LA NUBE DIGITAL.

Slides:



Advertisements
Presentaciones similares
Esta presentación es una interpretación normativa actual sobre la Ley de Habeas Data hecha por el Departamento Jurídico de Bancóldex, razón por la cual,
Advertisements

Personas físicas o jurídicas que contratan a título oneroso para su consumo final la adquisición o locación de bienes o servicios. No se incluyen bienes.
Intranets P. Reyes / Octubre 2004.
Nuevas tecnologías Nuevos problemas…. Dificultades producidas por las computadoras Alteran las relaciones entre las personas. Alteran las relaciones entre.
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
EVALUACION DEL PERSONAL
HACIA UN MINISTERIO AGIL, ACERTADO Y CONFIABLE Dirección General de Regulación Financiera Ministerio de Hacienda y Crédito Público República de Colombia.
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
RED EN LA NUBE LEE GOMEZ FEIST.
EL SISTEMA DE PAGOS Y SU DESARROLLO OLVER BERNAL Mercado de Capitales e Instituciones Financieras Especialista Financiero.
Derechos Reservados - El enfoque exacto para su negocio © Roberto Keil Montoya Expositor III Congreso de Prevención del Fraude y Seguridad.
Introducción a los sistemas de Información Hospitalarios
LA SEGURIDAD INFORMATICA Y LA PROTECCIÓN DE DATOS
Ley De Servicios De La Sociedad De La INFORMACION Y Del Comercio ELECTRÓNICO.
Auditoria Informática Unidad II
Evaluación de Productos
PRINCIPIOS RECTORES. De manera general los principios son las bases de todo ordenamiento legal, que sirven como criterios orientadores e interpretativos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Políticas de Seguridad por Julio César Moreno Duque
CASOS APLICADOS LEY 1273.
LEY HÁBEAS DATA. LEY HÁBEAS DATA Ley Hábeas Data Conocer, actualizar y rectificar sus datos es un derecho constitucional, por eso es importante que.
LA SEGURIDAD EN LAS TRANSACCIONES FINANCIERAS Experiencia del Servicio de Reclamaciones del Banco de España Mª Luisa García Jefa del Servicio de Reclamaciones.
Ley de delitos informáticos
ÉTICAY SISTEMAS DE INFORMACIÓN
“Adopción de SGSI en el Sector Gobierno del PERÚ”
Integrantes Grupo 7 Controles de procesos de datos El aspecto principal de la evaluación que de los controles internos que haga el auditor, es determinar.
Ley N° 30024, Ley que crea el Registro Nacional de Historias Clínicas Electrónicas RENHICE.
Computación en la Nube UASF.
Foro Nacional de Certificación y Firma Electrónica Ing. Karola Guerrero FUNDAMENTOS Y NORMATIVA LEGAL DE CERTIFICACIÓN.
Unidad 5 EL CENTRO DE PROCESAMIENTO DE DATOS Y LA SEGURIDAD EN LA AUDITORÍA INFORMÁTICA.
Sitios Web de Comercio Electrónico Compra y venta de productos o de servicios a través de medios electrónicos a nivel mundial Compra-venta online a las.
 En internet existen millones de archivos con toda clase de contenidos. Si contamos solo los archivos que puede haber en un ordenador personal existen.
Introducción a la investigación de mercados
Mauricio Rodríguez Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
SEGURIDAD DE LA INFORMACIÓN
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
RECOMENDACIONES SOBRE LA LEY HÁBEAS DATA Autor: Ceira Morales Quiceno
“condición que necesita el usuario para resolver un problema o conseguir un objetivo determinado”. Los requisitos de un sistema son los aspectos que el.
El art. 24 del Reglamento de Medidas de Seguridad. La perspectiva de Oracle como fabricante de software y la experiencia en la Junta de Castilla y León.
Delitos Informáticos. Qué son los Delitos Informáticos? Los Delitos Informáticos son todos los actos que permiten la comisión de agravios, daños o perjuicios.
La protección de datos en el sector salud en México Lina Ornelas Núñez Directora General de Clasificación y Datos Personales IFAI 14 de noviembre de 2008.
Proveedores de servicios externos
ADMINISTRACIÓN DE CENTROS DE COMPUTO ALUMNO. ARTHUR LEANDRO CÉSPEDES LLERENA.
LA CONTRATACIÓN ELECTRÓNICA DE SERVICIOS FINANCIEROS
Aplicado a Negocios Hecho por Jocelyne Gutierrez
Nicol P. Rosario COIS 202 RESPONSABILIDAD ÉTICA, SOCIAL Y LEGAL RELATIVA AL USO ADECUADO DE LAS TIC’S.
Esta presentación es una interpretación normativa actual sobre la Ley de Habeas Data hecha por el Departamento Jurídico de Bancóldex, razón por la cual,
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
Daniela Ovando Santander Auditoria de Sistemas
RIESGO LEGAL 22 de agosto del 2014
PRIVACIDAD Y SEGURIDAD DE DATOS.   En Halliburton, es posible que acceda a información confidencial, personal o reservada que requiera protección. Cuando.
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
HABEAS DATA LEY 1266 DE 2008.
Modificaciones ACUERDO SUGEF 7-06 “Reglamento del CIC”
ACCESO A LA INFORMACIÓN PÚBLICA IMPLEMENTACIÓN DE LA LEY MINISTERIO DE DESARROLLO SOCIAL 13 DE JULIO DE 2011.
Computación en la Nube.
Capacitación Sistema de Gestión Documental Quipux
SEGURIDAD EN LA CONEXIÓN CON REDES PÚBLICAS. Técnicas de Cifrado: El cifrado es un método que permite aumentar la seguridad de un mensaje o de un archivo.
Jorge Pinto Jhonatan Montenegro V.. 1. Relación entre auditoria y los sistemas de información  Auditoría: Es aplicado como elemento de control en especial.
Ley 1581 de ¿Qué se ha de entender por protección de datos personales? 1. Junto con el Habeas data, hace parte de los derechos del consumidor. 2.
HABEAS DATA Es el derecho que tienen todas las personas de conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos.
NORMATIVIDAD NACIONAL
Company LOGO INICIATIVAS RESPONSABLES DEL SECTOR FINANCIERO: Educación Financiera para Clientes Superintendencia de Servicios Financieros Cr. Jorge Ottavianelli.
Diccionario/Directorio de Datos
Agenda Por qué el cambio? Antecedentes Premisas Estrategia de Implementación Esquema de emisión de Documentos Electrónicos.
Auditoría y Seguridad de Sistemas de Información Impacto Comercio Electrónico MBA Luis Elissondo.
Proyectos de Inversión 2015 Superintendencia Nacional de Salud.
UNIVERSIDAD DE PANAMÁ FACULTAD DE INFORMÁTICA PREPARADOR DIAMILETHZY DIAZ SUIRY GÓNDOLA.
LA NUBE. DEFINICIÓN  Es la nueva moda de utilizar las herramientas informáticas.  Toda los programas e información pasa a estar almacenada en servidores.
Transcripción de la presentación:

