jueves, 1 de diciembre de 2016

Adquirir e Implementar

AI6.2 Evaluación de Impacto, Priorización y Autorización 

Garantizar que todas las solicitudes de cambio se evalúan de una estructurada manera en cuanto a impactos en el sistema operacional y su funcionalidad. Esta evaluación deberá incluir categorización y priorización de los cambios. Previo a la migración hacia producción, los interesados correspondientes autorizan los cambios.


Que satisface el requerimiento del negocio de TI para Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se reducen los defectos y la repetición de trabajos en la prestación del servicio y en la solución. Enfocándose en Controlar la evaluación de impacto, autorización e implantación de todos los cambios a la infraestructura de TI, aplicaciones y soluciones técnicas, minimizando errores que se deben a especificaciones incompletas de la solicitud y detener la implantación de cambios no autorizados 
Se logra con 
• La definición y comunicación de los procedimientos de cambio, que incluyen cambios de emergencia 
• La evaluación, la asignación de prioridad y autorización de cambios 
• Seguimiento del estatus y reporte de los cambios Y se mide con 
• El número de interrupciones o errores de datos provocados por especificaciones inexactas o una evaluación de impacto incompleta 
• La repetición de aplicaciones o infraestructura debida a especificaciones de cambio inadecuadas 
• El porcentaje de cambios que siguen procesos de control de cambio formales 

miércoles, 30 de noviembre de 2016

COBIT, Control Objectives for Information and related Technology

Es una guía de mejores prácticas presentada como framework, dirigida al control y supervisión de tecnología de la información (TI). Mantenida por ISACA y el IT GI, tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión.

Ediciones

COBIT 4.1
En su cuarta edición, COBIT tiene 34 procesos que cubren 210 objetivos de control clasificados en cuatro dominios:

  • Planificación y Organización (Plan and Organize))
  • Adquisición e Implantación (Acquire and Implement)
  • Entrega y Soporte (Deliver and Support)
  • Supervisión y Evaluación (Monitor and Evaluate)


COBIT 5
ISACA lanzó el 10 de abril de 2012 la nueva edición de este marco de referencia. COBIT 5 es la última edición del framework mundialmente aceptado, el cual proporciona una visión empresarial del Gobierno de TI que tiene a la tecnología y a la información como protagonistas en la creación de valor para las empresas.

COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de otros importantes marcos y normas como Val IT y Risk IT, Information Technology Infrastructure Library (ITIL ®) y las normas ISO relacionadas en esta norma.

Beneficios

COBIT 5 ayuda a empresas de todos los tamaños a:


  • Optimizar los servicios el coste de las TI y la tecnología
  • Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas
  • Gestión de nuevas tecnologías de información
  • Seguridad de la información

Tomado de: https://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadas

ISACA - Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información)



ISACA fue fundada en el año 1967 cuando un grupo de auditores en sistemas informáticos percibieron la necesidad de centralizar la fuente de información y metodología para el área de operación. Fue en 1969 que el grupo se formalizó a asociación, originalmente incorporada como EDP Auditors Association.

En 1976 el nombre pasó a ser ISACA, por el que es actualmente conocida, y se estableció la primera certificación profesional de auditoría de sistemas de información, o CISA.

Actualmente ISACA atiende a unos 95.000 electores (miembros y profesionales con certificaciones ISACA) en unos 160 países.[cita requerida] Los cargos de los miembros son tales como auditor, consultor, educador, profesional de seguridad, regulador, director ejecutivo de información y auditor interno. Trabajan en casi todas las categorías de la industria. Hay una red de capítulos de ISACA con 170 capítulos establecidos en 160 países.

Los capítulos proporcionan educación y formación constante, recursos compartidos, promoción, creación de redes y otros Elvis.

