DIPLOMADO DE SEGURIDAD INFORMATICA

Unidad Temática : Seguridad De La Información

César Augusto Zárate Camargo
Analista Seguridad Informática
Investigador Informática Forense
SWAT Security IT
Gerente
 MODELOS ECONOMICOS
Eras Económicas

PREAMBULO A LA SEGURIDAD DE LA
INFORMACION

DEFINICIONES DE SEGURIDAD DE LA
INFORMACION

© César Augusto Zárate ( c4m4l30n ) Modulo 1

© César Augusto Zárate ( c4m4l30n ) Modulo 1
 • Información no tenia
relevancia
• Se parte es de tradición
Oral
• Lo importante es la
Producción para comer
• Hasta ese momento solo
había excedente en
producción por
cosechas

© César Augusto Zárate ( c4m4l30n ) Modulo 1

 • Información tenia Poca
Importancia
• Ya hay medios escritos
• Lo importante es la
Producción para
impulsar el desarrollo
• Se comienza a tener la
noción de secretos
industriales

© César Augusto Zárate ( c4m4l30n ) Modulo 1

 • Información tiene
Importancia
• Ya hay medios
multimediales
• Lo importante es el
desarrollo de nuevas
formas para mejorar la
vida del hombre
• Ya se habla de
seguridad de la
información

© César Augusto Zárate ( c4m4l30n ) Modulo 1

• Era de la información es el
nombre que se le ha dado al
período que, aproximadamente,
sucede a la era espacial y
antecede a la economía del
conocimiento y va ligada a
las tecnologías de la información
y la comunicación. La era de la
información es un término
aplicado al período en el cual el
movimiento de información se
volvió más rápido que el
movimiento físico, y se empezó a
utilizar a partir de 1990

© César Augusto Zárate ( c4m4l30n ) Modulo 1

• Uno de los primeros autores en
desarrollar un concepto de la
sociedad de la información fue
el economista Fritz Machlup. El
término fue empleado por
primera vez en su libro de
1962(La producción y
distribución del conocimiento
en los Estados Unidos), en
donde concluía que el número
de empleos que se basan en la
manipulación y manejo de
información era mayor que los
relacionados con algún tipo de
esfuerzo físico.
© César Augusto Zárate ( c4m4l30n ) Modulo 1
 "El valor de la información es
cero, es lo que haces con ella lo
que realmente importa".
© César Augusto Zárate ( c4m4l30n ) Modulo 1
 IMPORTANCIA.
 SIGNIFICADO.
 VIGENCIA.
 VALIDEZ.
 VALOR.

© César Augusto Zárate ( c4m4l30n ) Modulo 1

© César Augusto Zárate ( c4m4l30n ) Modulo 1
La áreas que interactúan en una organización con la gestión de la
seguridad de la información está directamente ligada al nivel de
madurez con el que cuente la organización con respecto a
la misma.
No obstante es regular que interactúen las siguientes áreas.

 Seguridad operacional.
 Seguridad de la información
 Gestión.
 Recuperación ante desastres

© César Augusto Zárate ( c4m4l30n ) Modulo 1

© César Augusto Zárate ( c4m4l30n ) Modulo 1
© César Augusto Zárate ( c4m4l30n ) Modulo 1
Información concreta sobre hechos, elementos,
etc., que permite estudiarlos, analizarlos o
conocerlos.

Es importa tener en cuenta que el dato no tiene

sentido en sí mismo, sino que se utiliza en la
toma de decisiones o en la realización de
cálculos a partir de un procesamiento adecuado
y teniendo en cuenta su contexto. Por lo
general, el dato es una representación
simbólica o un atributo de una entidad.

© César Augusto Zárate ( c4m4l30n ) Modulo 1

La información es un conjunto organizado de
datos procesados, que constituyen un mensaje
que cambia el estado de conocimiento del
sujeto o sistema que recibe dicho mensaje.

Desde el punto de vista de la ciencia de la

computación, la información es
un conocimiento explícito extraído por seres
vivos o sistemas expertos como resultado de
interacción con el entorno o percepciones
sensibles del mismo entorno. En principio la
información, a diferencia de los datos o las
percepciones sensibles, tienen estructura útil
que modificará las sucesivas interacciones del
que posee dicha información con su entorno.

