Física es parte de la Auditoría Informática, los auditores utilizan las mismas técnicas y herramientas que
para las demás áreas del plan, pero con el objetivo de obtener evidencias del nivel de cumplimiento a las normas de la seguridad
física. Repasando, algunas de las técnicas y herramientas son:

 Técnicas.

o Observación: de las instalaciones, los sistemas y los procedimientos para cumplir con las políticas, normas y
reglamentos.

o Análisis: para efectuar un análisis adecuado, el auditor no solo debe observar como los empleados realizan sus
tareas, sino que debe convertirse el mismo en un actor para poder comprobar el funcionamiento de los sistemas y
el cumplimiento de las normas y procedimientos.

o Entrevistas: el auditor puede utilizar las entrevistas para recabar información referente a la seguridad física, para
ellos debe reunirse con los directivos, con los gerentes medios y también con el personal.

o Consultas: el auditor puede reunirse con técnicos y peritos para tener un conocimiento más profundo del área.

 Herramientas.

o Las herramientas que el auditor puede utilizar al ejecutar la auditoría física incluyen a cámaras fotográficas y de
video, grabadoras de audio, cuadernos de notas, agendas electrónicas, y similares.

2.1.4. Responsabilidades del Auditor en la Auditoría Física.

Los auditores deben establecer relaciones de colaboración con los empleados de la organización y no mostrar una imagen de
investigación delictiva, dado que esto causa malestar y falta de apoyo de parte del personal. Es recomendable que la entidad
posea normas y procedimientos establecidos y conocidos por toda la organización, donde se detallen las funciones y
responsabilidades de los auditores tanto internos como externos. Piattini – Del Pesoxxvi listan algunas responsabilidades de los
auditores referentes a la seguridad física:

 Auditor Informático Interno

oRevisar los controles relativos a Seguridad Física.

 oRevisar el cumplimiento a los Procedimientos.

oEvaluar Riesgos.

oParticipar sin perder independencia en:

 Selección, adquisición e implantación de equipos y materiales.

 Planes de Seguridad y de Contingencia, seguimiento, actualización, mantenimiento y pruebas de los mismos.

o Revisión del cumplimiento de las Políticas y Normas sobre Seguridad Física así como de las funciones de los
distintos Responsables y Administradores de Seguridad.

o Efectuar auditorías programadas e imprevistas.

o Emitir informes y efectuar el seguimiento de las recomendaciones.

 Auditor Informático Externo.

o Revisar las funciones de los auditores internos.

o Mismas responsabilidades que los auditores internos.

o Revisar los Planes de Seguridad y Contingencia. Efectuar Pruebas.

o Emitir informes y recomendaciones.

2.2. Auditoría de la Ofimática.

La RAE define a la Ofimática como la “automatización, mediante sistemas electrónicos, de las comunicaciones y procesos
administrativos en las oficinas”. En otras palabras, la ofimática es un sistema informatizado que genera, procesa, almacena,
recupera, comunica y presenta datos relacionados con el funcionamiento de la oficina.

Algunos ejemplos de aplicaciones ofimáticas que han tenido un crecimiento importante son las planillas de cálculo, los
procesadores de texto, las herramientas para la gestión de tareas y documentos, las agendas electrónicas, las bases de datos, el
correo electrónico, la gestión de proyectos, entre muchas otras.

El desarrollo de la ofimática ha seguido dos paradigmas fundamentales: el escritorio virtual y el trabajo cooperativo. El escritorio
virtual se refiere a la capacidad de las aplicaciones de simular un escritorio de trabajo tradicional con herramientas informáticas
en las computadoras personales. El trabajo cooperativo combina las tareas personales de los empleados como una multiplicidad
de actividades coordinadas por un sistema informático que permite intercambiar información necesaria para los diversos
procesos de la organización, o incluso entre varias organizaciones.

2.2.1. Controles de la Ofimática.

Uno de los problemas que se han detectado con la proliferación de las aplicaciones ofimáticas en las organizaciones, es la falta
de control centralizado en cuanto a la compra e implementación de estas herramientas en forma homogénea en toda la
empresa. Lo que sucede en muchos casos es que cada departamento o área funcional adquiere sus propias aplicaciones, y estas
a menudo poseen problemas de compatibilidad con las aplicaciones de otras áreas. Esto se debe también a que las entidades
delegan sobre los gerentes de estas áreas responsabilidades en las aplicaciones informáticas que deban adquirir y utilizar,
cuando estás tareas deben ser efectuadas a un nivel corporativo por personal técnico especializado.

Estos problemas generan consecuencias negativas sobre las adquisiciones poco planeadas, desarrollos ineficaces e ineficientes
en procesos críticos de la organización, falta de conciencia de los usuarios sobre la seguridad informática, copias ilegales de
software, procedimientos de respaldo deficientes, escasa capacitación del personal, falta de documentación, etc.

