La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

LA NUBE DIGITAL.

Publicada porGil Zara Modificado hace 10 años

Presentaciones similares

Presentación del tema: "LA NUBE DIGITAL."— Transcripción de la presentación:

1 LA NUBE DIGITAL

2 LA NUBE DIGITAL Estamos preparados desde el punto de vista legal para enviar a la nube la información de nuestros Consumidores Financieros y la información propia de la entidad financiera? La regulación consagra alguna limitación? Qué debemos tener en cuenta al momento de decidir si enviamos información a la nube?

3 Agenda Contexto Definiciones básicas Características, ventajas y riesgos Regulación Conclusiones

4 La Tecnología está cambiado la forma como operamos y
CONTEXTO La Tecnología está cambiado la forma como operamos y la forma como almacenar y acceder a la información SABEMOS DONDE SE ENCUENTRA LA INFORMACIÓN. ADQUIRIMOS NUESTRA PROPIA INFRAESTRUCTURA TECNOLOGICA CONOCEMOS CADA UNO DE LOS APLICATIVOS Y SUS LIMITACIONES DE CAPACIDAD LICENCIAS DE SOFWARE REQUERIDAS PARA NUESTRA OPERACIÓN ESTRUCTURAMOS Y DEFINIMOS NUESTROS PERFILES DE SEGURIDAD PARA EL ACCESO A LA INFORMACION INTERESA LA DISPONIBILIDAD ACCESO A LA INFORMACIÓN DESDE CUALQUIER LUGAR DEL MUNDO BAJOS COSTOS EN ALMACENAMIENTO DE LA INFORMACIÓN DESPREOCUPARSE DE LA OBSOLECENCIA. CONTAR CON PERFILES DE ACCESO - DEFINIDOS POR EL PROVEEDOR. PROTEGER LA CONFIDENCIALIDAD DE LA INFORMACION Y SU INTEGRIDAD

5 Agenda Contexto Definiciones básicas Características, ventajas y riesgos Regulación Conclusiones

6 SERVICIO DEFINICIONES BASICAS
Es la posibilidad de acceder a la información, previamente entregada a un tercero (pública) o que tiene la Compañía (privada), a través de un medio como internet, desde cualquier dispositivo y en cualquier parte del mundo. Trasladar la información a empresas que tienen grandes centros de computo. SERVICIO Google Amazon Orientado a infraestructura y plataformas Correo electrónico y Herramientas de escritorio Eliminar este formato definir la agenda al final Sales Force CRM

7 PLATAFORMA COMO SERVICIO INFRAESTRUCTURA COMO SERVICIO
DEFINICIONES BASICAS TIPOS DE SERVICIO EN LA NUBE El cliente usa las aplicaciones del proveedor corriendo en una infraestructura en la nube. Las aplicaciones son accesibles por varios clientes (dispositivos) a través de una interfaz, como por ejemplo un navegador web. SOFTWARE COMO SERVICIO 3 Usar una infraestructura en la nube para adquirir o crear aplicaciones usando lenguajes de programación y herramientas que son soportadas por el proveedor. PLATAFORMA COMO SERVICIO Jefatura 2 Capacidad de proveer recursos fundamentales de computación, ofreciendo al cliente la capacidad de desplegar y correr software, que puede incluir sistemas operativos y aplicaciones. INFRAESTRUCTURA COMO SERVICIO (Sistema Operativo) 1

8 Descripción de la infraestructura
DEFINICIONES BASICAS CLASES DE NUBE Modelo Descripción de la infraestructura en la nube Para ser considerado Nube Privada Orientada a servir a una empresa Puede ser administrada por la organización o un tercero Puede existir dentro o fuera de la organización Servicios en la nube con riesgo mínimo. No provee la agilidad de un servicio de nube pública. Nube Pública Está disponible para el público general o un grupo de industria grande. Adquirida por una organización que ofrece los servicios de computación en la nube. La información pueden ser almacenada con información de terceros. La información puede ser almacenada en sitios desconocidos. Nube Híbrida Es una composición de dos o más nubes que deja entidades únicas pero están ligadas por estándares o tecnologías propietarias que permiten la portabilidad de aplicaciones y datos. Agrega riesgos de fusión en diferentes modelos de despliegue. Pública Hibrida Comunidad Privada Eliminar este formato definir la agenda al final