© César Augusto Zárate ( c4m4l30n ) Modulo 1

© César Augusto Zárate ( c4m4l30n ) Modulo 1
Para determinar que la información
tiene valor para un ente en
particular llámese como se llame,
esta debe cumplir con una serie de
requisitos tales como:

 Ser Pertinente
 Permitir la Toma de Decisiones
 Tiene algún valor o significado
para su dueño

© César Augusto Zárate ( c4m4l30n ) Modulo 1

Un sistema de información
tecnológico moderno se encuentra
divido en niveles claramente
identificables, entre los que se
destacan:

 Presentación
 Middleware
 Gestión de Datos

© César Augusto Zárate ( c4m4l30n ) Modulo 1

La información es un recurso que, como el resto de los activos
comerciales, tiene valor para una organización y por consiguiente debe ser
debidamente protegido ante amenazas tales como:

 Robo.
 Mala utilización.
 Perdida.
 Modificación

• La información puede existir de muchas formas:

 Impresa.
 Digital.
 Know how

© César Augusto Zárate ( c4m4l30n ) Modulo 1

Es la disciplina responsable de proteger y resguardar la información
gestionada, administrada y operada en dispositivos tales como::

 Estaciones de trabajo.
 Portátiles.
 PDA’s.
 Equipos de comunicación.

• Por ende su objetivo es proteger a los sistemas

de informáticos frente a los Riesgos a que están
expuestos.

© César Augusto Zárate ( c4m4l30n ) Modulo 1

Es la disciplina responsable de proteger y resguardar la información
gestionada, administrada y operada en una organización, independiente
de su nivel de criticidad así ésta se encuentra de manera:

 Electrónica.
 Impresa.
 Sonora. (grabaciones de audio o hablada).

Por ende, la correcta aplicación

de la seguridad de la Información
es responsabilidad del nivel más
alto de dirección y liderazgo que
se pueda identificar en una
organización.

© César Augusto Zárate ( c4m4l30n ) Modulo 1

El mantra de todo buen Profesional de la Seguridad es:

“ La seguridad no es un producto, es un proceso.”

Se trata de algo más que implantar Controles Robustos

en un sistema:
Se trata de diseñar el sistema entero de manera que todas las
medidas de seguridad, incluyendo los Controles, trabajen
conjuntamente.

© César Augusto Zárate ( c4m4l30n ) Modulo 1

Según la norma ISO 27001:2005, la seguridad de la información se define
como la preservación de las siguientes características:

 Confidencialidad: se garantiza que la información sea accesible solo a

aquellas personas autorizadas a tener acceso a ella.
 Integridad: se salvaguarda la exactitud y totalidad de la información y los
métodos de procesamiento.
 Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a
la información y a los recursos relacionados con ella toda vez que se
requiera.
La seguridad de la información se logra implementando un conjunto
adecuado de controles, que abarca políticas, prácticas, procedimientos,
estructuras organizacionales y funciones del software, para garantizar que
se logren los objetivos específicos de seguridad de la Información

© César Augusto Zárate ( c4m4l30n ) Modulo 1

© César Augusto Zárate ( c4m4l30n ) Modulo 1
 Confidencialidad

Integridad

Disponibilidad

Autenticidad

Trazabilidad

Privacidad
© César Augusto Zárate ( c4m4l30n ) Modulo 1
Con base en el desarrollo de actividades en torno a la seguridad de la información, es
posible identificar una serie de factores que hacen posible obtener los resultados
cuando se trabaja en torno a la seguridad de la información. No obstante esto no es
un referente único para la implementación:

 Se debe contar con lineamientos de gestión claros transversales a la organización.

 Estrategia de implementación alineada con la cultura organizacional y expectativas

de seguridad con las que cuentan los directivos de la organización.

 Comunicación clara a todos los niveles organizacionales que se encuentren dentro

del alcance de la seguridad.

 Capacitación acorde a las necesidades organizacionales (GAP de conocimientos).

 Soportes de medición elaborado y avalado para la evaluación del desempeño con

respecto a la seguridad de la información.

© César Augusto Zárate ( c4m4l30n ) Modulo 1

Desde el punto de vista empresarial y desde cualquier tomador de decisión
(CEO), en la actualidad las compañías deben estar a la vanguardia en la
adecuación de sus procesos a las necesidades de clientes y “steakholders”,
para lo cual debe de contar con la mejor información, dispuesta de manera
continua y a la mano cada vez que se requiera; donde esto constituye una
ventaja fundamental y estratégica que marcará efectivamente una diferencia
frente a sus competidores y en consecuencia frente al mercado.

