T1.docx

A uditori udi tori a Infor In formá mátic tica a

Auditoría Informática TAREA # 1 Resumen de CNBS

Docente: Ing. Juan Carlos Inestroza Lozano

Estudiante: xxxxxxxx

Campus: CEUTEC Próceres Fecha: 05 de abril de 2018


Contenido de Contenido ............................................................................. .................................................... .............................. .... 3 Introducción................................................... .......................................................................... .................................................... ...................................... ............ 4 Objetivos ................................................ Objetivo General ................................................... ............................................................................ ............................................... ...................... 4 Objetivos Específicos ............................................... ........................................................................ ........................................... .................. 4 .......................................................................... .................................................... .............................. .... 5 Marco Teórico ................................................ Resumen CNBS ................................................... ............................................................................ ............................................... ...................... 5 Hacer un Comentario en una Tabla de Cada Artículo ......................................... ......................................... 7 Analizar la Diferencia Entre ISO 17799 e ISO 27001 ........................................ ........................................ 24 Analizar la Diferencia Entre COBIT 4.1 y COBIT 5 ............................................ ............................................ 24 Verificar la Diferencia Entre BS 25999 e ISO 22301 22 301 ......................................... ......................................... 25 Investigación de los Controles de COSO........................................................... COSO........................................................... 27 Norma ISO 27032 de Ciberseguridad. ............................................... ............................................................... ................ 28 Partes Interesadas Intere sadas en el Ciberespacio...................... Ciberespacio ................................................ ..................................... ........... 29 Activos en el Ciberespacio ................................................. ........................................................................... ............................ .. 29 Protección de d e los activos en el Ciberespacio ............................. ................................................. .................... 30 Validar la diferencia entre iso 31000 e ISO 27005 ............................................. ............................................. 30 Mejores prácticas de gestión de d e riesgos para p ara ISO 31000 310 00 .............................. .............................. 31 Mejores prácticas de gestión de d e riesgos para p ara ISO 27005 270 05 .............................. .............................. 32 La Importancia Actual de GDPR ................................................ ........................................................................ ........................ 32 ..................................................................... ............................................. .................... 34 Link video en youtube............................................ ........................................................................... .................................................... ............................ .. 35 Conclusiones................................................. ....................................................................................... ................................. ....... 36 Recomendaciones. ............................................................. .......................................................................................... ......................................... ................ 37 Bibliografía. .................................................................


Introducción El objetivo perseguido por las normas ISO es asegurar que los productos y/o servicios alcancen la calidad deseada. Para las organizaciones son instrumentos que permiten minimizar los costos, ya que hacen posible la reducción de errores y sobre todo favorecen el incremento de la productividad. Los estándares internacionales ISO son clave para acceder a mercados nacionales e internacionales y de este modo, estandarizar el comercio en todos los países favoreciendo a los propios organismos públicos. En el presente documento se analizan una variedad de normas ISO, además se conoció sobre las normativas CNBS las cuales tienen como propósitos brindar normas para regular la administración de las tecnologías de información y comunicaciones en las instituciones del sistema financiero que se deberán cumplir las mismas, basándose en la legislación vigente y en los acuerdos y prácticas internacionales, refiriéndonos a aquellas conductas que tienen como instrumento o fin computadoras u otros bienes informáticos, lesionan o dañan bienes, intereses o derechos de personas físicas o morales.


Objetivos Objetivo General Conocer y analizar las Normativas Nacionales e internacionales, y destacando su trascendencia para asegurar que los productos y/o servicios alcancen la calidad deseada.

Objetivos Específicos 

Comprender y hacer un análisis de las Normativas de Banca y Seguros de Honduras.



Conocer y hacer un análisis comparativo de las normativas ISO 17799 e ISO 27001, COBIT 4.1 y COBIT 5, BS 25999 e ISO 22301, 31000 e ISO 27005.

Investigar y profundizar sobre Controles COSO, ISO 27032 de



Ciberseguridad. GDPR.