  • Son los custodios del framework COBIT;
  • Son los creadores del ITGI (IT Governance Institute);
  • Desarrollaron cuatro certificaciones profesionales:

- CISA - Certified Information Systems Auditor, certificación de auditores de sistemas de información. Existen cerca de 90.000 personas certificadas (2012);
- CISM - Certified Information Security Manager, certificación de gestores de seguridad. Existen cerca de 16.000 personas certificadas;
- CGEIT - Certified in the Governance of Enterprise IT, certificación de gestores de la gobernanza empresarial TI. Existen cerca de 4.600 personas certificadas (2007);
- CRISC - Certified in Risk and Information Systems Control, certificación de gestores de control de riesgos en sistemas de información. Existen cerca de 15.000 personas certificadas (2010).

Tomado de:
https://www.isaca.org/Pages/default.aspx
https://es.wikipedia.org/wiki/ISACA

miércoles, 23 de noviembre de 2016

Informe de Auditoría

El informe de auditoria es el resultados de la información, estudio, investigación y análisis efectuado por los auditores durante la realización
de una auditoria, que de forma normalizada expresa por escrito su opinión sobre el área o actividad auditada en la relación con los objetivos fijados,
señalando así las debilidades de control interno, si las ha habidos, y formula recomendaciones pertinentes para eliminar las causas de tales deficiencias y
establecer las medidas correctas adecuadas.

El Informe de Auditoría es el producto terminado del Auditor Interno. La importancia del mismo se mide por la calidad de sus observaciones, recomendaciones y conclusiones e indirectamente por el logro de que las primeras sean subsanadas y generen la correspondiente modificación de conductas. Los contenidos del informe deben tener suficiente importancia para justificar su inclusión y atención de los funcionarios a los que va dirigido, debiendo evitarse los temas de importancia menor. El informe de auditoría interna se realizará con el formato establecido en el que se señalarán las no conformidades, las observaciones y las oportunidades de mejora para dar respuestas a los requisitos ISO, los legales, ambientales, los de la propia organización. El informe deberá mostrar las conclusiones del diagnóstico realizado, valoración del nivel de riesgo y las propuestas de mejora para incorporar en el sistema.

MODELOS DE INFORMES 

Informe Breve – Configuración:
Es el relato conciso del alcance del trabajo y de las principales observaciones, recomendaciones y conclusiones.
Informe Extenso – Configuración: Es el resultado de la tarea de control realizada.

El Informe de Auditoría debe contener los siguientes aspectos:
• Comunicación de presentación del auditor.
• Ficha de identificación del auditor.
• Contenido.
• Resumen ejecutivo.
• Informe.
• Introducción.
• Antecedentes (si es auditoría de seguimiento y/o quedan pendientes por resolver hallazgos de auditorías anteriores).
• Objetivo especifico.
• Objetivos generales.
• Alcance.
• Criterios de revisión.
• Análisis situacional.
• Observaciones.
• Conclusiones y recomendaciones.
• Observaciones finales.
• Anexos.

Tomado de: http://es.slideshare.net/ManuxxD1/elaboracin-de-un-informe-de-auditoria

viernes, 14 de octubre de 2016

Visita preliminar

Después de enviar una respuesta satisfactoria a la carta de solicitud de auditoría a la empresa solicitante, el organismo certificador se debe preparar la visita preliminar a la empresa para conocerla. Ésto conlleva:

  • Identificar a cada uno de los integrantes del grupo auditor.
  • Programar una fecha en común.
  • Solicitar al cliente disponibilidad del personal involucrado
  • Programar una reunión, incluyendo una minuta de la misma para documentar todas los acuerdos.
  • En la minuta se acuerdan detalles como la fecha de la visita preliminar, los miembros que van a acudir, la duración, tiempos, programas, etc.
  • Firmar un acuerdo de confidencialidad entre empresa(cliente)-auditores. Por lo general, el que lleva la delantera en la auditoría por parte de la empresa es el jefe de esta.


Objetivos de la visita preliminar:

  • Conocer a la empresa
  • Definir qué tipo de auditoría requiere el cliente
  • Determinar los recursos necesarios para llevar a cabo la auditoría
  • Es necesario entregar un Plan de Trabajo, el cual debe incluir varias fechas posibles para la realización de la auditoría, quiénes van a ir a realizarla, a quien en específico van a auditar e incluso a que hora se realizará.