SE DEBE TENER TOTAL CLARIDA ENTRE LOS DATOS

E INFORMACIÓN DE UNA ORGANIZACIÓN.

© César Augusto Zárate ( c4m4l30n ) Modulo 1

La información en las organizaciones indiferente de su estructura organizacional,
sector de desarrollo, tamaño o enfoque requiere ser clasificada en diferentes niveles
para que su gestión se adecue a sus necesidades particulares.

Un posible esquema de clasificación puede ser el siguiente:

INFORMACIÓN INFORMACIÓN INFORMACIÓN INFORMACIÓN NO

CRÍTICA
•indispensable para asegurar
el desarrollo de la
organización. Sin esta la
compañía perdería su razón
de ser (secretos industriales).
VALIOSA SENSITIVA: CLASIFICADA:
•considerada un activo •considerada como activo •es aquella que a la
corporativo que representa corporativo al cual se debe organización no le afecta que
gran valor en si mismo dar acceso de acuerdo al rol o se conozca la existencia de la
(desarrollos e función establecido en la misma.
investigaciones). estructura organizacional

© César Augusto Zárate ( c4m4l30n ) Modulo 1

Se debe garantizar la correcta identificación de los riesgos a los que se expone la
información de la organización con base en el nivel de clasificación.

La información organizacional debe asegurarse entre otros aspectos los siguientes:

 La Disponibilidad; es decir cada vez que se requiera, esta pueda ser usada.

 La Confidencialidad; es decir que se mantenga su secreto.

 La Integridad; es decir que esta no sea modificada o alterada de manera no

autorizada.

 La Autenticidad – No Repudio: No haya lugar a duda de la Información

 La Trazabilidad: Sea Rastreable

 La Recuperación rápida y completa en caso que se vea afectada alguna de sus

características.

© César Augusto Zárate ( c4m4l30n ) Modulo 1

© César Augusto Zárate ( c4m4l30n ) Modulo 1
© César Augusto Zárate ( c4m4l30n ) Modulo 1
La privacidad de la información es el ámbito de la vida personal de cada individuo que
se desarrolla en un espacio reservado el cual debe mantenerse confidencial y esta se
define como la preservación de las siguientes características:

 Opción de participar: se garantiza que cada persona que entrega o comparte

información de carácter personal es consiente de dicha entrega y lo hace de
manera libre y abierta.
 Consentimiento de tratar la información: Con base en su participación, el
propietario o dueño de la información permite al gestor o administrador de la
misma darle uso conforme a los lineamientos legales aplicables.
 Notificación: se garantiza que el propietario o dueño de la información sabrá y
estará enterado de cada suceso o evento relacionado con la información.

La privacidad de la información al relacionarse con información de carácter personal

tiene una orientación subjetiva y para poder ser tratada de manera correcta, esta es
vista como el componente legal de la seguridad.

© César Augusto Zárate ( c4m4l30n ) Modulo 1

“Ser víctimas de la fuga de información, es un tema que preocupa
tanto a los usuarios como a las empresas y es debido a ello que suelen
tomar recaudos para proteger su información. Para los usuarios la
fuga de información es un tema muy importante, y el 67,7% de los
usuarios esta preocupado acerca de la posibilidad de que sus datos
sean expuestos sin su consentimiento. Cuando una empresa que
ofrece un servicio y se ve afectada por el robo de información, esto
impacta de manera directa en la confianza de sus clientes. Según los
resultados de la encuesta, ante un caso de robo de información, el
62,9% de los usuarios dejaría de utilizar el servicio, es decir que la
empresa perdería a 6 de cada 10 clientes por no proteger bien su
información.” (Fuente ESET CA. http://blogs.eset-
la.com/laboratorio/2011/07/08/fuga-de-informacion-realidad-
preocupante/