A continuación se presentan controles que pueden ayudar a las organizaciones a afrontar los problemas mencionados en el
párrafo anterior.

2.2.1.1. Economía, eficacia y eficiencia.

Inventario:

El auditor debe verificar que el inventario ofimático refleje con exactitud los equipos y las aplicaciones existentes en la
organización. El inventario poco confiable puede repercutir negativamente en el balance de la entidad, permitiendo que no se
detecten la falta de equipamiento o de licencias de software.
En este paso el auditor comprueba los mecanismos para inventariar los equipos que ingresan a la empresa. Luego, verifica las
conciliaciones de la última auditoría financiera entre el inventario oficial y las compras realizadas. Además, puede revisar las
versiones de los programas, aplicativos y archivos que son utilizados y sus relaciones con los equipos en los que corren.

Por último, prepara un informe sobre las diferencias encontradas con el inventario oficial. El adecuado control del inventario es
fundamental y sirve de base para la ejecución de los siguientes controles.

Compras:

En este punto el auditor evalúa el procedimiento de adquisiciones de equipos, programas y aplicaciones. Las organizaciones
pueden delegar las políticas de compras a las distintas áreas para ser más flexibles, pero contando con la desventaja de los
problemas de interconexión con las demás áreas ya nombrados, que finalmente podría llevar a pérdidas económicas para la
entidad en su conjunto.

Al evaluar los procedimientos de compras, el auditor debe prestar especial atención a las necesidades que motivaron el pedido
de equipos y la integración de estos con el sistema existente. En los casos de contratación de aplicativos, el auditor debe validar
que las prestaciones que brinda el producto se ajustan a las actividades que se pretenden desarrollar con él y si la plataforma
existente tiene la capacidad para soportarlo.

Con una auditoría de los procesos de compras en los distintos departamentos, la organización puede darse cuenta si está
desaprovechando la oportunidad de centralizar las adquisiciones en un solo lugar, logrando unificar criterios, equipamientos y
obteniendo menores costos. El auditor también debe informar de anomalías o carencia de documentación encontradas en los
procesos de compras evaluados.

Mantenimiento:

Las mismas desventajas de delegar las responsabilidades de las compras a los departamentos o áreas de las entidades, aparecen
al delegar las responsabilidades de la contratación del mantenimiento del equipamiento adquirido. Como ser, incoherencias en
el inventario general, pagos innecesarios, incompatibilidad de configuraciones, utilización incompleta de las garantías, carencia
de conocimiento especializado del personal y falta de documentación.

Desarrollo de Aplicaciones Ofimáticas:

El auditor debe evaluar al departamento de desarrollo de aplicaciones que posea la organización, o a los distintos equipos si se
encuentran distribuidos en los departamentos, para determinar la existencia de políticas y normativas para el desarrollo de
aplicaciones, procedimientos generales, autorizaciones, asignaciones y gestión de entrega.

En esta auditoría se estudian principalmente si las metodologías de desarrollo de software implementadas y los test de pruebas
ejecutados se ajustan a las directivas establecidas por la dirección, especialmente en las aplicaciones de procesos críticos.
Además, se deben controlar los reportes de incidencia y los reclamos de los usuarios sobre el posible mal funcionamiento de los
sistemas y las reparaciones efectuadas en base a ellos.

Gestión de la Configuración, Control de Cambios y Versiones:

El auditor, o equipo auditor, estudia los procedimientos formales que posea la organización para llevar a cabo la gestión de la
configuración, el control de cambios y el control de versiones de las aplicaciones ofimáticas que desarrolle o adquiera, así como
el nivel de cumplimiento al los mismos. Las falencias en estos procedimientos pueden llevar a problemas de integración e
incompatibilidad entre los productos y los desarrollos, con su consecuente inexactitud en el procesamiento de los datos que
administran.

Capacitación de los Usuarios:

Se debe evaluar si los usuarios cuentan con la suficiente formación y la documentación de apoyo necesaria para el desarrollo de
sus tareas de un modo eficaz y eficiente. La falta de capacitación de los usuarios de las aplicaciones y del personal de
mantenimiento de las mismas puede ocasionar que no se utilicen las herramientas de manera eficiente, o con toda la capacidad
que poseen.

El auditor comprueba la existencia de planes de desarrollo y capacitación para el personal. Además debe verificar los
procedimientos para determinar el aprovechamiento de las capacitaciones, la disponibilidad de la documentación del uso de los
programas y los aplicativos, y finalmente los mecanismos para solucionar dudas o consultas.

Sistema Existente:
Se debe determinar si el sistema existente se ajusta las necesidades reales de la organización. Los equipos obsoletos pueden
ocasionar que los sistemas informáticos no funciones correctamente debido a problemas de compatibilidad.

