Alcance de las Normas aplicables al Sector - certicamara.com

Hacia una manera segura de proteger 

ERICK RINCÓN CARDENAS 

Gerente General 

erick.rincon@certicamara.com 

Certicámara. 

Validez y seguridad jurídica electrónica 

datos personales 

Confianza en medios electrónicos !

RIESGOS EN LAS COMUNICACIONES ELECTRÓNICAS 

1. Riesgos 

• Suplantación de Identidad; 

• Alteración de los mensajes de datos; 

• Repudio del mensaje de datos; 

• Ausencia de confidencialidad. 

2. Atributos 

• Autenticidad; 

• Integridad 

• No Repudio; 

• Confidencialidad.

REQUISITOS DE EVIDENCIA DIGITAL 

Determinación del Origen – Autenticidad 

Establecimiento de cualquier tipo de alteración del archivo electrónico – 

Integridad 

Fecha en la que comienza y finaliza el período de conservación – 

Extremos de conservación temporal 

Posterior consulta de la información electrónica – Disponibilidad

(vii) Alcance de las Normas aplicables al Sector - 

Etapas para diseñar un SGSI 

Análisis de riesgos: la base de todo el sistema de gestión 

SGSI: 1-Política 

SGSI: 2-Organización 

SGSI: 3-Gestión de activos 

SGSI: 4-Personal 

SGSI: 5-Seguridad Física 

SGSI: 6-Comunicaciones y operaciones 

SGSI: 7-Control de acceso 

SGSI: 8-Adquisición, mantenimiento y desarrollo de Sist. Inf. 

SGSI: 9-Gestión de incidentes 

SGSI: 10-Gestión continuidad del negocio 

SGSI: 11-Legislación Vigente

Alcance de las Normas aplicables al Sector 

Análisis de riesgos: la base de todo el sistema de gestión 

Para la implantación de un SGSI hay que tener 

en cuenta que todas las medidas que se 

implementen en la organización deberán 

justificarse sobre la base del análisis de riesgos 

que se haya realizado previamente. 

Entregable: Inventario de activos valuado con amenazas, controles, 

responsable


SGSI: 1-Politica 

La política de seguridad tiene por objetivo 

aportar las directrices de la seguridad de la 

información de acuerdo con los requerimientos y 

legislación vigente; fundamental para la 

implantación del resto de los controles. 

Entregable: Politica de seguridad publicada y firmada por junta directiva


SGSI: 2-Organización 

Implica la creación de un comité que supervisará 

los diferentes aspectos de la seguridad de la 

información; será el grupo que tendrá el apoyo 

directo de la alta gerencia y podrá conceptuar y 

decidir sobre los cambios del SGSI. 

Entregable: Documento de creación del comité, sus miembros y funciones.


SGSI: 3-Gestion de activos 

Este dominio promueve la protección y 

tratamiento de los activos de información 

importantes para la organización; establece 

responsabilidades sobre ellos y clasifica la 

información basada en su confidencialidad 

Entregable: Documento con la clasificación de los activos de información


SGSI: 4-Personal 

La seguridad de la información depende del recurso 

humano (ing.social), deberían implantarse controles de 

seguridad que abarquen el ciclo de vida de los 

trabajadores, desde su selección hasta el momento en 

que dejen la organización. 

Entregable: Documento con plan de capacitacion sobre políticas de seguridad de la 

información.


SGSI: 5-Seguridad Física 

Aspectos relativos a la seguridad física de la 

organización, especialmente los destinados a reducir 

los riesgos de que se produzcan accesos no autorizados 

o Interrupciones en las actividades; incluye desde los 

edificios hasta la seguridad física de los equipos. 

Entregable: Documento de auditoria sobre controles existentes y mejoras


SGSI: 6-Comunicaciones y operaciones 

Se tratan todos los aspectos relativos a la 

seguridad de las operaciones. 

Considera el mayor numero de controles legales y 

mecanismos conocidos de protección de la 

información. 

Entregable: Documento con sugerencias y soluciones específicas además de la 

segregación de funciones.


SGSI: 7-Control de acceso 

En este punto se trata de evitar que personal no 

autorizado pueda lograr el acceso a la 

información que se está protegiendo, puede 

considerarse que este dominio se refiere a los 

accesos lógicos a la información; no tiene que ver 

con lo físico. 

Entregable: Documento de políticas con segregación de roles, gestión 

contraseñas.


SGSI: 8-Adquisicion, mantenimiento y desarrollo de 

Sistemas de Información 

Realizar pruebas técnicas como: 

• Análisis de vulnerabilidades de la red. 

• Pruebas de penetración a cada servidor de datos. 

• Revisión de configuraciones de dispositivos de 

red. 

Entregable: Documento con el resultado de las pruebas técnicas


SGSI: 9-Gestion de incidentes 

A pesar de los anteriores controles pueden 

presentarse incidentes de seguridad que se 

deben gestionar de manera que el impacto que 

puedan provocar sea el mínimo posible. 

Entregable: Documento de tipo plantilla para que el área de atención de 

incidentes pueda manejarlos


SGSI: 10-Gestion continuidad del negocio 

El objetivo de la seguridad de la información es evitar que las 

actividades propias de la organización se vean interrumpidas por 

alguna circunstancia; los planes de continuidad de negocio para 

cualquier organización son imprescindibles. 

Entregables: Documento que muestre el análisis del impacto del negocio en caso de 

desastre.

Entidades de Certificación Digital como terceros de confianza 

16 

LEY 527 

DECRETO 1747 

CIRCULAR UNICA No 10 SIC 

SERVICIOS AUTORIZADOS ENTIDAD DE 

CERTIFICACIÓN DIGITAL 

CERTIFICACIÓN DE FIRMA DIGITAL ESTAMPADO CRONOLÓGICO 

SEGURIDAD JURÍDICA 

AUTENTICIDAD 

INTEGRIDAD 

NO REPUDIO 

CERTIM@IL CERTIFACTURA 

GARANTÍA DE FECHA Y HORA ENVIO Y 

RECEPCIÓN DE MENSAJES DE DATOS 

SEGURIDAD 

ARCHIVO CONFIABLE DE MENSAJE DE 

DATOS 

ARCHIVO Y 

CONSERVACIÓN 

PRODUCTOS Y SERVICIOS TRANSVERSALES 

CONFIDENCIAL 

CONFIANZA 

CERTISUBASTA CERTISORTEO 

UNIVERSALIDAD 

ACCESIBILIDAD 

COMODIDAD 

POSTERIOR 

CONSULTA

Contáctenos: comercial@certicamara.com

GRACIAS 

Certicámara. 

Validez y seguridad jurídica electrónica 

ERICK RINCÓN CARDENAS 

erick.rincon@certicamara.com 

Confianza en medios electrónicos !

Alcance de las Normas aplicables al Sector - certicamara.com

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?