© César
w wAugusto
w .s w a tZárate
s e c u r(i c4m4l30n
t y i t . c o m) Modulo 1
Google debe pagar 22,5 millones de dólares por rastrear
sin permiso a usuarios de Safari
“Jon Leibowitz, cabeza del organismo federal, dijo en un
comunicado que “la penalidad récord impuesta esta vez
envía un mensaje a todas las compañías investigadas por
la FTC: Sin importar qué tan grandes o pequeñas sean,
todas las compañías deben ceñirse a las ordenanzas del
FTC contra ellas y deben mantener sus promesas de
privacidad a los consumidores, o terminarán pagando
muchas veces más que lo que les habría costado
obedecer en primer lugar.” Fuente: Enter.co
http://www.enter.co/seguridad/google-debe-pagar-
225-millones-de-dolares-por-rastrear-sin-permiso-a-
usuarios-de-safari

w w w .s w a t s e c u r i t y i t . c o m
La Corte Constitucional le ordenó a las empresas
de transporte aéreo suprimir las denominadas
“listas de viajeros no conformes”, al concluir que
se viola el derecho al hábeas data, por no contar
con el consentimiento del titular de los datos y
porque no persiguen un fin constitucionalmente
identificable, desconociendo así el artículo 4º de
la Ley 1581 del 2012.

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
TIGO VIOLA NORMAS DE HÁBEAS DATA. Por haber consultado en la base de datos de
DataCrédito con un fin diferente al del cálculo de riesgo crediticio y no informar cuál fue
el uso de los datos obtenidos, la SIC impuso a la operadora dos sanciones.
Dentro de las investigaciones adelantadas, la SIC pudo concluir que se estaban
consultando datos personales de manera indiscriminada, toda vez que el proveedor de
servicio de comunicaciones, averiguó la historia crediticia de un ciudadano que adquirió
una línea en la modalidad prepago, a sabiendas de que en este tipo de contratos no se
genera ningún riesgo económico o posible incumplimiento por parte del suscriptor.
La Superintendencia de Industria y Comercio (SIC) fue clara en advertir a la empresa
sancionada que en este tipo de situaciones, cuando el ciudadano no contrae la
obligación de pagar sumas periódicas o cargos adicionales (como sucede con las
cláusulas de permanencia mínima), sólo puede consultarse la información reportada en
las centrales de riesgo cuando se haya dado una autorización específica para ello.
Asimismo, la Dirección de Investigación de Protección de Datos Personales fue clara en
señalar que no es suficiente justificar la consulta de la historia crediticia de un titular
indicando que éste solicitó un servicio, sino que es necesario acreditar la intención que
tuvo el ciudadano de adquirir el producto o servicio que genera el riesgo crediticio.
Cada una de las sanciones le costará a la operadora de telefonía móvil $11'334.000.

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
 Chile Perú
Colombia
Ley 19628 de 1999 Ley Ley 29.733 de 3 de julio
Ley 1266 de 2008 de
de protección de la Vida de 2011 Ley de
Protección de Datos y
Privada o Datos de Protección de Datos
Habeas Data financiero.
carácter personal. Personales.

Argentina México Colombia

Ley 25.326 de Octubre 4 Ley Federal de Protección Ley 1581 de 2012
de 2000 de Protección de Datos Personales – Protección de Datos
de los Datos Personales. DOF: 05/07/10 Personales

Costa Rica
Uruguay
Ley 8968 de julio 11 de
Ley 18331 de 2008 de
2011 Ley de Protección
Protección de Datos
de la Persona frente al
Personales y Acción de
tratamiento de sus datos
Habeas Data.
personales.

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
 Marco Legal de Protección de Datos
y de la Informacion en Colombia
LEY / SENTENCIA TEMA
LEY 527 DE 1999 VALIDEZ JURIDICA DE LOS MENSAJES DE DATOS
LEY 1266 DE 2008 HABEAS DATA FINANCIERO
LEY 1273 DE 2009 DELITOS FINANCIEROS
PROTECCION AL CONSUMIDOR EN EL
LEY 1480 DE 2011
COMERCIO ELECTRONICO
HABEAS DATA (PROTECCION DE DATOS
LEY 1581 DE 2012
PERSONALES
DECRETO 1377 DE 2013 SE REGLAMENTA PARCIALMENTE LA LEY 1581

DECRETO 886 DE 2014 REGISTRO NACIONAL DE BASES DE DATOS

© César Augusto Zárate ( c4m4l30n ) Modulo 1

“Todas las personas tienen derecho a su intimidad
personal y familiar y a su buen nombre, y el Estado
debe respetarlos y hacerlos respetar. De igual modo,
tienen derecho a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en
bancos de datos y en archivos de entidades públicas y
privadas” .
En la recolección, tratamiento y circulación de datos se
respetarán la libertad y demás garantías consagradas
en la Constitución.”