9 Agenda Contexto Definiciones básicas Características, ventajas y riesgos Regulación Conclusiones

10 PRINCIPALES CARACTERISTICAS
Se contrata un servicio Se garantiza un resultado Estandarización Disponibilidad: 7 x 24 Ubicuidad: Diferente dispositivo En cualquier lugar En cualquier momento Capacidad: se selecciona de acuerdo con las necesidades Menor costo

11 ATRIBUTOS O VENTAJAS Basado en el servicio: Basado en cumplimiento de niveles de servicio (disponibilidad, tiempo de respuesta, performance versus precio, limpieza y procesos operacionales predefinidos). Escalable y elástico: La escalabilidad consiste en que el servicio puede aumentar o disminuir su capacidad tal como el consumidor la demande. Compartido: Los servicios comparten un pool de recursos los cuales son usados por múltiples usuarios y múltiples necesidades con la máxima eficiencia. Medible por uso: Los planes de pago estarán basados en el uso de los servicios (en términos de horas, transferencia de datos u otros atributos) y no en el costo de los equipos. Usa tecnologías de Internet: El servicio es entregado usando identificadores, formatos y protocolos de internet. Implementación rápida: al no permitir muchas personalizaciones – estándar.

12 RIESGOS Confidencialidad: (perdida de información o acceso a la información) Proveedor Interceptación de información Terceros Hurto, acceso ilegal, etc. Capacidad reducida de monitoreo Regulación Nacional e Internacional – conflictos de leyes Contingencia del Proveedor – disponibilidad Seguros: cobertura Dependencia de telecomunicaciones y del proveedor Recuperación de la información en el evento de un desastre Riesgo reputacional por disponibilidad o perdida de información

13 Agenda Contexto Definiciones básicas Características, ventajas y riesgos Regulación Conclusiones

14 INFORMACION INTERNACIONAL
Primera clasificación según  el grado de preparación de los países para la promoción del crecimiento del mercado global integrado en la nube. La clasificación evaluó las leyes y reglamentaciones en países que representan el 80% de la tecnología de información y comunicación del mundo, en siete áreas: Privacidad de datos Seguridad digital Crimen digital Propiedad intelectual Interoperabilidad tecnológica Armonía legal Libre comercio Infraestructura de T.I Fuente. BSA (Business Software Alliance) marzo de 2012

15 Fuente: BSA (Business Software Alliance ) marzo 2.012
INFORMACION INTERNACIONAL Fuente: BSA (Business Software Alliance ) marzo 2.012

16 REGULACION COLOMBIA Ley 1266 de 2008 Régimen Financiero – Reserva bancaria Ley 1273 de 2009 Circulares Externas 052 de – 022 de de 2.012

17 REGULACION COLOMBIANA LEY 1266 DE 2008
Mecanismos para la Protección del derecho de la información contenida en bases de datos administrados por entidades públicas o privadas. Dato personal: Es cualquier información de una persona y puede ser : Dato público: contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas. Conocido sin restricción. Dato semiprivado: Es el que no es íntimo, ni reservado, ni público, pero puede interesar a un sector o grupo (ej. Dato financiero o crediticio) Dato privado: Sólo interesa al titular.

18 REGULACION COLOMBIANA
LEY 1266 DE 2008 TITULAR FUENTE OPERADOR DE INFORMACION La persona natural o jurídica a quien se refiere la información que reposa en un banco de datos La persona, entidad u organización que recibe de la fuente datos personales de los titulares de la información, los administra y los pone en conocimiento de los usuarios bajo los parámetros de la ley. Persona, entidad u organización que recibe o conoce datos personales de los titulares, en virtud de una relación de cualquier otra índole y que, en virtud de la autorización legal o del titular, suministra esos datos a un operador de información, el que a su vez los entregará al usuario Persona natural o jurídica que puede acceder a información personal los titulares de la información suministrada por el operador o por la fuente, o directamente por el titular de la información. USUARIO

19 REGULACION COLOMBIANA
LEY 1266 DE 2008 La administración de datos semi-privados y privados requiere el consentimiento previo y expreso del titular de los datos, salvo en el caso del dato financiero, crediticio, comercial, de servicios y proveniente de terceros países. Los operadores de los bancos de datos están obligados, entre otras cosas, a conservar con las debidas seguridades los registros almacenados para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento. Los usuarios que quieran enviar datos financieros al exterior sin contar con la autorización del titular, deben verificar la legislación del país a donde envía la información ofrezca garantías suficientes para la protección de los derechos del titular de la información.

