Alcance de las Normas aplicables al Sector - certicamara.com
Alcance de las Normas aplicables al Sector - certicamara.com
Alcance de las Normas aplicables al Sector - certicamara.com
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Hacia una manera segura <strong>de</strong> proteger<br />
ERICK RINCÓN CARDENAS<br />
Gerente Gener<strong>al</strong><br />
erick.rincon@<strong>certicamara</strong>.<strong>com</strong><br />
Certicámara.<br />
V<strong>al</strong>i<strong>de</strong>z y seguridad jurídica electrónica<br />
datos person<strong>al</strong>es<br />
Confianza en medios electrónicos !
RIESGOS EN LAS COMUNICACIONES ELECTRÓNICAS<br />
1. Riesgos<br />
• Suplantación <strong>de</strong> I<strong>de</strong>ntidad;<br />
• Alteración <strong>de</strong> los mensajes <strong>de</strong> datos;<br />
• Repudio <strong>de</strong>l mensaje <strong>de</strong> datos;<br />
• Ausencia <strong>de</strong> confi<strong>de</strong>nci<strong>al</strong>idad.<br />
2. Atributos<br />
• Autenticidad;<br />
• Integridad<br />
• No Repudio;<br />
• Confi<strong>de</strong>nci<strong>al</strong>idad.
REQUISITOS DE EVIDENCIA DIGITAL<br />
Determinación <strong>de</strong>l Origen – Autenticidad<br />
Establecimiento <strong>de</strong> cu<strong>al</strong>quier tipo <strong>de</strong> <strong>al</strong>teración <strong>de</strong>l archivo electrónico –<br />
Integridad<br />
Fecha en la que <strong>com</strong>ienza y fin<strong>al</strong>iza el período <strong>de</strong> conservación –<br />
Extremos <strong>de</strong> conservación tempor<strong>al</strong><br />
Posterior consulta <strong>de</strong> la información electrónica – Disponibilidad
(vii) <strong>Alcance</strong> <strong>de</strong> <strong>las</strong> <strong>Normas</strong> <strong>aplicables</strong> <strong>al</strong> <strong>Sector</strong> -<br />
Etapas para diseñar un SGSI<br />
Análisis <strong>de</strong> riesgos: la base <strong>de</strong> todo el sistema <strong>de</strong> gestión<br />
SGSI: 1-Política<br />
SGSI: 2-Organización<br />
SGSI: 3-Gestión <strong>de</strong> activos<br />
SGSI: 4-Person<strong>al</strong><br />
SGSI: 5-Seguridad Física<br />
SGSI: 6-Comunicaciones y operaciones<br />
SGSI: 7-Control <strong>de</strong> acceso<br />
SGSI: 8-Adquisición, mantenimiento y <strong>de</strong>sarrollo <strong>de</strong> Sist. Inf.<br />
SGSI: 9-Gestión <strong>de</strong> inci<strong>de</strong>ntes<br />
SGSI: 10-Gestión continuidad <strong>de</strong>l negocio<br />
SGSI: 11-Legislación Vigente
<strong>Alcance</strong> <strong>de</strong> <strong>las</strong> <strong>Normas</strong> <strong>aplicables</strong> <strong>al</strong> <strong>Sector</strong><br />
Análisis <strong>de</strong> riesgos: la base <strong>de</strong> todo el sistema <strong>de</strong> gestión<br />
Para la implantación <strong>de</strong> un SGSI hay que tener<br />
en cuenta que todas <strong>las</strong> medidas que se<br />
implementen en la organización <strong>de</strong>berán<br />
justificarse sobre la base <strong>de</strong>l análisis <strong>de</strong> riesgos<br />
que se haya re<strong>al</strong>izado previamente.<br />
Entregable: Inventario <strong>de</strong> activos v<strong>al</strong>uado con amenazas, controles,<br />
responsable
<strong>Alcance</strong> <strong>de</strong> <strong>las</strong> <strong>Normas</strong> <strong>aplicables</strong> <strong>al</strong> <strong>Sector</strong><br />
SGSI: 1-Politica<br />
La política <strong>de</strong> seguridad tiene por objetivo<br />
aportar <strong>las</strong> directrices <strong>de</strong> la seguridad <strong>de</strong> la<br />
información <strong>de</strong> acuerdo con los requerimientos y<br />
legislación vigente; fundament<strong>al</strong> para la<br />
implantación <strong>de</strong>l resto <strong>de</strong> los controles.<br />
Entregable: Politica <strong>de</strong> seguridad publicada y firmada por junta directiva
<strong>Alcance</strong> <strong>de</strong> <strong>las</strong> <strong>Normas</strong> <strong>aplicables</strong> <strong>al</strong> <strong>Sector</strong><br />
SGSI: 2-Organización<br />
Implica la creación <strong>de</strong> un <strong>com</strong>ité que supervisará<br />
los diferentes aspectos <strong>de</strong> la seguridad <strong>de</strong> la<br />
información; será el grupo que tendrá el apoyo<br />
directo <strong>de</strong> la <strong>al</strong>ta gerencia y podrá conceptuar y<br />
<strong>de</strong>cidir sobre los cambios <strong>de</strong>l SGSI.<br />
Entregable: Documento <strong>de</strong> creación <strong>de</strong>l <strong>com</strong>ité, sus miembros y funciones.