Existen algunas herramientas que los auditores pueden utilizar para conocer mejor a la empresa, como son:


  • Investigación documental: Ésta implica requerir a la empresa documentos que muestren información relevante de la empresa, como son: misión, visión, planes de trabajo, descripción de puestos, organigrama, procedimientos ISO, etc.
  • Entrevista formal: Se utiliza un guión de preguntas con respuestas cerradas o de opción múltiple.
  • Entrevista no guiada: Se realizan preguntas mas generales donde la persona puede ser muy amplia en su respuesta, siendo éstas grabadas y después transcritas.
  • Encuesta: Es un cuestionario que se aplica a todos o parte de los empleados de la empresa.
  • Observación en sitio: Implica que un miembro del equipo auditor sea observador de alguna actividad o procedimiento de la empresa, tomando nota de como se realizan y sin interactuar con el personal laborando.

jueves, 13 de octubre de 2016

ISO 27001


ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.


ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).

Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar dónde están los riesgos y luego tratarlos sistemáticamente.
Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la implementación de esta norma para la seguridad de la información:

  • Cumplir con los requerimientos legales  – cada vez hay más y más leyes, normativas y requerimientos contractuales relacionados con la seguridad de la información. La buena noticia es que la mayoría de ellos se pueden resolver implementando ISO 27001 ya que esta norma le proporciona una metodología perfecta para cumplir con todos ellos.
  • Obtener una ventaja comercial – si su empresa obtiene la certificación y sus competidores no, es posible que usted obtenga una ventaja sobre ellos ante los ojos de los clientes a los que les interesa mantener en forma segura su información.
  • Menores costos – la filosofía principal de ISO 27001 es evitar que se produzcan incidentes de seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos su empresa va a ahorrar mucho dinero. Y lo mejor de todo es que la inversión en ISO 27001 es mucho menor que el ahorro que obtendrá.
  • Una mejor organización – en general, las empresas de rápido crecimiento no tienen tiempo para hacer una pausa y definir sus procesos y procedimientos; como consecuencia, muchas veces los empleados no saben qué hay que hacer, cuándo y quién debe hacerlo. La implementación de ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a escribir sus principales procesos (incluso los que no están relacionados con la seguridad), lo que les permite reducir el tiempo perdido de sus empleados.
Tomado de: http://advisera.com/27001academy/es/que-es-iso-27001/

jueves, 8 de septiembre de 2016

Proyecto - Symantec Endpoint Protection

    Objetivo
El aumento de los ataques dirigidos y las amenazas persistentes avanzadas requiere protección en capas y seguridad inteligente en el endpoint. Symantec Endpoint Protection ofrece una seguridad inmejorable, un rendimiento deslumbrante y una administración más inteligente en entornos físicos y virtuales. Mediante la red de inteligencia contra amenazas más grande del mundo, Symantec puede identificar archivos en riesgo y detener las amenazas de día cero sin lentificar el rendimiento. Solo Symantec Endpoint Protection. 
Brinda la seguridad que necesita mediante un único agente sumamente eficaz para la protección más efectiva y rápida disponible.

    Funciones y Beneficios
  • La protección contra amenazas de red analiza los flujos de datos entrantes y bloquea las amenazas.
  • El análisis de reputación Insight™ separa los archivos que están en peligro de los archivos seguros para realizar una detección más rápida y precisa.
  • El análisis de comportamiento SONAR™ supervisa en tiempo real el comportamiento de las aplicaciones y detiene los ataques dirigidos y las amenazas de día cero.
  • Protección eficaz antivirus, antispyware y mediante firewall.
Increíble rendimiento:se optimizó para ofrecer un sólido rendimiento en entornos físicos y virtuales.
  • La tecnología Insight solo requiere analizar los archivos que están en peligro y, de esa manera, reduce el tiempo de análisis hasta en un 70%.
  • Menor tamaño del cliente y menos espacio utilizado para los sistemas integrados o VDI.
  • Carga de red reducida con flexibilidad para controlar la cantidad de conexiones de red y el ancho de banda.
Administración más inteligente:consola de administración única para todas las plataformas físicas y virtuales con control de políticas granular.
  • Un solo agente de alto rendimiento con una sola consola de administración para Windows, Mac, Linux, máquinas virtuales y sistemas integrados.
  • Compatibilidad con la implementación remota y la administración de clientes para Windows y Mac.
  • Control de políticas granular con bloqueo de sistemas, control de aplicaciones y dispositivos, y reconocimiento de ubicación.