LA NUBE DIGITAL

LA NUBE DIGITAL Estamos preparados desde el punto de vista legal para enviar a la nube la información de nuestros Consumidores Financieros y la información propia de la entidad financiera? La regulación consagra alguna limitación? Qué debemos tener en cuenta al momento de decidir si enviamos información a la nube?

Agenda Contexto Definiciones básicas Características, ventajas y riesgos Regulación Conclusiones

La Tecnología está cambiado la forma como operamos y CONTEXTO La Tecnología está cambiado la forma como operamos y la forma como almacenar y acceder a la información SABEMOS DONDE SE ENCUENTRA LA INFORMACIÓN. ADQUIRIMOS NUESTRA PROPIA INFRAESTRUCTURA TECNOLOGICA CONOCEMOS CADA UNO DE LOS APLICATIVOS Y SUS LIMITACIONES DE CAPACIDAD LICENCIAS DE SOFWARE REQUERIDAS PARA NUESTRA OPERACIÓN ESTRUCTURAMOS Y DEFINIMOS NUESTROS PERFILES DE SEGURIDAD PARA EL ACCESO A LA INFORMACION INTERESA LA DISPONIBILIDAD ACCESO A LA INFORMACIÓN DESDE CUALQUIER LUGAR DEL MUNDO BAJOS COSTOS EN ALMACENAMIENTO DE LA INFORMACIÓN DESPREOCUPARSE DE LA OBSOLECENCIA. CONTAR CON PERFILES DE ACCESO - DEFINIDOS POR EL PROVEEDOR. PROTEGER LA CONFIDENCIALIDAD DE LA INFORMACION Y SU INTEGRIDAD