Marco Teórico Resumen CNBS Normas para Regular la Administración de las Tecnologías de Información y Comunicaciones en las Instituciones del Sistema Financiero En el Capítulo I, sobre Disposiciones Generales, se detallan los Artículos del 1 al 3, que tratan sobre el Objeto de la Normativa, su Alcance y las Definiciones que se deben considerar. Para el Capítulo II, de Supervisión y Administración Sección I de la Administración, conteniendo los artículos del 4 al 19, se puntualiza en su Sección I sobre; las Políticas de Administración, Políticas de las Tecnologías de Información y Comunicaciones, Nombramiento de Ejecutivo Especializado, Unidad Responsable, Establecimiento de Políticas y Estrategias. En la Sección II; Procedimientos Formales. En la Sección III de Historial y Monitoreo; Mantenimiento de Registros, Período de Resguardo, Mantenimiento de Bitácoras. En la Sección IV de Auditoría Interna; Auditoría de Sistemas, Responsabilidad del Auditor Interno. En la Sección V de Administración de Riesgos; Factores de Riesgo, Proceso de Auditoría Basada en Riesgos. Sección VI de Seguridad de la Información; Administrador de Seguridad Informática, Perfil de Responsabilidades, Separación de Ambientes. El Capítulo III, en sus artículos del 20 al 23, trata sobre la Investigación de Seguridad; Evaluaciones de Seguridad, Informe de Seguridad, Otras Pruebas de Seguridad, Implementación de Cambios. El Capítulo IV, en sus artículos del 24 al 35, detalla el tema de Control de Acceso, Encriptación y Seguridad en la Red; Encriptación de Información, Certificación de la Identidad del Sitio de Internet, Conexión de Internet, Operaciones Autorizadas, Requisitos de Conexión de Internet, Resguardo de la Conexión de Internet, Contraseñas de Acceso.


En el Capítulo V, Plan de Continuidad del Negocio, en sus artículos del 36 al 37; Plan de Contingencias, Principios de Respaldo y Recuperación. Capítulo VI, en sus artículos 38 y 39 específica sobre el tema de La Tercerización; Tercerización, Contrato Escrito de Tercerización. En su Capítulo VII; Servicios Financieros por Medios Electrónicos, contemplan los artículos 40 al 67; en su Sección I, Servicios y Operaciones de Banca Electrónica; Servicios y Operaciones de Banca Electrónica, Niveles de Servicios. Sección II, Contratación para Proveer los Servicios de Banca Electrónica; Contrato de Prestación de Servicios. Sección III, Revelación de Información; Revelación de Información. Sección IV, Medios de Identificación y Autorización; Medios de Identificación, Definición del Perfil de Usuario de Banca Electrónica. Sección V, Administración de las Contraseñas; Asignación de Contraseña de Acceso, Cambios de Contraseñas, Cancelación de Contraseñas de Acceso. Sección VI, Medidas de Control; Aplicación de Medidas de Control de Banca Electrónica, Validaciones, Proceso de Encriptación, Implementación de Controles, Separación de Servidores, Proceso de Autenticación de Usuario, Medidas de Resguardo para Información Útil, Acceso Restringido, Acceso al Sistema de Banca Electrónica, Impresión y/o Resguardo de Instrucciones, Medidas para Evitar Accesos no Autorizados. Sección VII, Operaciones de Banca Electrónica a Favor de Terceros, Tercer os, por Medio de una Lista de Beneficiarios; Transacciones de Banca Electrónica a Favor de Terceros, Transmisión de Datos, Establecimiento de Techos para las Operaciones Autorizadas, Lista de Beneficiarios, Actualización de Lista de Beneficiarios. Sección VIII, Correo Electrónico; Correo Electrónico, Procedimiento Formalizado, Envío de Normas de Revelación de Información. El Capítulo VIII, Operaciones Especiales, en sus capítulos del 68 y 69, detalla la Remisión de Información y el Programa de Reporte de Eventos. En el Capítulo IX, Banca del Exterior y Medidas de Seguridad, en los artículos 70 al 72, en su Sección I, Banca del Exterior; Aplicación Especial, Banca del Exterior. Sección II, Medidas de Seguridad; Controles de Seguridad.


En su último Capítulo; Capítulo X, sobre Disposiciones Finales y Transitorias, artículos 73 al 75 detallan; Plazo de Adecuación, Continuidad de Contratos, Vigencia.