Beneficios
  • Protección en capas para proteger los endpoints contra el software malicioso masivo, ataques dirigidos 4y amenazas persistentes avanzadas.
  • Protección superior contra amenazas con el respaldo de la red de inteligencia contra amenazas civil más grande del mundo.
  • Rendimiento tan rápido que no afecta la productividad del usuario.
  • Facilidad de uso mediante un solo cliente y una sola consola de administración para plataformas físicas y virtuales.
  • Flexibilidad para ajustar las políticas en función de los usuarios y la ubicación.
Requisitos de sistemas de servidores y estaciones de trabajo cliente*
Sistemas operativos Windows
  • Windows XP (32 bits, SP3 o posterior; 64 bits)
  • Windows XP Embedded (SP3 o posterior)
  • Windows Vista (32 o 64 bits)
  • Windows 7 (32 o 64 bits)
  • Windows 7 Embedded
  • Windows 8 (32 o 64 bits)
  • Windows 8 Embedded
  • Windows 8.1
  • Windows 10**
  • Windows Server 2003 (32 bits, 64 bits, R2, SP1 o posterior)
  • Windows Server 2008 (32 y 64 bits, incluida la versión R2)
  • Windows Server 2012 (64 bits, incluida la versión R2)
  • Windows Small Business Server 2011 (64 bits)
  • Windows Essential Business Server 2008 (64 bits)
Sistemas operativos Macintosh
  • Mac OS X 10.8, 10.9, 10.10
  • Mac OS 10.11
Sistemas operativos Linux (versiones de 32 y 64 bits)
  • Red Hat Enterprise Linux
  • SUSE Linux Enterprise (servidores/equipos de escritorio)
  • Novell Open Enterprise Server
  • Oracle Linux
  • CentOS
  • Ubuntu
  • Debian
  • Fedora
Entornos virtuales
  • Windows Azure
  • Amazon WorkSpaces
  • VMware WS 5.0, GSX 3.2, ESX 2.5 o posterior
  • VMware ESXi, de la versión 4.1 a la versión 5.5
  • Microsoft Virtual Server 2005
  • Microsoft Enterprise Desktop Virtualization (MED-V)
  • Microsoft Windows Server 2008, 2012 y 2012 R2 Hyper-V
  • Citrix XenServer 5.6 o posterior
  • VirtualBox de Oracle
Requisitos de hardware
  • CPU de 1 GHz o superior
  • 512 MB de RAM (se recomienda 1 GB)
  • 1,5 GB de espacio libre en el disco duro
Requisitos del sistema administrador
Sistemas operativos Windows
  • Windows XP (32 bits, SP3; 64 bits, todos los SP)
  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows Server 2003 (32 bits, 64 bits, R2 o SP1 o posterior)
  • Windows Small Business Server 2003
  • Windows Server 2008 (32 y 64 bits, incluida la versión R2)
  • Windows Small Business Server 2008 (64 bits)
  • Windows Essential Business Server 2008 (64 bits)
  • Windows Small Business Server 2011 (64 bits)
  • Windows Server 2012 (64 bits, incluida la versión R2)
Hardware
  • Procesador Intel Pentium Dual-Core o equivalente, como mínimo
  • 2 GB de memoria RAM (se recomiendan 4 GB)
  • 16 GB o más de espacio libre en el disco duro
Navegador web
  • Microsoft Internet Explorer
  • Mozilla Firefox
  • Google Chrome
Base de datos
Base de datos integrada o elija a partir de las siguientes opciones:
  • SQL Server 2005, SP4
  • SQL Server 2008, RTM - SP4
  • SQL Server 2008 R2, RTM - SP3
  • SQL Server 2012, RTM - SP1; SP2
  • SQL Server 2014
Tomado de: https://www.symantec.com/es/mx/endpoint-protection/system-requirements/


