Hacia una manera segura de proteger datos personales

ERICK RINCÓN CARDENAS

Gerente General

erick.rincon@certicamara.com

Cert icámara . Validez y seguridad jurídica electrónica

Confianza en medios electrónicos !

1. Riesgos

• Suplantación de Identidad; • Alteración de los mensajes de datos; • Repudio del mensaje de datos; • Ausencia de confidencialidad.

2. Atributos

• Autenticidad; • Integridad • No Repudio; • Confidencialidad.

RIESGOS EN LAS COMUNICACIONES ELECTRÓNICAS

REQUISITOS DE EVIDENCIA DIGITAL

Determinación del Origen – Autenticidad

Establecimiento de cualquier tipo de alteración del archivo electrónico – Integridad

Fecha en la que comienza y finaliza el período de conservación – Extremos de conservación temporal

Posterior consulta de la información electrónica – Disponibilidad

Análisis de riesgos: la base de todo el sistema de gestión

SGSI: 1-Política

SGSI: 2-Organización

SGSI: 3-Gestión de activos

SGSI: 4-Personal

SGSI: 5-Seguridad Física

SGSI: 6-Comunicaciones y operaciones

SGSI: 7-Control de acceso

SGSI: 8-Adquisición, mantenimiento y desarrollo de Sist. Inf.

SGSI: 9-Gestión de incidentes

SGSI: 10-Gestión continuidad del negocio

SGSI: 11-Legislación Vigente

(vii) Alcance de las Normas aplicables al Sector - Etapas para diseñar un SGSI

Alcance de las Normas aplicables al Sector Análisis de riesgos: la base de todo el sistema de gestión

Para la implantación de un SGSI hay que tener en cuenta que todas las medidas que se implementen en la organización deberán justificarse sobre la base del análisis de riesgos que se haya realizado previamente.

Entregable: Inventario de activos valuado con amenazas, controles, responsable

Alcance de las Normas aplicables al Sector SGSI: 1-Politica

La política de seguridad tiene por objetivo aportar las directrices de la seguridad de la información de acuerdo con los requerimientos y legislación vigente; fundamental para la implantación del resto de los controles.

Entregable: Politica de seguridad publicada y firmada por junta directiva

Alcance de las Normas aplicables al Sector SGSI: 2-Organización

Implica la creación de un comité que supervisará los diferentes aspectos de la seguridad de la información; será el grupo que tendrá el apoyo directo de la alta gerencia y podrá conceptuar y decidir sobre los cambios del SGSI.

Entregable: Documento de creación del comité, sus miembros y funciones.

Alcance de las Normas aplicables al Sector SGSI: 3-Gestion de activos

Este dominio promueve la protección y tratamiento de los activos de información importantes para la organización; establece responsabilidades sobre ellos y clasifica la información basada en su confidencialidad

Entregable: Documento con la clasificación de los activos de información

Alcance de las Normas aplicables al Sector SGSI: 4-Personal

La seguridad de la información depende del recurso humano (ing.social), deberían implantarse controles de seguridad que abarquen el ciclo de vida de los trabajadores, desde su selección hasta el momento en que dejen la organización.

Entregable: Documento con plan de capacitacion sobre políticas de seguridad de la información.

Alcance de las Normas aplicables al Sector SGSI: 5-Seguridad Física

Aspectos relativos a la seguridad física de la organización, especialmente los destinados a reducir los riesgos de que se produzcan accesos no autorizados o Interrupciones en las actividades; incluye desde los edificios hasta la seguridad física de los equipos.

Entregable: Documento de auditoria sobre controles existentes y mejoras

Alcance de las Normas aplicables al Sector SGSI: 6-Comunicaciones y operaciones

Se tratan todos los aspectos relativos a la seguridad de las operaciones.

Considera el mayor numero de controles legales y mecanismos conocidos de protección de la información.

Entregable: Documento con sugerencias y soluciones específicas además de la segregación de funciones.

Alcance de las Normas aplicables al Sector SGSI: 7-Control de acceso

En este punto se trata de evitar que personal no autorizado pueda lograr el acceso a la información que se está protegiendo, puede considerarse que este dominio se refiere a los accesos lógicos a la información; no tiene que ver con lo físico.

Entregable: Documento de políticas con segregación de roles, gestión contraseñas.

Alcance de las Normas aplicables al Sector SGSI: 8-Adquisicion, mantenimiento y desarrollo de

Sistemas de Información

Realizar pruebas técnicas como: • Análisis de vulnerabilidades de la red. • Pruebas de penetración a cada servidor de datos. • Revisión de configuraciones de dispositivos de

red. Entregable: Documento con el resultado de las pruebas técnicas

Alcance de las Normas aplicables al Sector SGSI: 9-Gestion de incidentes

A pesar de los anteriores controles pueden presentarse incidentes de seguridad que se deben gestionar de manera que el impacto que puedan provocar sea el mínimo posible.

Entregable: Documento de tipo plantilla para que el área de atención de incidentes pueda manejarlos

Alcance de las Normas aplicables al Sector SGSI: 10-Gestion continuidad del negocio

El objetivo de la seguridad de la información es evitar que las actividades propias de la organización se vean interrumpidas por alguna circunstancia; los planes de continuidad de negocio para cualquier organización son imprescindibles.

Entregables: Documento que muestre el análisis del impacto del negocio en caso de

desastre.

Entidades de Certificación Digital como terceros de confianza

16

SERVICIOS AUTORIZADOS ENTIDAD DE CERTIFICACIÓN DIGITAL

LEY 527 DECRETO 1747

CIRCULAR UNICA No 10 SIC

CERTIFICACIÓN DE FIRMA DIGITAL ESTAMPADO CRONOLÓGICO ARCHIVO CONFIABLE DE MENSAJE DE

DATOS

SEGURIDAD JURÍDICA GARANTÍA DE FECHA Y HORA ENVIO Y RECEPCIÓN DE MENSAJES DE DATOS

ARCHIVO Y CONSERVACIÓN

POSTERIOR CONSULTA

CERTIM@IL CERTIFACTURA

AU

TEN

TIC

IDA

D

INTE

GR

IDA

D

NO

REP

UD

IO

CERTISUBASTA CERTISORTEO

SEG

UR

IDA

D

CO

NFI

DEN

CIA

L

CO

NFI

AN

ZA

UN

IVER

SALI

DA

D

AC

CES

IBIL

IDA

D

CO

MO

DID

AD

PRODUCTOS Y SERVICIOS TRANSVERSALES

Contáctenos: comercial@certicamara.com

GRACIAS

ERICK RINCÓN CARDENAS

erick.rincon@certicamara.com

Cert icámara . Validez y seguridad jurídica electrónica

Confianza en medios electrónicos !