<strong>Alcance</strong> <strong>de</strong> <strong>las</strong> <strong>Normas</strong> <strong>aplicables</strong> <strong>al</strong> <strong>Sector</strong><br />
SGSI: 3-Gestion <strong>de</strong> activos<br />
Este dominio promueve la protección y<br />
tratamiento <strong>de</strong> los activos <strong>de</strong> información<br />
importantes para la organización; establece<br />
responsabilida<strong>de</strong>s sobre ellos y c<strong>las</strong>ifica la<br />
información basada en su confi<strong>de</strong>nci<strong>al</strong>idad<br />
Entregable: Documento con la c<strong>las</strong>ificación <strong>de</strong> los activos <strong>de</strong> información
<strong>Alcance</strong> <strong>de</strong> <strong>las</strong> <strong>Normas</strong> <strong>aplicables</strong> <strong>al</strong> <strong>Sector</strong><br />
SGSI: 4-Person<strong>al</strong><br />
La seguridad <strong>de</strong> la información <strong>de</strong>pen<strong>de</strong> <strong>de</strong>l recurso<br />
humano (ing.soci<strong>al</strong>), <strong>de</strong>berían implantarse controles <strong>de</strong><br />
seguridad que abarquen el ciclo <strong>de</strong> vida <strong>de</strong> los<br />
trabajadores, <strong>de</strong>s<strong>de</strong> su selección hasta el momento en<br />
que <strong>de</strong>jen la organización.<br />
Entregable: Documento con plan <strong>de</strong> capacitacion sobre políticas <strong>de</strong> seguridad <strong>de</strong> la<br />
información.
<strong>Alcance</strong> <strong>de</strong> <strong>las</strong> <strong>Normas</strong> <strong>aplicables</strong> <strong>al</strong> <strong>Sector</strong><br />
SGSI: 5-Seguridad Física<br />
Aspectos relativos a la seguridad física <strong>de</strong> la<br />
organización, especi<strong>al</strong>mente los <strong>de</strong>stinados a reducir<br />
los riesgos <strong>de</strong> que se produzcan accesos no autorizados<br />
o Interrupciones en <strong>las</strong> activida<strong>de</strong>s; incluye <strong>de</strong>s<strong>de</strong> los<br />
edificios hasta la seguridad física <strong>de</strong> los equipos.<br />
Entregable: Documento <strong>de</strong> auditoria sobre controles existentes y mejoras
<strong>Alcance</strong> <strong>de</strong> <strong>las</strong> <strong>Normas</strong> <strong>aplicables</strong> <strong>al</strong> <strong>Sector</strong><br />
SGSI: 6-Comunicaciones y operaciones<br />
Se tratan todos los aspectos relativos a la<br />
seguridad <strong>de</strong> <strong>las</strong> operaciones.<br />
Consi<strong>de</strong>ra el mayor numero <strong>de</strong> controles leg<strong>al</strong>es y<br />
mecanismos conocidos <strong>de</strong> protección <strong>de</strong> la<br />
información.<br />
Entregable: Documento con sugerencias y soluciones específicas a<strong>de</strong>más <strong>de</strong> la<br />
segregación <strong>de</strong> funciones.
<strong>Alcance</strong> <strong>de</strong> <strong>las</strong> <strong>Normas</strong> <strong>aplicables</strong> <strong>al</strong> <strong>Sector</strong><br />
SGSI: 7-Control <strong>de</strong> acceso<br />
En este punto se trata <strong>de</strong> evitar que person<strong>al</strong> no<br />
autorizado pueda lograr el acceso a la<br />
información que se está protegiendo, pue<strong>de</strong><br />
consi<strong>de</strong>rarse que este dominio se refiere a los<br />
accesos lógicos a la información; no tiene que ver<br />
con lo físico.<br />
Entregable: Documento <strong>de</strong> políticas con segregación <strong>de</strong> roles, gestión<br />
contraseñas.