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
 Información
Norma Crediticia,
Sectorial Comercial y
de Servicios

Reporte a
las
Sanciones
Centrales
de Crédito

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
Objeto
“…. desarrollar el derecho constitucional que tiene
todas las personas a conocer, actualizar y rectificar
las informaciones que se hayan recogido sobre
ellas en bases de datos o archivos, y los demás
derechos, libertades y garantías constitucionales a
que se refiere el artículo 15 de la Constitución
Política; así como el derecho a la información
consagrado en el artículo 20 de la misma”.
Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales
http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
La ley se aplica al tratamiento de datos
personales efectuado por entidades públicas o
privadas, dentro del país o cuando el
Responsable o Encargado no establecido en
territorio nacional le sea aplicable la legislación
colombiana en virtud de normas y tratados
internacionales.

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
• Bases de datos o archivos mantenidos en un ámbito
exclusivamente personal o doméstico
• Bases de datos que tienen por finalidad la seguridad y
defensa nacional y la prevención y control del lavado
de activos y financiamiento del terrorismo.
• Bases de datos de inteligencia y contrainteligencia.
• Bases de datos y archivos periodísticos y otros
contenidos editoriales.
• Bases de datos reguladas por la ley 1266 de 2008
(datos financieros – crediticios).
• Bases de datos del DANE (Ley 79 de 1993).
Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
• Dato personal. Cualquier información vinculada o que pueda
asociarse a una o varias personas determinadas o determinable
(dato público, dato semi-privado, dato privado y dato privado
sensible)
• Responsable del tratamiento. Persona natural o jurídica, pública o
privada, que por sí misma o en asocio con otros, decida sobre la
base de datos y/o el tratamiento de los datos.
• Encargado del tratamiento. Persona natural o jurídica, pública o
privada, que por sí misma o en asocio con otros, realicé el
tratamiento de datos personales por cuenta del responsable del
tratamiento.
• Titular. Persona natural cuyos datos personales sean objeto de
tratamiento.
• Tratamiento. Cualquier operación o conjunto de operaciones sobre
datos personales, tales como la recolección, almacenamiento, uso,
circulación o supresión.
Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
• Datos sensibles. Aquellos que afectan la
intimidad de la personas o cuyo uso indebido
puede generar discriminación. (Origen racial o
étnico, orientación política, convicciones
filosóficas o religiosas, pertenencia a sindicatos
u organizaciones sociales o de derechos
humanos, datos de salud, vida sexual y
biométricos). Se prohíbe el tratamiento de datos
sensibles salvo las excepciones del artículo 6 de
la ley.
Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
• Datos personales de menores. Se proscribe el
tratamiento de datos personales de menores de
edad salvo aquellos datos que sean de naturaleza
pública.
La Corte Constitucional precisó que tal prohibición debe
interpretarse en el sentido de que los datos personales de
los menores de 18 años, pueden ser tratados, siempre y
cuando el fin que se persiga con dicho tratamiento
responda al interés superior de los menores y se asegure el
respeto de sus derechos prevalentes.
Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
• Conocer, actualizar y rectificar sus datos
personales frente a Responsables y Encargados
• Solicitar prueba de la autorización al Responsable
• Ser informado respecto del uso de los datos
• Presentar quejas ante la SIC
• Revocar la autorización y/o solicitar la supresión
del dato (no sólo por intermedio de la SIC), y
• Acceder en forma gratuita a sus datos personales

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
• Debe ser previa e informada (no tácita)
• Puede ser obtenida por cualquier medio que
permita su consulta posterior
• No es necesaria en los siguientes casos:
– Cuando la información sea requerida por entidad
pública en ejercicio de sus funciones
– Se trate de datos de naturaleza pública
– En casos de urgencia médica o sanitaria (si no es
urgencia, debe obtenerse la autorización)
– Para fines históricos, estadísticos o científicos
– Datos relacionados con el Registro Civil
Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales
http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
• Autorización del titular. Debe solicitarla y
conservarla e informar al titular la finalidad de la
recolección y los derechos que le asisten.
• Calidad de la información. Debe garantizar que la
información sea veraz, completa, exacta,
actualizada, comprobable y comprensible, actualizar
la información comunicando al encargado las
novedades y adoptar medidas para que la misma se
mantenga actualizada. Adicionalmente debe
rectificar la información incorrecta y comunicar al
encargado e indicarle cuando la información este en
discusión por parte de su titular.
Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales
http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
• Seguridad de la información. Debe impedir la adulteración, pérdida,
consulta, uso o acceso no autorizado o fraudulento, exigir al
encargado el respeto a las condiciones de seguridad y privacidad,
adoptar un manual interno de políticas y procedimientos e informar
a la autoridad cuando se presenten violaciones a los códigos de
seguridad que generen riesgos en la administración de la
información.
• Tratamiento. Debe suministrar al encargado únicamente datos cuyo
tratamiento esté previamente autorizado e informar, a solicitud del
titular, sobre el uso dado a su información.
• Adicionalmente debe garantizar al titular, en todo tiempo, el pleno y
efectivo ejercicio de su derecho de hábeas data y tramitar las
consultas y reclamos presentados, en los términos señalados en la
ley.