Empresas de Consultoría en Colombia

CONSULTORIAS & ASESORIAS S.A.S

Centro. Comercial Bolívar L. S-1C Cuarto Nivel
(57)-(6)-7330870;  Cel.3182034546
www.auditar.co
Servicio de Revisoría Fiscal, Asesoría y Auditoria Tributario, Servicio de Outsourcing Contable, Servicios de Asesoría Contable y Financiera, Servicios de Auditoría Externa, Auditoria de Sistemas y de seguridad informática.
Armenia, Quindío
Colombia

CIP Revisores Fiscales Auditores & Consultores Ltda
Calle 94A # 11A-66- Oficina 101
(57) 318 345 64 93 ó 316 405 32 57
luis.ruiz@cipconsultores.com.co
www.cipconsultores.com.co/portalcip/
Revisoría fiscal, Auditoría a Proyectos de Cooperación Internacional, Implementación de NIIF para Pymes, Asesoría en Implementación del SG-SST, Coaching Corporativo ONG´s, Auditoría Externa, Auditoría en Tecnología de la Información, Servicios en Gestión del Riesgo ISO 9001.
Bogotá D.C
Colombia

Financial Control Group Y Cia Ltda
Calle 70 No 7 – 60 Of. 103
57 (1) 3134325373  -  57 (1) 3124090312
www.fcgauditores.com
Asesoría en NIIF (IFRS) Normas Internacionales de Información Financiera, Conversión de estados financieros de contabilidad generalmente aceptados en Colombia a NIIF (IFRS). Revisoría Fiscal,  Auditoria Interna, Auditoria Externa, Auditoria de Sistema, Auditoria Forense.  Procedimientos Previamente Acordados,  Revisión Limitada de Estados Financieros. Asesoría Tributaria, Administrativo: gestión Documental, Digitalización y Microfilmación.
Bogotá D.C.
Colombia

LINCO CONSULTORES SAS
Av. 6AN  25N 22  Of. 701
57 2 6675310    /   57 2 6680913
www.lincoconsultores.com
Firma de Servicios profesionales con presencia en 6 países que integra el conocimiento y la amplia experiencia de nuestros especialistas en la dirección de proyectos de: Aseguramiento: Revisoría Fiscal, Auditoría Externa, Outsourcing / Co- Outsourcing de Auditoría Interna, Procedimientos Previamente Convenidos (PPC), Auditorías de Gestión y Resultados. Consultoría: Normas Internacionales de Información  Financiera NIIF (IFRS), Evaluación de procesos y controles – Sarbanex Oxley, Consultoría en Riesgos, Estrategia de Tecnología en la Información (T.I), Rediseño y Mejoramiento de Procesos. Impuestos: Consultoría tributaria local, Planeación tributaria local, Elaboración / Asesoría en la preparación de Información Tributaria en Medios Magnéticos, Elaboración / Asesoría en la preparación de la Declaración de Renta y Complementarios, Declaración de Impuestos al Patrimonio.
Servicios contables y Financieros: Outsourcing/ Co – Outsourcing Contable, Consolidación de Estados Financieros, Asesoría y acompañamiento en la implementación de sistemas de información contable, Outsourcing de Nómina, Outsourcing Financiero y de Tesorería, Outsourcing de Impuestos. Tecnología de la Información: Evaluación de vulnerabilidades de T.I, Auditoria a bases de datos, Consultoría para la implementación del modelo COBIT, Consultoría para la implementación del modelo ITIL, Consultoría para la implementación de ISO 27001, Auditoria Forense Informática, Auditoria a Controles generales de T.I, Auditoria a controles automáticos en los diferentes ciclos / Procesos
Cali
Colombia

