Auditoría SW

Marco Normativo y Legal

Marco Normativo y Legal para Auditorías de Software

El marco legal para auditorías de software abarca desde regulaciones internacionales hasta normativas específicas de Ecuador, creando un ecosistema complejo pero necesario para garantizar la calidad, seguridad y cumplimiento de los sistemas de software.

Importancia del Marco Legal

Las auditorías no son solo buenas prácticas: en muchos sectores son obligatorias por ley. El incumplimiento puede resultar en multas millonarias, pérdida de licencias operativas y responsabilidad civil o penal.

Jerarquía del Marco Normativo

Estructura Jerárquica

1. Constitución y Tratados Internacionales

Base fundamental: derecho a la privacidad, protección de datos, acceso a TIC

2. Leyes Orgánicas Nacionales

LOPDP, Código Orgánico Integral Penal, Ley de Comercio Electrónico

3. Decretos y Reglamentos

Decretos ejecutivos, reglamentos de aplicación específicos por sector

4. Resoluciones de Organismos Reguladores

Superintendencias, ARCSA, ARCOTEL, SRI

5. Estándares Técnicos

ISO, IEEE, NIST - Adopción voluntaria u obligatoria según sector

Aplicabilidad por Jurisdicción

Ámbito Nacional (Ecuador)
  • • LOPDP: Todas las organizaciones que procesan datos
  • • Ley de Comercio Electrónico: E-commerce y pagos digitales
  • • COIP: Delitos informáticos y responsabilidad penal
  • • Ley de Transparencia: Entidades públicas
Ámbito Internacional
  • • GDPR: Empresas que procesan datos de ciudadanos UE
  • • PCI-DSS: Procesamiento de tarjetas de crédito
  • • SOX: Empresas cotizando en bolsa de valores US
  • • HIPAA: Manejo de información médica para US
Ámbito Sectorial
  • • Superintendencia de Bancos: Sector financiero
  • • ARCSA: Dispositivos médicos y farmacéuticos
  • • ARCOTEL: Telecomunicaciones
  • • DGAC: Aviación civil

Marco Legal Específico de Ecuador

Leyes Fundamentales

Ley Orgánica de Protección de Datos Personales (LOPDP)
Artículos Clave:
  • • Art. 8: Principio de seguridad de datos
  • • Art. 27: Medidas técnicas y organizativas
  • • Art. 45: Evaluación de impacto obligatoria
  • • Art. 82: Sanciones hasta 2% del volumen de ventas
Obligaciones para Software:
  • • Cifrado de datos personales en tránsito y reposo
  • • Trazabilidad completa de accesos y modificaciones
  • • Medidas técnicas apropiadas al riesgo
  • • Notificación de brechas en 72 horas
Ley de Comercio Electrónico, Firmas y Mensajes de Datos
Aplicabilidad:
  • • Todas las transacciones electrónicas
  • • Sistemas de facturación electrónica
  • • Plataformas de e-commerce
  • • Firma electrónica y digital
Requisitos Técnicos:
  • • Integridad de mensajes de datos
  • • No repudio de transacciones
  • • Conservación de registros por 7 años
  • • Interoperabilidad con sistemas SRI
Código Orgánico Integral Penal (COIP)
Delitos Informáticos (Art. 229-234):
  • • Acceso no consentido a sistema informático
  • • Intercepción ilegal de datos
  • • Transferencia no consentida de activos
  • • Ataque a integridad de sistema informático
Responsabilidad de Desarrolladores:
  • • Responsabilidad por vulnerabilidades conocidas no corregidas
  • • Obligación de implementar medidas de seguridad
  • • Cooperación con autoridades en investigaciones
  • • Penas de 1-3 años de prisión
Ley Orgánica de Transparencia y Acceso a la Información
Obligaciones para Entidades Públicas:
  • • Portales web accesibles 24/7
  • • Información actualizada mensualmente
  • • Formatos accesibles para discapacitados
  • • Tiempos de respuesta máximo 10 días
Requisitos Técnicos:
  • • Cumplimiento WCAG 2.1 AA mínimo
  • • Disponibilidad 99.5% mensual
  • • Respaldos y recuperación de desastres
  • • Formatos estándar abiertos

Normativas Sectoriales Específicas

Sector Financiero

Superintendencia de Bancos
  • LOFDT: Ley Orgánica de Fortalecimiento y Desarrollo del Sistema Financiero
  • Resolución SB-2021-0219: Gestión integral de riesgos
  • Circular SB-2020-015: Continuidad del negocio
Auditorías Obligatorias
  • • Sistemas core banking: Trimestral
  • • Canales digitales: Semestral
  • • Sistemas de riesgo: Mensual
  • • Infraestructura crítica: Continua
Multas Documentadas

Banco Pichincha: $2.1M (2021) por fallas sistémicas recurrentes

Sector Salud

ARCSA (Agencia de Regulación)
  • Resolución 067-2015: Registro sanitario dispositivos médicos
  • Guía técnica: Software como dispositivo médico
  • Acuerdo 4712: Vigilancia post-mercado
Clasificación por Riesgo
  • Clase I: Bajo riesgo - Auditoría anual
  • Clase IIa: Medio riesgo - Auditoría semestral
  • Clase IIb: Alto riesgo - Auditoría trimestral
  • Clase III: Riesgo crítico - Auditoría continua
Casos Recientes

