seguridad informatica auditoria
TRANSCRIPT
![Page 1: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/1.jpg)
LA SEGURIDAD
INFORMATICA Y LA
PROTECCIÓN DE DATOS.
Diego Llanes GómezE-mail: [email protected]
Auditoria de SistemasSIGUIENTE
![Page 2: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/2.jpg)
SIGUIENTE
![Page 3: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/3.jpg)
Datos. Sistemas informáticos. Datos Personales – Datos Nominativas. Derechos de los titulares de Datos
Personales. Implicaciones frente al derecho de
Propiedad Intelectual. Implicaciones frente a los derechos de la
persona. Tratamiento automatizado de datos Norma ISO 27.000 Conclusiones.
![Page 4: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/4.jpg)
Información de cualquier índole, digitalizada o numerizada.
Clases:
Especificaciones técnicas o procedimentales.
Datos comerciales (violación del secreto
de la empresa).
Datos personales – nominativos.
Datos de transacción.
Volver
![Page 5: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/5.jpg)
Riesgos tradicionales frente a la protección de datos:
- Capacidad de memoria -almacenamiento.
- Alta concentración de información.
- Rapidez de los tratamientos informáticos.
- Interconexión de archivos o bases de datos.
- Vulnerabilidad de los sistemas.
Volver
SIGUIENTE
![Page 6: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/6.jpg)
Nuevos riesgos frente a la protección de datos:
- Puesta en red de los sistemas informáticos (Internet).
- Internacionalización (Acuerdo EU-UE empresas privadas).
- Miniaturización y potencialización de medios soporte (Chips).
- Comercio electrónico (Datos bancarios, firma electrónica).
Volver
SIGUIENTE
![Page 7: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/7.jpg)
Comercio electrónico.
• Riesgos en la transmisión de datos:
- Una persona no autorizada puede interceptar datos transferidos por las redes.
- Puede conocer datos y alterarlos.
- La integridad de los datos del comercio electrónico debe ser asegurada.
- La seguridad reposa en la confidencialidad.
Volver
SIGUIENTE
![Page 8: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/8.jpg)
Comercio electrónico.
• Amenazas entorno a la autenticidad.
- Alguna de las partes puede utilizar una identificación falsa. La funsión de seguridad consiste en certificar que la oferta y la demanda conrresponde a su verdadero autor.
• Amenazas para el pago.
- Riesgos de no pago de las transacciones.
Volver
SIGUIENTE
![Page 9: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/9.jpg)
Comercio electrónico.
- Ventas realizadas con una falsa identidad.
- Utilización de cuentas bancarias no válidas.
- Pagos con números de cartas de crédito falsos.
Volver
![Page 10: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/10.jpg)
La información que permite, directa o indirectamente, la identificación de una persona natural (# de identificación, imagen, huella).
Directamente No deben combinarse
nominativos con otros para arrivar
a la identificación.
Volver
![Page 11: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/11.jpg)
El deber ser: Los sistemas informáticos deben permitir:- Derecho de acceso.- El titular de los datos
personales puede exigir rectificación, complemento, clarificación, actualización o eliminación de datos que le conciernan y que sean inexactos, incompletos o erróneos.
- Derecho a la seguridad.- Toda persona responsable del manejo de datos personales debe obligarse frente a sus titulares por la integridad de los datos.
Volver
![Page 12: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/12.jpg)
El deber ser: Los sistemas informáticos deben
permitir:- Derecho de rectificación.- En
relación con información inexacta.
- Derecho de información.- Es necesario que las personas sean informada que han sido incluidas dentro de un sistema informático.
Volver
![Page 13: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/13.jpg)
Comercio electrónico –intercambio
electrónico de datos (local o internacional).
Derechos de autor. (Violación de los derechos del titular –reproducción y comunicación).
Derecho de marcas.- Uso indebido.
Volver
![Page 14: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/14.jpg)
Los sistemas informáticos deben asegurar:
- Respeto de la vida privada e intimidad.- Protección de datos relativos a la salud, vida sexual, vida familiar, opiniones y convicciones.
Volver
![Page 15: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/15.jpg)
Conjunto de operaciones realizadas por medios automáticos.
Relativos a la colecta, el registro, la elaboración, la modificación, la conservación, y la destrucción de información nominativa.
Explotación de archivos o de bases de datos. La interconexión, consultación o comunicación
de información nominativa. Toda persona tiene el derecho de oponerse al
tratamiento automatizado de sus datos.
Volver
![Page 16: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/16.jpg)
ISO 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.
Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.
Volver
SIGUIENTE
![Page 17: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/17.jpg)
ISO 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI).
ISO 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida
Volver
![Page 18: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/18.jpg)
• La ausencia de desarrollo legal en la protección de
datos no puede servir de excusa para hacer uso indebido de los mismos a través de sistemas informáticos.
• La seguridad informática no por la seguridad de los sistemas informáticos en si mismos sino por la protección de los datos que ellos contienen.
• No se trata de una seguridad informática puramente técnica sino con amplias implicaciones jurídicas.
Volver
SIGUIENTE
![Page 19: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/19.jpg)
• Proyecto de ley No 129 de 2004 del Senado de la República de Colombia, por el cual se regula el derecho de habeas data.
www.Cnil.fr – Comisión Nacional de informática y libertades de Francia.
• Código Penal Colombiano.
Volver
SIGUIENTE
![Page 20: Seguridad informatica auditoria](https://reader034.vdocuments.net/reader034/viewer/2022052508/559c54d81a28abb61c8b465b/html5/thumbnails/20.jpg)
GRACIAS