Kreston RM S.A. - Kreston Colombia - Miembro Kreston International Ltd.
Cra. 35A No. 15B - 35, Oficina 310, El Poblado, Centro de Negocios Prisma
57 (4) 3662639
hernan.mm@rm-auditores.org
www.kreston.com.co
Certificados en todos sus procesos operativos con la norma ISO 9001:2008 (Revisoría Fiscal, Auditoría Financiera, Auditoría Tributaria, Auditoría de Control Interno, Auditoría Legal, Auditoría en Salud, Auditoría de Sistemas, Auditoría Administrativa, Auditoría Ambiental y Auditoría Educativa)
Medellín
Colombia


Gonzalo Millán C. & Asociados, Auditores y Consultores de Negocios, S.A.

Firma Nacional, que ha prestado sus servicios continuados por más de 40 años, trabajando intensamente en el desarrollo profesional de su grupo de auditores y demás profesionales, para prestar el mejor servicio a sus clientes; ello ha contribuido en el crecimiento de nuestra reputación como profesionales idóneos en las áreas de Auditoría y Consultoría, prestando servicios de la más alta calidad y confiabilidad, es por ello que somos una Firma de reconocido prestigio nacional, al servicio de nuestra comunidad Vallecaucana y del país en general.



Leyes Colombianas - Uso de Software

A continuación se describirán las normas por las cuales se rige el uso de software en la República de Colombia. Hay que tener en cuenta que hay dos tipos de software, cada uno con sus respectivas leyes: Software Comercial y Libre.

Sobre el Software comercial, esta amparado por las leyes de autor colombianas que indica lo siguiente:

“Los autores de obras literarias, científicas y artísticas gozarán de protección para sus obras en la forma prescrita por la presente ley y, en cuanto fuere compatible con ella, por el derecho común. También protege esta ley a los intérpretes o ejecutantes, a los productores de fonogramas y a los organismos de radiodifusión, en sus derechos conexos a los del autor” (LEY NÚMERO 23 DE 1982. Congreso de la republica de Colombia)

Esta protección se refiere a que el estado colombiano defenderá y reconocerá la obra del autor y/o titular de cualquier obra intelectual registrada en la cámara de comercio incluyendo el software y prohibirá su reproducción y comercialización sin permiso expreso del autor, además el autor podrá comercializar su obra, modificarla y distribuirla con o sin animo de lucro según el artículo tres de la ley mencionada anteriormente.

“Artículo 3 Los derechos de autor comprenden para sus titulares las facultades exclusivas: a) De disponer de su obra a título gratuito u oneroso bajo las condiciones lícitas que su libre criterio les dicte; b) De aprovecharla, con fines de lucro o sin él, por medio de la imprenta, grabado, copias, molde, fonograma, fotografía, película cinematográfica, videograma, y por la ejecución, recitación, traducción, adaptación, exhibición, transmisión, o cualquier otro medio de reproducción, multiplicación, o difusión conocido o por conocer, y c) De ejercer las prerrogativas, aseguradas por esta ley, en defensa de su “derecho moral” como se estipula en el capítulo II, sección segunda, artículo 30 de esta ley.”

“De obtener una remuneración a la propiedad intelectual por ejecución pública o divulgación, en donde prime el derecho de autor sobre los demás, en una proporción no menor del sesenta por ciento (60%) del total recaudado *. * Nota: el último inciso del artículo 3 de la Ley 23 de 1982 se encuentra adicionado por el artículo 68 de la Ley 44 de 1993”.

Cabe mencionar que las entidades del estado encargadas de asegurar el cumplimiento de los derechos de autor y la propiedad intelectual con: El Sistema Administrativo Nacional de Propiedad Intelectual y La Comisión Intersectorial de Propiedad Intelectual"

Artículo 1.- Sistema Administrativo Nacional de Propiedad Intelectual. Organizase el Sistema Administrativo Nacional de Propiedad Intelectual con el fin de coordinar las actividades estatales y de los particulares para lograr un nivel adecuado de protección, uso y promoción de los derechos de propiedad intelectual, incrementando su impacto en la competitividad y productividad del país, con equilibrio entre los derechos de los titulares, el interés público, los intereses de los usuarios del conocimiento, los bienes protegidos y la riqueza cultural nacional. (Decreto 1162 de 2010)


La penalización por la violación de los derechos sobre la propiedad intelectual son según la Ley 44 de 1993 especifica penas entre dos y cinco años de cárcel, así como el pago de indemnizaciones por daños y perjuicios a quienes comentan el delito de piratería de software. (www.colombiaaprende.edu.co).