Hacer un Comentario en una Tabla de Cada Artículo

Articulo

Comentario

ART CULO 1.- Objeto Objeto Las presentes normas, tienen por objeto regular la administración de las tecnologías de información y comunicaciones utilizadas por las instituciones del sistema financiero; asimismo, regular los servicios financieros y operaciones realizadas por medio de

El objetivo de las normas son las regulaciones de las tecnologías de la información y los servicios utilizadas por las instituciones financieras del país.

redes electrónicas de uso externo e interno. ART CULO 2.- Alcance Alcance Las

presentes

normas

están

en

concordancia con los principios del Comité de Basilea y el estándar internacional

Estas normas son de obligatorio

ISO/IEC 17799:2000, emitidos en materia de

cumplimiento para todas

banca electrónica y administración de la

instituciones supervisadas por la

Seguridad Informática y constituyen una

Comisión. Y son normativas

guía general para la documentación formal

establecidas en ISO/IEC

e implementación de la seguridad en las

17799:2000

tecnologías

de

información

y

comunicaciones de las instituciones del sistema financiero. ART CULO 3.- Definicion Definiciones es

En este artículo de definen toda la

Para los efectos de aplicación de la

nomenclatura utilizada en las

presente normativa y bajo la perspectiva de

tecnologías de la información. De

la tecnología de información, deberán

manera que las instituciones


considerarse las siguientes definiciones: 1)

tengan un conocimiento exacto de

Ataques de Denegación de Servicio:

cada una de sus definiciones.

Envío de solicitudes a servidores o equipos de

comunicación

que

provoquen

saturación en …

ART CULO 4.- Políticas Políticas de Administ Administración ración La Junta o Consejo deberá tener como mínimo una reunión anual para establecer o revisar las políticas y procedimientos sobre

Se establecen reuniones

la administración tecnológica y seguridad

periódicas para establecer o

de la información, que conlleven a la

revisar las políticas y

correcta toma de decisiones. Asimismo,

procedimientos y deberán quedar

deberá conocer y discutir, por lo menos

registradas en un libro de actas.

cuatro (4) veces al año, los informes que sobre

este

particular

le

presente

la

Gerencia General. ARTÍCULO 5.- Políticas de las Tecnologías de Información y Comunicaciones Las políticas mencionadas en el Artículo anterior deberán incluir al menos temas como: a)

Seguridad de la información incluyendo: · Uso de Internet;

En este artículo se definen los temas que se deben incluir en el Artículo 4.

· Uso del Correo Electrónico; …

ART CULO 6.- Nombramient Nombramiento o de Ejecutivo

Este Articulo especifica el perfil

Especializado

profesional y conocimientos que

La Gerencia General deberá nombrar un

debe de tener el Ejecutivo


ejecutivo especializado, responsable de

Especializado para su

todos los asuntos relacionados con las

nombramiento.

tecnologías

de

la

información.

Este

ejecutivo deberá tener al menos formación profesional sobre la administración de las tecnologías de información en materia de comunicaciones,

sistemas

operativos,

desarrollo de software ART CULO 7.- Unidad Unidad Responsabl Responsablee Dentro de la estructura organizacional, la unidad responsable de administrar los aspectos tecnológicos y de seguridad de la información deberá contar con el manual de puestos para el personal de TIC, que deberá incluir los perfiles de puestos y la segregación de funciones y de autoridad.

Los responsables de los aspectos tecnológicos y de seguridad de la información deben de especificar los perfiles de puestos y la segregación de funciones y de autoridad para los puestos del personal de TIC.

ARTÍCULO 8.- Establecimiento de Políticas y Estrategias La Gerencia General deberá definir y proponer a la Junta o Consejo, los procesos críticos para los cuales es necesario

establecer

las

políticas

y

estrategias de tal forma que se asegure la integridad

y

continuidad

de

las

operaciones. Asimismo, las medidas y mecanismos para la difusión óptima de

Se establece definir y proponer políticas y mecanismos de difusión a la unta o consejo. En el caso que se cometiera una falta se comunicara a la Gerencia General para su respectivo análisis y tomar las medidas correctivas necesarias.

dichas políticas. ART CULO 9.- Procedimien Procedimientos tos Formales Formales La

institución

implementar,

deberá

actualizar

y

La institución estará obligada a

desarrollar,

implementar, actualizar y

documentar

documentar procedimientos

procedimientos formales en relación a la formales y deberá ser pronta en su


planeación,

organización,

adquisición,

ejecución y divulgación.

