Hacia una manera segura de proteger datos personales

Transcripción

1 Certicámara. Validez y seguridad jurídica electrónica Hacia una manera segura de proteger datos personales ERICK RINCÓN CARDENAS Gerente General erick.rincon@certicamara.com Confianza en medios electrónicos!

2 RIESGOS EN LAS COMUNICACIONES ELECTRÓNICAS 1. Riesgos Suplantación de Identidad; Alteración de los mensajes de datos; Repudio del mensaje de datos; Ausencia de confidencialidad. 2. Atributos Autenticidad; Integridad No Repudio; Confidencialidad.

3 REQUISITOS DE EVIDENCIA DIGITAL Determinación del Origen Autenticidad Establecimiento de cualquier tipo de alteración del archivo electrónico Integridad Fecha en la que comienza y finaliza el período de conservación Extremos de conservación temporal Posterior consulta de la información electrónica Disponibilidad

4 (vii) Alcance de las Normas aplicables al Sector - Etapas para diseñar un SGSI Análisis de riesgos: la base de todo el sistema de gestión SGSI: 1-Política SGSI: 2-Organización SGSI: 3-Gestión de activos SGSI: 4-Personal SGSI: 5-Seguridad Física SGSI: 6-Comunicaciones y operaciones SGSI: 7-Control de acceso SGSI: 8-Adquisición, mantenimiento y desarrollo de Sist. Inf. SGSI: 9-Gestión de incidentes SGSI: 10-Gestión continuidad del negocio SGSI: 11-Legislación Vigente

5 Análisis de riesgos: la base de todo el sistema de gestión Para la implantación de un SGSI hay que tener en cuenta que todas las medidas que se implementen en la organización deberán justificarse sobre la base del análisis de riesgos que se haya realizado previamente. Entregable: Inventario de activos valuado con amenazas, controles, responsable

6 SGSI: 1-Politica La política de seguridad tiene por objetivo aportar las directrices de la seguridad de la información de acuerdo con los requerimientos y legislación vigente; fundamental para la implantación del resto de los controles. Entregable: Politica de seguridad publicada y firmada por junta directiva

7 SGSI: 2-Organización Implica la creación de un comité que supervisará los diferentes aspectos de la seguridad de la información; será el grupo que tendrá el apoyo directo de la alta gerencia y podrá conceptuar y decidir sobre los cambios del SGSI. Entregable: Documento de creación del comité, sus miembros y funciones.

8 SGSI: 3-Gestion de activos Este dominio promueve la protección y tratamiento de los activos de información importantes para la organización; establece responsabilidades sobre ellos y clasifica la información basada en su confidencialidad Entregable: Documento con la clasificación de los activos de información

9 SGSI: 4-Personal La seguridad de la información depende del recurso humano (ing.social), deberían implantarse controles de seguridad que abarquen el ciclo de vida de los trabajadores, desde su selección hasta el momento en que dejen la organización. Entregable: Documento con plan de capacitacion sobre políticas de seguridad de la información.

10 SGSI: 5-Seguridad Física Aspectos relativos a la seguridad física de la organización, especialmente los destinados a reducir los riesgos de que se produzcan accesos no autorizados o Interrupciones en las actividades; incluye desde los edificios hasta la seguridad física de los equipos. Entregable: Documento de auditoria sobre controles existentes y mejoras

11 SGSI: 6-Comunicaciones y operaciones Se tratan todos los aspectos relativos a la seguridad de las operaciones. Considera el mayor numero de controles legales y mecanismos conocidos de protección de la información. Entregable: Documento con sugerencias y soluciones específicas además de la segregación de funciones.

12 SGSI: 7-Control de acceso En este punto se trata de evitar que personal no autorizado pueda lograr el acceso a la información que se está protegiendo, puede considerarse que este dominio se refiere a los accesos lógicos a la información; no tiene que ver con lo físico. Entregable: Documento de políticas con segregación de roles, gestión contraseñas.

13 SGSI: 8-Adquisicion, mantenimiento y desarrollo de Sistemas de Información Realizar pruebas técnicas como: Análisis de vulnerabilidades de la red. Pruebas de penetración a cada servidor de datos. Revisión de configuraciones de dispositivos de red. Entregable: Documento con el resultado de las pruebas técnicas

14 SGSI: 9-Gestion de incidentes A pesar de los anteriores controles pueden presentarse incidentes de seguridad que se deben gestionar de manera que el impacto que puedan provocar sea el mínimo posible. Entregable: Documento de tipo plantilla para que el área de atención de incidentes pueda manejarlos

15 SGSI: 10-Gestion continuidad del negocio El objetivo de la seguridad de la información es evitar que las actividades propias de la organización se vean interrumpidas por alguna circunstancia; los planes de continuidad de negocio para cualquier organización son imprescindibles. Entregables: Documento que muestre el análisis del impacto del negocio en caso de desastre.

16 AUTENTICIDAD INTEGRIDAD NO REPUDIO SEGURIDAD CONFIDENCIAL CONFIANZA UNIVERSALIDAD ACCESIBILIDAD COMODIDAD Entidades de Certificación Digital como terceros de confianza LEY 527 DECRETO 1747 CIRCULAR UNICA No 10 SIC SERVICIOS AUTORIZADOS ENTIDAD DE CERTIFICACIÓN DIGITAL CERTIFICACIÓN DE FIRMA DIGITAL ESTAMPADO CRONOLÓGICO ARCHIVO CONFIABLE DE MENSAJE DE DATOS SEGURIDAD JURÍDICA GARANTÍA DE FECHA Y HORA ENVIO Y RECEPCIÓN DE MENSAJES DE DATOS ARCHIVO Y CONSERVACIÓN POSTERIOR CONSULTA PRODUCTOS Y SERVICIOS TRANSVERSALES CERTIM@IL CERTIFACTURA CERTISUBASTA CERTISORTEO 16

17

18 Contáctenos:

19 Certicámara. Validez y seguridad jurídica electrónica GRACIAS ERICK RINCÓN CARDENAS erick.rincon@certicamara.com Confianza en medios electrónicos!