15 retiros de mercado (2023) por fallas de software en dispositivos

Telecomunicaciones

ARCOTEL
  • Resolución 02-01-2020: Calidad de servicios
  • Plan Nacional: Banda ancha y 5G
  • Normativa 490: Numeración y direccionamiento
Métricas Obligatorias
  • • Disponibilidad ≥ 99.5% mensual
  • • Tiempo respuesta ≤ 200ms promedio
  • • Tasa de error ≤ 0.1%
  • • Recuperación ≤ 4 horas

Aviación Civil

DGAC Ecuador
  • RDAC 21: Certificación de productos aeronáuticos
  • RDAC 145: Organizaciones de mantenimiento
  • Anexo 19 OACI: Gestión de seguridad operacional
Software Crítico
  • • Sistemas de navegación (DAL A)
  • • Control de tráfico aéreo
  • • Mantenimiento predictivo
  • • Meteorología aeronáutica

Estándares Internacionales Aplicables

ISO/IEC 27000 - Familia de Seguridad

ISO/IEC 27001:2022

Alcance: Sistema de Gestión de Seguridad de la Información (SGSI)

Aplicación: Obligatorio para entidades que manejan datos críticos

Auditoría: Externa anual + interna semestral

Ecuador: 47 organizaciones certificadas (2024)
ISO/IEC 27002:2022

Controles: 93 controles organizados en 4 categorías

Enfoque: Implementación práctica de controles

Nuevo: Controles específicos para cloud y IoT
ISO/IEC 27005:2018

Gestión de Riesgos: Metodología para identificar y tratar riesgos

Aplicación: Base para evaluaciones de impacto

Otros Estándares Críticos

NIST Cybersecurity Framework 2.0

Funciones: Identificar, Proteger, Detectar, Responder, Recuperar, Gobernar

Adopción Ecuador: Sector público y entidades críticas

Actualización 2024: Función "Gobernar" agregada
PCI-DSS v4.0

Alcance: Procesamiento de datos de tarjetas

Validación: Anual obligatoria para procesadores

Multas: $5,000-$100,000/mes por incumplimiento

Ecuador: 23 QSA certificados para auditorías
IEEE 730-2014

Enfoque: Planes de aseguramiento de calidad de software

Aplicación: Proyectos críticos y contratos gubernamentales

OWASP SAMM v2.0

Enfoque: Madurez en seguridad de aplicaciones

Dominios: Gobierno, Diseño, Implementación, Verificación, Operaciones

Proceso de Evaluación de Cumplimiento

1

Identificación de Normativas

  • • Análisis del sector y jurisdicción
  • • Identificación de reguladores aplicables
  • • Mapeo de estándares requeridos
  • • Evaluación de normativas internacionales
2

Gap Analysis

  • • Evaluación del estado actual
  • • Identificación de brechas
  • • Priorización por riesgo
  • • Estimación de esfuerzo/costo
3

Plan de Cumplimiento

  • • Roadmap de implementación
  • • Asignación de recursos
  • • Cronograma de auditorías
  • • Métricas de seguimiento

Matriz de Sanciones por Incumplimiento

Normativa Tipo de Sanción Rango Monetario Sanciones Adicionales Casos Ecuador
LOPDP Multa administrativa 0.1% - 2% ingresos anuales Suspensión de tratamiento de datos En proceso (ley reciente)
PCI-DSS Multa por incumplimiento $5,000 - $100,000/mes Pérdida de capacidad de procesamiento 3 casos documentados (2022-2024)
Superintendencia Bancos Multa + medidas correctivas $50,000 - $5,000,000 Intervención, liquidación Banco Pichincha: $2.1M (2021)
ARCSA Suspensión registro sanitario $5,000 - $500,000 Retiro productos del mercado 15 retiros (2023)
COIP (Penal) Prisión + multa 100-1000 SBU + prisión 1-3 años prisión 7 casos procesados (2020-2024)

Casos Recientes de Alto Impacto

Sector Financiero (2021-2024)
  • • Banco Pichincha: $2.1M por fallas sistémicas
  • • Banco Guayaquil: $450K por brecha de seguridad
  • • Cooperativa JEP: Intervención por fallas de control
Otros Sectores
  • • Claro Ecuador: $75K por fallas de servicio (ARCOTEL)
  • • Hospital Metropolitano: Suspensión temporal ARCSA
  • • Municipio Quito: Multa por inaccesibilidad web

Recomendaciones Prácticas para el Cumplimiento

Estrategias de Implementación

1. Enfoque por Riesgo

Priorizar normativas según impacto potencial

  • • Identificar regulaciones críticas primero
  • • Implementar controles básicos universalmente
  • • Expandir gradualmente a normativas específicas
2. Automatización de Compliance

Herramientas para monitoreo continuo

  • • Sistemas GRC (Governance, Risk & Compliance)
  • • Dashboards de métricas en tiempo real
  • • Alertas automáticas de incumplimiento
3. Capacitación Continua

Equipos actualizados en normativas

  • • Programas de certificación para equipos
  • • Workshops trimestrales de actualización
  • • Simulacros de auditoría interna

Herramientas y Recursos

Recursos Gubernamentales
  • MINTEL: Guías de gobierno electrónico
  • CNT: Marco de ciberseguridad nacional
  • SENESCYT: Estándares para educación superior
Organizaciones de Apoyo
  • AESOFT: Asociación Ecuatoriana de Software
  • ISACA Ecuador: Gobierno y riesgo de TI
  • (ISC)² Ecuador: Seguridad de la información
Plataformas Tecnológicas
  • GRC Platforms: ServiceNow, Archer, MetricStream
  • SIEM: Splunk, QRadar, ArcSight
  • Vulnerability Management: Nessus, Qualys, Rapid7