implementación, entrega de servicios por medios tecnológicos, soporte y monitoreo; y deberá ser diligente en su ejecución y divulgación… ART CULO 10.- Mantenimie Mantenimiento nto de Registros Registros La institución deberá mantener registros de las

auditorías

a

los

sistemas La Instituciones deberán mantener

automatizados, basados en un análisis de un registro completo y detallado de riesgos,

en

bitácoras

automatizadas

registrando los accesos, transacciones y

las transacciones e información general de los sistemas.

consultas realizadas tanto a los sistemas de información como a los dispositivos ART CULO 11.- Períod Período o de Resguardo Resguardo La

institución

deberá

resguardar

los Se establece un periodo donde las

registros previstos en el Artículo anterior.

institución deberá tener

El periodo de resguardo será de 5 años

resguardados los registros de las

para las transacciones y 6 meses para la

transacciones y de las consultas.

consulta. ART CULO 12.- Mantenimie Mantenimiento nto de Bitácoras Bitácoras La institución se reserva el

La institución, si así lo determina, podrá mantener informados a sus clientes y empleados

de

la

existencia

del

mantenimiento de bitácoras que registrarán todas las actividades con los sistemas de

derecho de informar a sus clientes y empleados sobre las bitácoras que registrarán todas las actividades con los sistemas de información de la institución.

información de la institución. ARTÍCULO 13.- Auditoría de Sistemas

La institución deberá proveerle a la

La Auditoría Interna de la institución deberá Auditoría Interna las herramientas auditar la Tecnología de Información y

para la realización de la auditoria

Comunicación (TIC) a fin de verificar la

interna. Además, la persona


integridad,

disponibilidad

confidencialidad de la información.

y

encargada de auditar las TIC

La

deberá contar con experiencia y

persona(s) encargada(s) de auditar las TIC

entrenamiento calificado basadas en las mejores prácticas como COBIT e ISO-17799.

ART CULO

14.-

Responsabi Responsabilidad lidad

del del

Auditor Interno El Auditor Interno será responsable de que, aun en el caso de que la Auditoría de Sistemas sea llevada a cabo por medio de la Tercerización (outsourcing) se cumplan las

disposiciones

contenidas

en

Se debe de conocer y cumplir con las normativas del CNBS en caso de tercerización de la Auditoria.

las

Normas Mínimas para el Funcionamiento de ART CULO 15.- Factor Factores es de Riesgo La institución deberá realizar sus auditorías de sistemas basadas en un análisis de riesgos y cumpliendo las normativas

Se detallan los factores que se

existentes. Esta auditoría deberá incluir deben incluir para las auditorias de todos

los

riesgos

potenciales

en

la

sistemas respecto a riesgos

administración de las Tecnologías de potenciales en la administración de Información y Comunicaciones, incluyendo

las Tecnologías de Información.

al menos los factores siguientes: Los usuarios externos e internos del sistema ARTÍCULO

16.-

Proceso

de

Auditoría Las auditorias basadas en riesgos

Basada en Riesgos

serán permanentes y la institución

El proceso de auditoría basada en riesgos

deberá tomar las medidas

deberá ser permanente y se revisará de

necesarias para minimizar los

acuerdo a los cambios en los factores de

impactos negativos en toda su

riesgos…

infraestructura de Tecnologías de Información.


ART CULO 17.- Administrador de Seguridad Seguridad Informática La Junta o Consejo deberá nombrar a un Administrador de Seguridad Informática, el cual

deberá

estar

subordinado

a

la

Gerencia General de la institución…

Se nombrará Administrador de Seguridad Informática con funciones definidas e independientes del ejecutivo especializado.

ART CULO 18.- Perfil Perfil de Responsabilidad Responsabilidades es La Gerencia General de la institución deberá

definir

las

funciones

y

las

responsabilidades del Administrador de Seguridad Informática. Dichas funciones y responsabilidades

comprenderán

como

Se definen las funciones y las responsabilidades del Administrador de Seguridad Informática.

mínimo las siguientes: ART CULO 19.- Separació Separación n de Ambientes Ambientes La institución deberá procurar separar

Se obliga la separación de

físicamente y lógicamente los ambientes de

ambientes a las instituciones..

producción, desarrollo y pruebas. ART CULO 20.- Evaluacio Evaluaciones nes de Seguridad Seguridad Las evaluaciones de seguridad deberán medir la eficiencia de los medios de protección corregir resultados

e

incluir

las

propuestas

para

General un reporte con

Sus

recomendaciones, con los

vulnerabilidades.