20 REGULACION COLOMBIANA RESERVA BANCARIA
Amparada en el derecho constitucional a la intimidad. Deber que tienen los funcionarios de las entidades financieras: Guardar reserva y discreción sobre los datos de sus clientes o sobre aquellos relacionados con la situación propia de la compañía, que conozcan en desarrollo de su profesión u oficio. El deber de discreción se extiende al uso adecuado de la información recibida, bajo los términos en que les haya sido proporcionada. Las entidades financieras solo suministrarán la información a quienes legalmente se encuentren autorizados para solicitarla.

21 REGULACION COLOMBIANA Ley 1273 de 2009 – Código Penal
Conocida como la Ley de Delitos informáticos. Adiciona al Código Penal Colombiano - bien jurídico tutelado: “De la Protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”. “De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos” “De los atentados informáticos y otras infracciones” Cuatro grupos de criminalidad informática

22 REGULACION COLOMBIANA
Ley 1273 de 2009 – Código Penal Intrusismo Informático (acceso): ingresar ilegalmente al sistema informático – por fuera de lo establecido o si estar previamente facultado para hacerlo. 269A – Acceso abusivo a sistema informático. Espionaje acceso + interceptación: 269C – Interceptación de datos informáticos. Informático: F – Violación de Datos personales. 269G – Suplantación de sitio web para capturar datos personales ej. Fishing Sabotaje: daño a la información u obstrucción al sistema informático: 269B – Obstaculización ilegitima de sistema informático o red de telecomunicación. 269D – Daño Informático. 269E – Uso de software malicioso. Fraude Informático: 269I – Hurto por medios informáticos y semejantes. 269J – Transferencia no consentida de activos. El artículo 269H estipula como agravante para todos estos delitos cuando se cometen contra el sector financiero, aumentando la pena de la mitad a las ¾ partes.

23 REGULACION COLOMBIANA
Circular Externa 052 de 2007 – 022 de de 2012 Superintendencia Financiera de Colombia Medidas de seguridad y la calidad en el manejo de la información de los clientes y usuarios de las entidades vigiladas a través de los diferentes canales. Seguridad información confidencial Seguridad en la información de los clientes que se maneja en equipos y redes de la entidad Terminales, equipos de computo y redes locales dotados de elementos que impidan captura de información Disponer de Hardware, software y equipos de telecomunicaciones, procedimientos y controles para prestar servicio en condiciones de seguridad y calidad Segregación de funciones de los funcionarios con acceso a dispositivos y sistemas usados en canales y medios. Obligaciones generales que aplican a todos los canales, y otras específicas, según el tipo de canal. - requisitos mínimos para las operaciones realizadas a través de Internet. Requisitos cuando se contrate en outsourcing la operación parcial o total canales y tenga acceso a información confidencial Procedimiento para la selección del proveedor Previsiones contractuales Planes de contingencia y continuidad del proveedor Cifrado fuerte para recepción y envío de información confidencial Procedimientos para verificación del cumplimiento de las obligaciones a cargo del proveedor Disponibilidad operación para clientes – contingencia en los eventos de fallas, etc.

24 Agenda Contexto Definiciones básicas Características, ventajas y riesgos Regulación Conclusiones

25 CONCLUSIONES Grandes bondades para el desarrollo de productos y servicios – almacenamiento información Clasificación información sensible: clasificación de los datos y análisis de riesgo al entregar información sensible a un proveedor. Regulación local e Internacional – viabilidad de entregar información. Seguridad: Facultad de autoridades del país donde reposará la información para su aprehensión y conocimiento. – Normas de protección de la Información - ¨Propiedad Intelectual Políticas de Buen Gobierno y riesgo en el manejo de la información por parte del proveedor. Contingencias – disponibilidad - perfiles de acceso - identidad protegida.

26 Proceso de selección de los proveedores más exigente:
CONCLUSIONES Proceso de selección de los proveedores más exigente: Objetivos del proyecto – selección del proveedor – clase de servicio en la nube y tipo de nube Lista de proveedores Experiencia y trayectoria del proveedor Políticas de Buen Gobierno en el manejo de la información, incluyendo forma de almacenamiento Estándares de seguridad Políticas de continuidad del negocio Servicio del proveedor (disponibilidad, protocolos de seguridad, contingencia, servicio, etc.) Seguros - Cobertura El proveedor del servicio: no es un operador y no es usuario (Ley habeas data) La alta disponibilidad que ofrezcan los proveedores no exime a las entidades financieras de garantizar la disponibilidad al Consumidor Financiero. Debemos mitigar el riesgo desde el punto de vista contractual, si la legislación permite su entrega.