El auditor debe revisar las actividades que se ejecutan en los equipos para determinar si las tareas que desempeñan son las
adecuadas, o si el equipamiento debe ser automatizado, actualizado o descartado. Su informe debe incluir una valoración de la
utilización de estos recursos físicos, con recomendaciones sobre la descatalogación de productos obsoletos, redistribuciones y
nuevas adquisiciones tanto de hardware como de software.

2.2.1.2. Seguridad.

Accesos No Autorizados:

Los controles de la ofimática deben garantizar que existan las garantías suficientes para proteger al sistema de accesos no
autorizados a la información reservada de la entidad, manteniendo de esto modo la integridad de la misma. Entre la información
reservada se encuentran las agendas de contactos, informes confidenciales, estadísticas y reportes de las bases de datos
corporativa, etc.

Los accesos no autorizados ponen en gran riesgo el funcionamiento de la organización, a la vez que pueden perjudicar la imagen
pública de la corporación o incluso motivar acciones legales en su contra. Las organizaciones deben establecer las políticas y los
procedimientos de seguridad que sean necesarios para garantizar la confidencialidad, integridad y disponibilidad de la
información contenida en sus sistemas informáticos.

Las mismas aplicaciones ofimáticas proveen mecanismos de seguridad que han sido mejorados en los últimos años. Sin embargo,
resulta necesario establecer medidas de seguridad propias dependiendo del entorno de la organización.

El auditor, o equipo de auditores, debe examinar la documentación sobre seguridad para determinar si existen, y se han
implementado correctamente, procedimientos de clasificación de información, control de acceso a los sistemas, identificación y
autenticación de usuarios, gestión de mantenimiento, gestión de incidencias y controles de auditoría.

Respaldo y Recuperación del Sistema:

Se debe determinar si el procedimiento de respaldo es fiable y si se garantiza la recuperación de la información en caso de

necesidad. Esto resulta crucial en los procesos críticos, donde la no disponibilidad de los sistemas ofimáticos lleva a pérdidas
económicas y a la paralización de las actividades.

El auditor debe examinar la ejecución del procedimiento de copias de seguridad, para ello debe verificar que la periodicidad con
que se lo efectúa sea la suficiente, que la asignación de responsabilidades sea la correcta y que el mecanismo de
almacenamiento sea el adecuado para los sistemas de back-ups.

Por último, debe controlar la eficacia del sistema de recuperación de la información en caso de desastre. El auditor examina que
se almacene la información que está prevista que se recopile y que su recuperación sea un reflejo de la situación anterior a la
caída.

Funcionamiento Continuo de Aplicaciones Críticas:

Las aplicaciones críticas, cuya caída pueda suponer pérdida de la integridad de la información, deben tener mecanismos de
soporte para evitar que fallas en la alimentación eléctrica las deje fuera de funcionamiento.

Los auditores verifican la existencia y funcionamiento de los sistemas de alimentación ininterrumpidas (ups), y también si la
potencia de éstos alcanzan a cubrir todos los equipos necesarios para mantener en línea a los procesos críticos por el tiempo
necesario.

Exposición por Virus:

Un punto para analizar es el grado de exposición ante la posibilidad de intrusión de virus informáticos. Los virus pueden
ocasionar problemas que van desde la pérdida de información importante hasta la falta de disponibilidad de los equipos, con sus
respectivas pérdidas económicas.

El auditor analiza los mecanismos de protección establecidos en los puntos vulnerables del sistema donde pueden introducirse
virus, como son las conexiones a dispositivos externos, los puntos de acceso a las redes y la instalación y actualización de los
antivirus.

2.3. Conclusiones de la Auditoría Física y Ofimática.

Los procesos de auditoría proporcionan a los directivos las evidencias necesarias para determinar los niveles de la seguridad
física y los controles ofimáticos reales que existen en la entidad. Dada la continua evolución tecnológica de los entornos
informáticos, es fundamental la capacitación constante de los auditores en técnicas novedosas a fin de brindar las
recomendaciones adecuadas en sus análisis.

De acuerdo a Piattini - Del Peso, “durante la exposición de los controles, nos hemos referido con frecuencia a documentos,
procedimientos y políticas de actuación definidas e implantadas en la organización; sin embargo, es un hecho habitual que
algunos de ellos no hayan sido definidos. Es labor del auditor, además de constatar tales deficiencias en su informe, participar en
la elaboración de los mismos. Es decir, el auditor debe ocuparse de detectar las deficiencias presentes en el funcionamiento de
la organización, pero, además, debe contribuir con su experiencia y conocimiento en la elaboración de los procedimientos y
recomendaciones que permitan subsanarlas.”

Por último, vale la pena aclarar que estas auditorías no deben efectuarse de forma independiente, sino que, por motivos de
eficiencia y economía, deben ser parte integrada de un plan de auditoría de mayor alcance a nivel corporativo.