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
 • Debe permitir el acceso a la información
únicamente a las personas que puedan tener
acceso a ella, en los términos señalados en la ley.
• Debe garantizar al titular, en todo tiempo, el
pleno y efectivo ejercicio de su derecho de
hábeas data y tramitar las consultas y reclamos
presentados, en los términos señalados en la ley.
Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales
http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.pdf

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
• Se establecen los mismos procedimientos
previstos en la Ley 1266 de 2008: Consultas y
reclamos.
• Se permite definir términos inferiores para las
consultas en leyes o reglamentos, atendiendo la
naturaleza del dato.
• Se conserva el requisito de procedibilidad para
elevar queja ante la SIC.
Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
• Multas de carácter personal e institucional hasta
por 2000 SMLMV.
• Suspensión de actividades relacionadas con el
tratamiento hasta por 6 meses. En acto de cierre
se indicarán los correctivos.
• Cierre temporal de las operaciones si no se
adoptan los correctivos.
• Cierre inmediato y definitivo de la operación que
involucre el tratamiento de datos sensibles.
Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales
http://www.certicamara.com/download/eventos/2012/1211_Datos_Personales/Presentacion_Nueva_Ley_1581-_Sic.p

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
• Directorio público de las bases de datos sujetas
a Tratamiento que operan en el país
• Permitirá conocer:
– Realidad de las bases de datos del país
– Flujo y tipo de datos
– Quién o quiénes adelantan su tratamiento
– Finalidad y
– Políticas de tratamiento
• Sujeto a reglamentación

Fuente: Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales

© César
ww Augusto
w .s w a Zárate
t s e c u (r ic4m4l30n
tyit.com) Modulo 1
Al momento de adelantar actividades de
análisis de riesgos y en especial en los
procesos Razón de Ser del Negocio o los que
soportan la Cadena de Valor de la
Organización cualquiera que sea la industria o
el sector, se debe tener en cuenta o considerar
una categoría denominada

“Riesgos Orientados a la
Gestión de la Información”
Y esto no solo asociarlo a los riesgos propios
de los sistemas de información a nivel de
aplicaciones o plataforma tecnológica, sino a
los riesgos que implican la gestión de la
información en general independiente del
medio en el que se encuentre.

© César Augusto Zárate ( c4m4l30n ) Modulo 1

Para iniciar labores en torno a la seguridad de
la información, se debe dar respuesta a la
pregunta y si se decide hacer algo al respecto,
o que sea que se adelante debería estar
compuesto al menos de cuatro elementos
dispuestos así:

 Sensibilización / Concienciación.

 Tecnología.

 Procesos de administración y operación.

 Capacitación.

© César Augusto Zárate ( c4m4l30n ) Modulo 1

Solo con tecnología jamás será suficiente,
como ya se ha dicho se necesita la interacción
de muchos elementos, entre estos los
siguientes

 Condiciones socio políticas.

 Condiciones del mercado.

 Cultura organizacional.

 Entender requerimientos de seguridad.

 Identificar los riesgos que se materializan

debido a una débil postura de seguridad.

© César Augusto Zárate ( c4m4l30n ) Modulo 1

© César Augusto Zárate ( c4m4l30n ) Modulo 1
Un buen comienzo es • Productos con errores.
determinar el marco de • La no estandarización.
TECNOLOGIA • Costo de estar
trabajo.
actualizado.