Agenda Contexto Definiciones básicas Características, ventajas y riesgos Regulación Conclusiones

SERVICIO DEFINICIONES BASICAS Es la posibilidad de acceder a la información, previamente entregada a un tercero (pública) o que tiene la Compañía (privada), a través de un medio como internet, desde cualquier dispositivo y en cualquier parte del mundo. Trasladar la información a empresas que tienen grandes centros de computo. SERVICIO Google Amazon Orientado a infraestructura y plataformas Correo electrónico y Herramientas de escritorio Eliminar este formato definir la agenda al final Sales Force CRM

PLATAFORMA COMO SERVICIO INFRAESTRUCTURA COMO SERVICIO DEFINICIONES BASICAS TIPOS DE SERVICIO EN LA NUBE El cliente usa las aplicaciones del proveedor corriendo en una infraestructura en la nube. Las aplicaciones son accesibles por varios clientes (dispositivos) a través de una interfaz, como por ejemplo un navegador web. SOFTWARE COMO SERVICIO 3 Usar una infraestructura en la nube para adquirir o crear aplicaciones usando lenguajes de programación y herramientas que son soportadas por el proveedor. PLATAFORMA COMO SERVICIO Jefatura 2 Capacidad de proveer recursos fundamentales de computación, ofreciendo al cliente la capacidad de desplegar y correr software, que puede incluir sistemas operativos y aplicaciones. INFRAESTRUCTURA COMO SERVICIO (Sistema Operativo) 1

Descripción de la infraestructura DEFINICIONES BASICAS CLASES DE NUBE Modelo Descripción de la infraestructura en la nube Para ser considerado Nube Privada Orientada a servir a una empresa Puede ser administrada por la organización o un tercero Puede existir dentro o fuera de la organización Servicios en la nube con riesgo mínimo. No provee la agilidad de un servicio de nube pública. Nube Pública Está disponible para el público general o un grupo de industria grande. Adquirida por una organización que ofrece los servicios de computación en la nube. La información pueden ser almacenada con información de terceros. La información puede ser almacenada en sitios desconocidos. Nube Híbrida Es una composición de dos o más nubes que deja entidades únicas pero están ligadas por estándares o tecnologías propietarias que permiten la portabilidad de aplicaciones y datos. Agrega riesgos de fusión en diferentes modelos de despliegue. Pública Hibrida Comunidad Privada Eliminar este formato definir la agenda al final

Agenda Contexto Definiciones básicas Características, ventajas y riesgos Regulación Conclusiones

PRINCIPALES CARACTERISTICAS Se contrata un servicio Se garantiza un resultado Estandarización Disponibilidad: 7 x 24 Ubicuidad: Diferente dispositivo En cualquier lugar En cualquier momento Capacidad: se selecciona de acuerdo con las necesidades Menor costo

ATRIBUTOS O VENTAJAS Basado en el servicio: Basado en cumplimiento de niveles de servicio (disponibilidad, tiempo de respuesta, performance versus precio, limpieza y procesos operacionales predefinidos). Escalable y elástico: La escalabilidad consiste en que el servicio puede aumentar o disminuir su capacidad tal como el consumidor la demande. Compartido: Los servicios comparten un pool de recursos los cuales son usados por múltiples usuarios y múltiples necesidades con la máxima eficiencia. Medible por uso: Los planes de pago estarán basados en el uso de los servicios (en términos de horas, transferencia de datos u otros atributos) y no en el costo de los equipos. Usa tecnologías de Internet: El servicio es entregado usando identificadores, formatos y protocolos de internet. Implementación rápida: al no permitir muchas personalizaciones – estándar.

