Seguridad informatica auditoria
-
Upload
diego-llanes -
Category
Documents
-
view
63 -
download
1
Transcript of Seguridad informatica auditoria
LA SEGURIDAD
INFORMATICA Y LA
PROTECCIÓN DE DATOS.
Diego Llanes GómezE-mail: [email protected]
Auditoria de SistemasSIGUIENTE
SIGUIENTE
Datos. Sistemas informáticos. Datos Personales – Datos Nominativas. Derechos de los titulares de Datos
Personales. Implicaciones frente al derecho de
Propiedad Intelectual. Implicaciones frente a los derechos de la
persona. Tratamiento automatizado de datos Norma ISO 27.000 Conclusiones.
Información de cualquier índole, digitalizada o numerizada.
Clases:
Especificaciones técnicas o procedimentales.
Datos comerciales (violación del secreto
de la empresa).
Datos personales – nominativos.
Datos de transacción.
Volver
Riesgos tradicionales frente a la protección de datos:
- Capacidad de memoria -almacenamiento.
- Alta concentración de información.
- Rapidez de los tratamientos informáticos.
- Interconexión de archivos o bases de datos.
- Vulnerabilidad de los sistemas.
Volver
SIGUIENTE
Nuevos riesgos frente a la protección de datos:
- Puesta en red de los sistemas informáticos (Internet).
- Internacionalización (Acuerdo EU-UE empresas privadas).
- Miniaturización y potencialización de medios soporte (Chips).
- Comercio electrónico (Datos bancarios, firma electrónica).
Volver
SIGUIENTE
Comercio electrónico.
• Riesgos en la transmisión de datos:
- Una persona no autorizada puede interceptar datos transferidos por las redes.
- Puede conocer datos y alterarlos.
- La integridad de los datos del comercio electrónico debe ser asegurada.
- La seguridad reposa en la confidencialidad.
Volver
SIGUIENTE
Comercio electrónico.
• Amenazas entorno a la autenticidad.
- Alguna de las partes puede utilizar una identificación falsa. La funsión de seguridad consiste en certificar que la oferta y la demanda conrresponde a su verdadero autor.
• Amenazas para el pago.
- Riesgos de no pago de las transacciones.
Volver
SIGUIENTE
Comercio electrónico.
- Ventas realizadas con una falsa identidad.
- Utilización de cuentas bancarias no válidas.
- Pagos con números de cartas de crédito falsos.
Volver
La información que permite, directa o indirectamente, la identificación de una persona natural (# de identificación, imagen, huella).
Directamente No deben combinarse
nominativos con otros para arrivar
a la identificación.
Volver
El deber ser: Los sistemas informáticos deben permitir:- Derecho de acceso.- El titular de los datos
personales puede exigir rectificación, complemento, clarificación, actualización o eliminación de datos que le conciernan y que sean inexactos, incompletos o erróneos.
- Derecho a la seguridad.- Toda persona responsable del manejo de datos personales debe obligarse frente a sus titulares por la integridad de los datos.
Volver
El deber ser: Los sistemas informáticos deben
permitir:- Derecho de rectificación.- En
relación con información inexacta.
- Derecho de información.- Es necesario que las personas sean informada que han sido incluidas dentro de un sistema informático.
Volver
Comercio electrónico –intercambio
electrónico de datos (local o internacional).
Derechos de autor. (Violación de los derechos del titular –reproducción y comunicación).
Derecho de marcas.- Uso indebido.
Volver
Los sistemas informáticos deben asegurar:
- Respeto de la vida privada e intimidad.- Protección de datos relativos a la salud, vida sexual, vida familiar, opiniones y convicciones.
Volver
Conjunto de operaciones realizadas por medios automáticos.
Relativos a la colecta, el registro, la elaboración, la modificación, la conservación, y la destrucción de información nominativa.
Explotación de archivos o de bases de datos. La interconexión, consultación o comunicación
de información nominativa. Toda persona tiene el derecho de oponerse al
tratamiento automatizado de sus datos.
Volver
ISO 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.
Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.
Volver
SIGUIENTE
ISO 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI).
ISO 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida
Volver
• La ausencia de desarrollo legal en la protección de
datos no puede servir de excusa para hacer uso indebido de los mismos a través de sistemas informáticos.
• La seguridad informática no por la seguridad de los sistemas informáticos en si mismos sino por la protección de los datos que ellos contienen.
• No se trata de una seguridad informática puramente técnica sino con amplias implicaciones jurídicas.
Volver
SIGUIENTE
• Proyecto de ley No 129 de 2004 del Senado de la República de Colombia, por el cual se regula el derecho de habeas data.
www.Cnil.fr – Comisión Nacional de informática y libertades de Francia.
• Código Penal Colombiano.
Volver
SIGUIENTE
GRACIAS