Hacia una manera segura de proteger datos personales
ERICK RINCÓN CARDENAS
Gerente General
Cert icámara . Validez y seguridad jurídica electrónica
Confianza en medios electrónicos !
1. Riesgos
• Suplantación de Identidad; • Alteración de los mensajes de datos; • Repudio del mensaje de datos; • Ausencia de confidencialidad.
2. Atributos
• Autenticidad; • Integridad • No Repudio; • Confidencialidad.
RIESGOS EN LAS COMUNICACIONES ELECTRÓNICAS
REQUISITOS DE EVIDENCIA DIGITAL
Determinación del Origen – Autenticidad
Establecimiento de cualquier tipo de alteración del archivo electrónico – Integridad
Fecha en la que comienza y finaliza el período de conservación – Extremos de conservación temporal
Posterior consulta de la información electrónica – Disponibilidad
Análisis de riesgos: la base de todo el sistema de gestión
SGSI: 1-Política
SGSI: 2-Organización
SGSI: 3-Gestión de activos
SGSI: 4-Personal
SGSI: 5-Seguridad Física
SGSI: 6-Comunicaciones y operaciones
SGSI: 7-Control de acceso
SGSI: 8-Adquisición, mantenimiento y desarrollo de Sist. Inf.
SGSI: 9-Gestión de incidentes
SGSI: 10-Gestión continuidad del negocio
SGSI: 11-Legislación Vigente
(vii) Alcance de las Normas aplicables al Sector - Etapas para diseñar un SGSI
Alcance de las Normas aplicables al Sector Análisis de riesgos: la base de todo el sistema de gestión
Para la implantación de un SGSI hay que tener en cuenta que todas las medidas que se implementen en la organización deberán justificarse sobre la base del análisis de riesgos que se haya realizado previamente.
Entregable: Inventario de activos valuado con amenazas, controles, responsable
Alcance de las Normas aplicables al Sector SGSI: 1-Politica
La política de seguridad tiene por objetivo aportar las directrices de la seguridad de la información de acuerdo con los requerimientos y legislación vigente; fundamental para la implantación del resto de los controles.
Entregable: Politica de seguridad publicada y firmada por junta directiva
Alcance de las Normas aplicables al Sector SGSI: 2-Organización
Implica la creación de un comité que supervisará los diferentes aspectos de la seguridad de la información; será el grupo que tendrá el apoyo directo de la alta gerencia y podrá conceptuar y decidir sobre los cambios del SGSI.
Entregable: Documento de creación del comité, sus miembros y funciones.
Alcance de las Normas aplicables al Sector SGSI: 3-Gestion de activos
Este dominio promueve la protección y tratamiento de los activos de información importantes para la organización; establece responsabilidades sobre ellos y clasifica la información basada en su confidencialidad
Entregable: Documento con la clasificación de los activos de información
Alcance de las Normas aplicables al Sector SGSI: 4-Personal
La seguridad de la información depende del recurso humano (ing.social), deberían implantarse controles de seguridad que abarquen el ciclo de vida de los trabajadores, desde su selección hasta el momento en que dejen la organización.
Entregable: Documento con plan de capacitacion sobre políticas de seguridad de la información.
Alcance de las Normas aplicables al Sector SGSI: 5-Seguridad Física
Aspectos relativos a la seguridad física de la organización, especialmente los destinados a reducir los riesgos de que se produzcan accesos no autorizados o Interrupciones en las actividades; incluye desde los edificios hasta la seguridad física de los equipos.
Entregable: Documento de auditoria sobre controles existentes y mejoras
Alcance de las Normas aplicables al Sector SGSI: 6-Comunicaciones y operaciones
Se tratan todos los aspectos relativos a la seguridad de las operaciones.
Considera el mayor numero de controles legales y mecanismos conocidos de protección de la información.
Entregable: Documento con sugerencias y soluciones específicas además de la segregación de funciones.
Alcance de las Normas aplicables al Sector SGSI: 7-Control de acceso
En este punto se trata de evitar que personal no autorizado pueda lograr el acceso a la información que se está protegiendo, puede considerarse que este dominio se refiere a los accesos lógicos a la información; no tiene que ver con lo físico.
Entregable: Documento de políticas con segregación de roles, gestión contraseñas.
Alcance de las Normas aplicables al Sector SGSI: 8-Adquisicion, mantenimiento y desarrollo de
Sistemas de Información
Realizar pruebas técnicas como: • Análisis de vulnerabilidades de la red. • Pruebas de penetración a cada servidor de datos. • Revisión de configuraciones de dispositivos de
red. Entregable: Documento con el resultado de las pruebas técnicas
Alcance de las Normas aplicables al Sector SGSI: 9-Gestion de incidentes
A pesar de los anteriores controles pueden presentarse incidentes de seguridad que se deben gestionar de manera que el impacto que puedan provocar sea el mínimo posible.
Entregable: Documento de tipo plantilla para que el área de atención de incidentes pueda manejarlos
Alcance de las Normas aplicables al Sector SGSI: 10-Gestion continuidad del negocio
El objetivo de la seguridad de la información es evitar que las actividades propias de la organización se vean interrumpidas por alguna circunstancia; los planes de continuidad de negocio para cualquier organización son imprescindibles.
Entregables: Documento que muestre el análisis del impacto del negocio en caso de
desastre.
Entidades de Certificación Digital como terceros de confianza
16
SERVICIOS AUTORIZADOS ENTIDAD DE CERTIFICACIÓN DIGITAL
LEY 527 DECRETO 1747
CIRCULAR UNICA No 10 SIC
CERTIFICACIÓN DE FIRMA DIGITAL ESTAMPADO CRONOLÓGICO ARCHIVO CONFIABLE DE MENSAJE DE
DATOS
SEGURIDAD JURÍDICA GARANTÍA DE FECHA Y HORA ENVIO Y RECEPCIÓN DE MENSAJES DE DATOS
ARCHIVO Y CONSERVACIÓN
POSTERIOR CONSULTA
CERTIM@IL CERTIFACTURA
AU
TEN
TIC
IDA
D
INTE
GR
IDA
D
NO
REP
UD
IO
CERTISUBASTA CERTISORTEO
SEG
UR
IDA
D
CO
NFI
DEN
CIA
L
CO
NFI
AN
ZA
UN
IVER
SALI
DA
D
AC
CES
IBIL
IDA
D
CO
MO
DID
AD
PRODUCTOS Y SERVICIOS TRANSVERSALES
GRACIAS
ERICK RINCÓN CARDENAS
Cert icámara . Validez y seguridad jurídica electrónica
Confianza en medios electrónicos !
Top Related