RIESGOS Confidencialidad: (perdida de información o acceso a la información) Proveedor Interceptación de información Terceros Hurto, acceso ilegal, etc. Capacidad reducida de monitoreo Regulación Nacional e Internacional – conflictos de leyes Contingencia del Proveedor – disponibilidad Seguros: cobertura Dependencia de telecomunicaciones y del proveedor Recuperación de la información en el evento de un desastre Riesgo reputacional por disponibilidad o perdida de información

Agenda Contexto Definiciones básicas Características, ventajas y riesgos Regulación Conclusiones

INFORMACION INTERNACIONAL Primera clasificación según  el grado de preparación de los países para la promoción del crecimiento del mercado global integrado en la nube. La clasificación evaluó las leyes y reglamentaciones en países que representan el 80% de la tecnología de información y comunicación del mundo, en siete áreas: Privacidad de datos Seguridad digital Crimen digital Propiedad intelectual Interoperabilidad tecnológica Armonía legal Libre comercio Infraestructura de T.I Fuente. BSA (Business Software Alliance) marzo de 2012

Fuente: BSA (Business Software Alliance ) marzo 2.012 INFORMACION INTERNACIONAL Fuente: BSA (Business Software Alliance ) marzo 2.012

REGULACION COLOMBIA Ley 1266 de 2008 Régimen Financiero – Reserva bancaria Ley 1273 de 2009 Circulares Externas 052 de 2.007 – 022 de 2.010- 042 de 2.012

REGULACION COLOMBIANA LEY 1266 DE 2008 Mecanismos para la Protección del derecho de la información contenida en bases de datos administrados por entidades públicas o privadas. Dato personal: Es cualquier información de una persona y puede ser : Dato público: contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas. Conocido sin restricción. Dato semiprivado: Es el que no es íntimo, ni reservado, ni público, pero puede interesar a un sector o grupo (ej. Dato financiero o crediticio) Dato privado: Sólo interesa al titular.

REGULACION COLOMBIANA LEY 1266 DE 2008 TITULAR FUENTE OPERADOR DE INFORMACION La persona natural o jurídica a quien se refiere la información que reposa en un banco de datos La persona, entidad u organización que recibe de la fuente datos personales de los titulares de la información, los administra y los pone en conocimiento de los usuarios bajo los parámetros de la ley. Persona, entidad u organización que recibe o conoce datos personales de los titulares, en virtud de una relación de cualquier otra índole y que, en virtud de la autorización legal o del titular, suministra esos datos a un operador de información, el que a su vez los entregará al usuario Persona natural o jurídica que puede acceder a información personal los titulares de la información suministrada por el operador o por la fuente, o directamente por el titular de la información. USUARIO

REGULACION COLOMBIANA LEY 1266 DE 2008 La administración de datos semi-privados y privados requiere el consentimiento previo y expreso del titular de los datos, salvo en el caso del dato financiero, crediticio, comercial, de servicios y proveniente de terceros países. Los operadores de los bancos de datos están obligados, entre otras cosas, a conservar con las debidas seguridades los registros almacenados para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento. Los usuarios que quieran enviar datos financieros al exterior sin contar con la autorización del titular, deben verificar la legislación del país a donde envía la información ofrezca garantías suficientes para la protección de los derechos del titular de la información.

REGULACION COLOMBIANA RESERVA BANCARIA Amparada en el derecho constitucional a la intimidad. Deber que tienen los funcionarios de las entidades financieras: Guardar reserva y discreción sobre los datos de sus clientes o sobre aquellos relacionados con la situación propia de la compañía, que conozcan en desarrollo de su profesión u oficio. El deber de discreción se extiende al uso adecuado de la información recibida, bajo los términos en que les haya sido proporcionada. Las entidades financieras solo suministrarán la información a quienes legalmente se encuentren autorizados para solicitarla.

REGULACION COLOMBIANA Ley 1273 de 2009 – Código Penal Conocida como la Ley de Delitos informáticos. Adiciona al Código Penal Colombiano - bien jurídico tutelado: “De la Protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”. “De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos” “De los atentados informáticos y otras infracciones” Cuatro grupos de criminalidad informática

REGULACION COLOMBIANA Ley 1273 de 2009 – Código Penal Intrusismo Informático (acceso): ingresar ilegalmente al sistema informático – por fuera de lo establecido o si estar previamente facultado para hacerlo. 269A – Acceso abusivo a sistema informático. Espionaje acceso + interceptación: 269C – Interceptación de datos informáticos. Informático: 269F – Violación de Datos personales. 269G – Suplantación de sitio web para capturar datos personales ej. Fishing Sabotaje: daño a la información u obstrucción al sistema informático: 269B – Obstaculización ilegitima de sistema informático o red de telecomunicación. 269D – Daño Informático. 269E – Uso de software malicioso. Fraude Informático: 269I – Hurto por medios informáticos y semejantes. 269J – Transferencia no consentida de activos. El artículo 269H estipula como agravante para todos estos delitos cuando se cometen contra el sector financiero, aumentando la pena de la mitad a las ¾ partes.