27 CONTRATO Negociación Elaboración del contrato Ejecución del contrato La contratación en la nube compromete la responsabilidad de la entidad. va más allá de las bondades económicas y tecnológicas. Para ir a la nube se requiere de un contrato debidamente estructurado, en el cual se garantice, entre otras: Propiedad de la información. La custodia de la información y políticas de protección de datos Certificación confidencialidad de la información No acceso y alteración de la información Disponibilidad y medidas de contingencia Protocolos de seguridad (empleados, contratistas, terceros) Protección virus Protección frente autoridades del país donde se almacenará la información Independencia de la información Solución de controversias Niveles de servicio Devolución a la terminación en el estado en que la recibió y en las condiciones pactadas. Destrucción de copias Sanciones en el evento de incumplimiento Recuperación en el evento de desastres. Costos – renovación Conflicto de Leyes

28 CONTRATO Negociación Elaboración del contrato Ejecución del contrato Herramienta de administración de riesgos tecnológicos, metodológicos y jurídicos. Todos estos temas no pueden surgir en la negociación del contrato, debe surgir desde la formulación del proyecto. Tecnología Seguridad Jurídico

29 MUCHAS GRACIAS Maria Adelayda Calle Correa
Directora Jurídica de Intermediación Financiera

Descargar ppt "LA NUBE DIGITAL."

Presentaciones similares

Esta presentación es una interpretación normativa actual sobre la Ley de Habeas Data hecha por el Departamento Jurídico de Bancóldex, razón por la cual,

Esta presentación es una interpretación normativa actual sobre la Ley de Habeas Data hecha por el Departamento Jurídico de Bancóldex, razón por la cual,
Personas físicas o jurídicas que contratan a título oneroso para su consumo final la adquisición o locación de bienes o servicios. No se incluyen bienes.

Personas físicas o jurídicas que contratan a título oneroso para su consumo final la adquisición o locación de bienes o servicios. No se incluyen bienes.
Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
Nuevas tecnologías Nuevos problemas…. Dificultades producidas por las computadoras Alteran las relaciones entre las personas. Alteran las relaciones entre.

Nuevas tecnologías Nuevos problemas…. Dificultades producidas por las computadoras Alteran las relaciones entre las personas. Alteran las relaciones entre.
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.

SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
EVALUACION DEL PERSONAL

EVALUACION DEL PERSONAL
HACIA UN MINISTERIO AGIL, ACERTADO Y CONFIABLE Dirección General de Regulación Financiera Ministerio de Hacienda y Crédito Público República de Colombia.

HACIA UN MINISTERIO AGIL, ACERTADO Y CONFIABLE Dirección General de Regulación Financiera Ministerio de Hacienda y Crédito Público República de Colombia.
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
RED EN LA NUBE LEE GOMEZ FEIST.

RED EN LA NUBE LEE GOMEZ FEIST.
EL SISTEMA DE PAGOS Y SU DESARROLLO OLVER BERNAL Mercado de Capitales e Instituciones Financieras Especialista Financiero.

EL SISTEMA DE PAGOS Y SU DESARROLLO OLVER BERNAL Mercado de Capitales e Instituciones Financieras Especialista Financiero.
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio © Roberto Keil Montoya Expositor III Congreso de Prevención del Fraude y Seguridad.

Derechos Reservados - El enfoque exacto para su negocio © Roberto Keil Montoya Expositor III Congreso de Prevención del Fraude y Seguridad.
Introducción a los sistemas de Información Hospitalarios

Introducción a los sistemas de Información Hospitalarios
LA SEGURIDAD INFORMATICA Y LA PROTECCIÓN DE DATOS

LA SEGURIDAD INFORMATICA Y LA PROTECCIÓN DE DATOS
Ley De Servicios De La Sociedad De La INFORMACION Y Del Comercio ELECTRÓNICO.

Ley De Servicios De La Sociedad De La INFORMACION Y Del Comercio ELECTRÓNICO.
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Evaluación de Productos

Evaluación de Productos
PRINCIPIOS RECTORES. De manera general los principios son las bases de todo ordenamiento legal, que sirven como criterios orientadores e interpretativos.

PRINCIPIOS RECTORES. De manera general los principios son las bases de todo ordenamiento legal, que sirven como criterios orientadores e interpretativos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN
Políticas de Seguridad por Julio César Moreno Duque

Políticas de Seguridad por Julio César Moreno Duque
CASOS APLICADOS LEY 1273.

CASOS APLICADOS LEY 1273.

Presentaciones similares

Anuncios Google