• Poca capacitación.
• Poco compromiso. • No pensado en seguridad.
• Errores Intencionados o no • Sin roles y/o funciones.
intencionados. • Falta de monitoreo
SEGURIDAD DE
LA
INFORMACION
PERSONAS
PROCESOS

© César Augusto Zárate ( c4m4l30n ) Modulo 1

De cuando la seguridad no necesariamente depende del componente
tecnológico:

 Cuando estuve en la conferencia en el Hotel Vizcaya me conecte a la red

del hotel, al llegar a la oficina me conecte a la red empresarial sin saber
que tenía un Malware o Virus.
 Pues el me llamo y se escuchaba con prisa yo le cambie las credenciales de
acceso y se las dí …… yo pensé que era el Doctor Perea.
 Los consultores al salir de nuestras oficinas hablaron de todas nuestras
vulnerabilidades mientras se dirigían al hotel. El taxista era un ingeniero
desempleado.
 Estaba por fuera de la oficina y necesitaba información urgente entonces
compartí mis credenciales de acceso.
 Desechó documentos secretos sin hacer uso de la picadora de papel.

© César Augusto Zárate ( c4m4l30n ) Modulo 1

La disciplina de la seguridad informática no dista mucho de la seguridad
física. De igual manera que se pueden cometer delitos en el mundo físico,
dentro del Mundo digital también se pueden materializar dichos suceso como
por ejemplo:

 Robo de dinero por medio de servicios de banca en línea.

 Robo de secretos industriales a través de dispositivos móviles.
 Evitar la prestación de servicios en línea.

© César Augusto Zárate ( c4m4l30n ) Modulo 1

© César Augusto Zárate ( c4m4l30n ) Modulo 1
Todos los productos existentes en el mercado de la seguridad (sea
informática o de la información) cumplen con al menos una de las tres
funciones siguientes:

 Disuadir / Prevenir: Aumentan el nivel de seguridad evitando que los

atacantes tengan éxito. Intenta disuadir a los individuos de violar
intencionadamente las políticas o lineamientos.

 Detectar: Control que se encarga de velar porque todo esté en orden y de

alertar cuando se produce una anomalía, normalmente debida a un
intruso.

 Recuperar: Control que garantiza que ante un incidente de seguridad,

causado o fortuito, se pueda recuperar toda la información y retornar la
normalidad en el tiempo esperado.
© César Augusto Zárate ( c4m4l30n ) Modulo 1
 RECUPERACION

CONTROLES
DE
SEGURIDAD
PREVENCION DE LA DETECCION
INFORMACION

POSIBILITA
© César Augusto Zárate ( c4m4l30n ) Modulo 1
Desde una perspectiva temporal, la gestión de la seguridad informática debe
plantearse desde una estrategia de actuación cíclica que puede subdividirse
en tres áreas principales::

 Alcanzar la Seguridad: Primero se debe garantizar que la plataforma,

sistemas, redes, procesos poseen un nivel de seguridad que se
corresponde con las expectativas de seguridad de la alta dirección.

 Mantener la Seguridad: Para garantizar que los sistemas se mantienen

seguros a lo largo del tiempo, se debe de desarrollar una serie de
lineamientos que garanticen un trabajo continuo.

 Evaluar la Seguridad: Se debe realizar en paralelo un monitoreo y

comprobación periódica de que todos los controles se encuentran
trabajando de manera adecuada entregando los niveles deseados de
seguridad.

© César Augusto Zárate ( c4m4l30n ) Modulo 1

 MANTENER

SEGURIDAD DE LA
INFORMACION

ALCANZAR

© César Augusto Zárate ( c4m4l30n ) Modulo 1

Cuando se improvisa sobre la marcha, se va reaccionando a las amenazas
según estas se presentan. Un día se pierden todos los datos críticos por un
fallo (físico o lógico) y solo a partir de ese momento se compra una solución
tecnológica o se implementan lineamientos para evitar que esto suceda de
nuevo:

Es claro para todos que una organización que gestione (si cabe el uso de la
palabra) la seguridad de la información de esta manera esta destinada al
fracaso más que al éxito.

© César Augusto Zárate ( c4m4l30n ) Modulo 1

 Estrategia de la Organización

Estrategia de Seguridad de la Información

Planificación Táctica de Seguridad de la Información

Planificación Operativa de Seguridad de la Información

Estrategia de T.I.

Estrategia de Seguridad Informática

Planificación Táctica de Seguridad Informática

Planificación Operativa de Seguridad Informática

© César Augusto Zárate ( c4m4l30n ) Modulo 1

© César Augusto Zárate ( c4m4l30n ) Modulo 1