REGULACION COLOMBIANA Circular Externa 052 de 2007 – 022 de 2010 - 042 de 2012 Superintendencia Financiera de Colombia Medidas de seguridad y la calidad en el manejo de la información de los clientes y usuarios de las entidades vigiladas a través de los diferentes canales. Seguridad información confidencial Seguridad en la información de los clientes que se maneja en equipos y redes de la entidad Terminales, equipos de computo y redes locales dotados de elementos que impidan captura de información Disponer de Hardware, software y equipos de telecomunicaciones, procedimientos y controles para prestar servicio en condiciones de seguridad y calidad Segregación de funciones de los funcionarios con acceso a dispositivos y sistemas usados en canales y medios. Obligaciones generales que aplican a todos los canales, y otras específicas, según el tipo de canal. - requisitos mínimos para las operaciones realizadas a través de Internet. Requisitos cuando se contrate en outsourcing la operación parcial o total canales y tenga acceso a información confidencial Procedimiento para la selección del proveedor Previsiones contractuales Planes de contingencia y continuidad del proveedor Cifrado fuerte para recepción y envío de información confidencial Procedimientos para verificación del cumplimiento de las obligaciones a cargo del proveedor Disponibilidad operación para clientes – contingencia en los eventos de fallas, etc.

Agenda Contexto Definiciones básicas Características, ventajas y riesgos Regulación Conclusiones

CONCLUSIONES Grandes bondades para el desarrollo de productos y servicios – almacenamiento información Clasificación información sensible: clasificación de los datos y análisis de riesgo al entregar información sensible a un proveedor. Regulación local e Internacional – viabilidad de entregar información. Seguridad: Facultad de autoridades del país donde reposará la información para su aprehensión y conocimiento. – Normas de protección de la Información - ¨Propiedad Intelectual Políticas de Buen Gobierno y riesgo en el manejo de la información por parte del proveedor. Contingencias – disponibilidad - perfiles de acceso - identidad protegida.

Proceso de selección de los proveedores más exigente: CONCLUSIONES Proceso de selección de los proveedores más exigente: Objetivos del proyecto – selección del proveedor – clase de servicio en la nube y tipo de nube Lista de proveedores Experiencia y trayectoria del proveedor Políticas de Buen Gobierno en el manejo de la información, incluyendo forma de almacenamiento Estándares de seguridad Políticas de continuidad del negocio Servicio del proveedor (disponibilidad, protocolos de seguridad, contingencia, servicio, etc.) Seguros - Cobertura El proveedor del servicio: no es un operador y no es usuario (Ley habeas data) La alta disponibilidad que ofrezcan los proveedores no exime a las entidades financieras de garantizar la disponibilidad al Consumidor Financiero. Debemos mitigar el riesgo desde el punto de vista contractual, si la legislación permite su entrega.

CONTRATO Negociación Elaboración del contrato Ejecución del contrato La contratación en la nube compromete la responsabilidad de la entidad. va más allá de las bondades económicas y tecnológicas. Para ir a la nube se requiere de un contrato debidamente estructurado, en el cual se garantice, entre otras: Propiedad de la información. La custodia de la información y políticas de protección de datos Certificación confidencialidad de la información No acceso y alteración de la información Disponibilidad y medidas de contingencia Protocolos de seguridad (empleados, contratistas, terceros) Protección virus Protección frente autoridades del país donde se almacenará la información Independencia de la información Solución de controversias Niveles de servicio Devolución a la terminación en el estado en que la recibió y en las condiciones pactadas. Destrucción de copias Sanciones en el evento de incumplimiento Recuperación en el evento de desastres. Costos – renovación Conflicto de Leyes

CONTRATO Negociación Elaboración del contrato Ejecución del contrato Herramienta de administración de riesgos tecnológicos, metodológicos y jurídicos. Todos estos temas no pueden surgir en la negociación del contrato, debe surgir desde la formulación del proyecto. Tecnología Seguridad Jurídico

MUCHAS GRACIAS Maria Adelayda Calle Correa Directora Jurídica de Intermediación Financiera

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.