Además A partir del mes de julio de 2001, y gracias a la reforma hecha al Código de procedimiento penal, quien sea encontrado usando, distribuyendo o copiando software sin licencia tendrá que pagar con cárcel hasta por un período de 5 años.

Según la ley colombiana los derechos de autor son:
“Los primeros son los morales, que son perpetuos, intransferibles e irrenunciables y que facultan al autor para reivindicar en todo tiempo la paternidad de su obra; oponerse a toda deformación o modificación que perjudique su honor o reputación o demerite la obra; a publicar su obra o a conservarla inédita; a modificarla y a retirarla de circulación (artículos 11 Decisión Andina 351 y 30 de la Ley 23 de 1982).
En segundo lugar se encuentran los patrimoniales, que constituyen una facultad exclusiva para realizar, autorizar o prohibir cualquier utilización que se quiera hacer de la obra, como la reproducción, la comunicación pública, la distribución pública, la importación y la traducción, adaptación, arreglo u otra transformación de la obra (artículos 13 de la Decisión Andina 351 y 12 de la Ley 23 de 1982).”
En cuanto al uso de software comercial la republica de Colombia reconoce el software como propiedad intelectual y lo define de la siguiente manera:
“La Decisión Andina 351 de 1993, norma de aplicación preferente y directa, define en su artículo 3º al programa de ordenador (Software), como: “Expresión de un conjunto de instrucciones mediante palabras, códigos, planes o en cualquier otra forma que, al ser incorporadas en un dispositivo de lectura automatizada, es capaz de hacer que un ordenador –un aparato electrónico o similar capaz de elaborar informaciones -, ejecute determinada tarea u obtenga determinado resultado. El programa de ordenador comprende también la documentación técnica y los manuales de uso”.
En cuanto al software libre, las leyes son tan flexibles como el software libre en sí mismo, se puede distribuir y modificar pero no se puede comercializar, en el momento en que un tercero usa una parte o la totalidad del software libre para comercialización ya no se considera “libre” sino “comercial” y se deben pagar derechos de autor para hacer la comercialización de esa propiedad intelectual legal. Siempre y cuando el software se mantega libre estara amparado bajo la siguiente ley:

EL CONCEJO DE BOGOTÁ D. C.,en uso de las atribuciones que le confieren la Constitución Política y el Decreto Ley 1421 de 1993,
ACUERDA:
Artículo 1. Política de promoción del software libre. El Alcalde Mayor, con el apoyo de la Secretaría General de la Alcaldía y del Departamento Administrativo de Planeación Distrital, DAPD, la Secretaría de Hacienda y oído el concepto de la Comisión Distrital de Sistemas, CDS, expedirá una Política de Promoción y uso de software libre en el sector central, el sector descentralizado y las localidades del distrito. Dicha política comprenderá, cuando menos, los siguientes elementos:
1. El fomento de la utilización de herramientas tecnológicas basadas en software libre en las entidades distritales, a través de procesos de divulgación, capacitación y comunicación.
2. La promoción de la participación de las comunidades científicas y académicas en los procesos de investigación y desarrollo del software libre y en la divulgación, educación y capacitación en torno a dicho tipo de software.
3. El desarrollo de procesos pedagógicos y de divulgación dirigidos hacia la ciudadanía en general para la promoción y uso del software libre.
4. El impulso de convenios de cooperación nacional e internacional para financiar el desarrollo y el uso del software libre.
5. La disposición de orientaciones tendientes a que en los estudios de mercado, que soportan los procesos de contratación del Distrito, se incluya la valoración y evaluación de herramientas tecnológicas basadas en software libre, en los casos pertinentes.