<strong>Alcance</strong> <strong>de</strong> <strong>las</strong> <strong>Normas</strong> <strong>aplicables</strong> <strong>al</strong> <strong>Sector</strong><br />
SGSI: 8-Adquisicion, mantenimiento y <strong>de</strong>sarrollo <strong>de</strong><br />
Sistemas <strong>de</strong> Información<br />
Re<strong>al</strong>izar pruebas técnicas <strong>com</strong>o:<br />
• Análisis <strong>de</strong> vulnerabilida<strong>de</strong>s <strong>de</strong> la red.<br />
• Pruebas <strong>de</strong> penetración a cada servidor <strong>de</strong> datos.<br />
• Revisión <strong>de</strong> configuraciones <strong>de</strong> dispositivos <strong>de</strong><br />
red.<br />
Entregable: Documento con el resultado <strong>de</strong> <strong>las</strong> pruebas técnicas
<strong>Alcance</strong> <strong>de</strong> <strong>las</strong> <strong>Normas</strong> <strong>aplicables</strong> <strong>al</strong> <strong>Sector</strong><br />
SGSI: 9-Gestion <strong>de</strong> inci<strong>de</strong>ntes<br />
A pesar <strong>de</strong> los anteriores controles pue<strong>de</strong>n<br />
presentarse inci<strong>de</strong>ntes <strong>de</strong> seguridad que se<br />
<strong>de</strong>ben gestionar <strong>de</strong> manera que el impacto que<br />
puedan provocar sea el mínimo posible.<br />
Entregable: Documento <strong>de</strong> tipo plantilla para que el área <strong>de</strong> atención <strong>de</strong><br />
inci<strong>de</strong>ntes pueda manejarlos
<strong>Alcance</strong> <strong>de</strong> <strong>las</strong> <strong>Normas</strong> <strong>aplicables</strong> <strong>al</strong> <strong>Sector</strong><br />
SGSI: 10-Gestion continuidad <strong>de</strong>l negocio<br />
El objetivo <strong>de</strong> la seguridad <strong>de</strong> la información es evitar que <strong>las</strong><br />
activida<strong>de</strong>s propias <strong>de</strong> la organización se vean interrumpidas por<br />
<strong>al</strong>guna circunstancia; los planes <strong>de</strong> continuidad <strong>de</strong> negocio para<br />
cu<strong>al</strong>quier organización son imprescindibles.<br />
Entregables: Documento que muestre el análisis <strong>de</strong>l impacto <strong>de</strong>l negocio en caso <strong>de</strong><br />
<strong>de</strong>sastre.
Entida<strong>de</strong>s <strong>de</strong> Certificación Digit<strong>al</strong> <strong>com</strong>o terceros <strong>de</strong> confianza<br />
16<br />
LEY 527<br />
DECRETO 1747<br />
CIRCULAR UNICA No 10 SIC<br />
SERVICIOS AUTORIZADOS ENTIDAD DE<br />
CERTIFICACIÓN DIGITAL<br />
CERTIFICACIÓN DE FIRMA DIGITAL ESTAMPADO CRONOLÓGICO<br />
SEGURIDAD JURÍDICA<br />
AUTENTICIDAD<br />
INTEGRIDAD<br />
NO REPUDIO<br />
CERTIM@IL CERTIFACTURA<br />
GARANTÍA DE FECHA Y HORA ENVIO Y<br />
RECEPCIÓN DE MENSAJES DE DATOS<br />
SEGURIDAD<br />
ARCHIVO CONFIABLE DE MENSAJE DE<br />
DATOS<br />
ARCHIVO Y<br />
CONSERVACIÓN<br />
PRODUCTOS Y SERVICIOS TRANSVERSALES<br />
CONFIDENCIAL<br />
CONFIANZA<br />
CERTISUBASTA CERTISORTEO<br />
UNIVERSALIDAD<br />
ACCESIBILIDAD<br />
COMODIDAD<br />
POSTERIOR<br />
CONSULTA
Contáctenos: <strong>com</strong>erci<strong>al</strong>@<strong>certicamara</strong>.<strong>com</strong>
GRACIAS<br />
Certicámara.<br />
V<strong>al</strong>i<strong>de</strong>z y seguridad jurídica electrónica<br />
ERICK RINCÓN CARDENAS<br />
erick.rincon@<strong>certicamara</strong>.<strong>com</strong><br />
Confianza en medios electrónicos !