deberán

presentarse

Se presentaran a la Gerencia

a

la

principales hallazgos. E incluirá

Gerencia General en un reporte detallado

propuestas para corregir las

con recomendaciones, que incluya un

vulnerabilidades.

sumario ejecutivo con los principales hallazgos. ARTÍCULO

21.-

Implementación

de

Se deberá realizarse una

Cambios

evaluación de seguridad cuando

Previo a la implantación de cambios en: el

ocurran cambios en el ambiente

ambiente de producción; los sistemas de

tecnológico o se implementen


alto riesgo definidos por la administración;

nuevos sistemas.

y los servicios financieros por medios electrónicos, evaluación

deberá de

realizarse

seguridad.

una

Asimismo,

cuando ocurran cambios…

ART CULO 22.- Otras Otras Pruebas Pruebas de Seguridad Seguridad Para evitar conflictos de interés y poder tomar

las

medidas

cautelares

correspondientes, las instituciones podrán realizar

otras

pruebas

por

entes

o

La institución tiene el derecho de realizar sus propias pruebas por entes externos.

profesionales externos. ART CULO 23.- Informe Informe de Seguridad Seguridad La Gerencia General, para minimizar los riesgos,

deberá

implementar

La institución implementará las

las recomendaciones contenidas en el

recomendaciones contenidas en el informe

informe de seguridad conforme a

de seguridad, y establecer un cronograma

un cronograma de actividades.

de actividades a realizar. ART CULO 24.- Identif Identificació icación n de Acceso La

institución

deberá

asignar

una

identificación única y personal de cualquier usuario

con

acceso

al

sistema

de

información, como una condición previa a

La Institución deberá asignar una Identificación única para el acceso de los empleados a los sistemas.

la autorización de acceso. ARTÍCULO 25.- Reglas y Procedimientos para Acceso La institución deberá determinar las reglas y

el

procedimiento

identificación,

así

para

como

para

dicha el

otorgamiento de autorizaciones a terceros que

accedan a los componentes de la

tecnología de información. Estas reglas

La institución deberá implementar reglas, mecanismos y procedimientos para el acceso de los sistemas de información.

A uditori udi tori a Infor In formá mátic tica a deberán tomar en cuenta…

ART CULO 26.- Clasifica Clasificación ción de Grupos y Asignación de Perfiles de Usuarios Las instituciones deberán adoptar una clasificación de grupos y asignación de perfiles de usuarios internos y externos atendiendo su relación con las unidades

Se debe generar un forma de clasificar a los usuarios que tengan acceso a los componentes de la tecnología de información.

internas, procesos y servicios… Las instituciones deberán utilizar

ARTÍCULO 27.- Control de Acceso Las políticas de control de acceso a los sistemas

de

establecerse

información cumpliendo

deberán con

las

disposiciones vigentes y las mejores prácticas internacionales…

tecnologías para la identificación y la autenticación del usuario de acuerdo con las disposiciones vigentes y las mejores prácticas internacionales.

ARTÍCULO 28.- Tiempo de Expiración La institución deberá fijar el tiempo de expiración de una sesión, cuando iniciada Se deberá establecer un tiempo de la

misma

no

se

hayan

ejecutado

expiración para cada sesión.

actividades después de cierto período de tiempo, determinado…

ARTÍCULO 29.- Encriptación de Información Las instituciones pueden optar por La

institución

deberá

determinar,

de

utilizar procedimientos para que

acuerdo a un análisis de riesgos, la

los datos transmitidos y

necesidad de encriptar la información a ser

almacenados sean solo legibles por la misma institución.

transmitida y almacenada. ARTÍCULO 30.- Certificación de la Identidad del Sitio de Internet La institución deberá tomar las medidas necesarias para certificar la identidad del sitio

de

Internet

y

evitar

posibles

Destaca la obligación de la institución para certificar la identidad de su página web y no ser víctima de suplantación.


imitaciones. Asimismo, deberá proveer y capacitar a sus clientes…

ART CULO 31.- Conexió Conexión n de Internet Internet La conexión de Internet de la institución se Se establecen los casos en que se

realizará en los siguientes casos: 1) Conexión al Internet por parte de empleados,

con

sujeción

a

lo

realizaran las conexiones a internet.

establecido en los artículos 32 y 33 de estas normas;…

ART CULO 32.- Operacione Operaciones s Autorizadas Autorizadas La Gerencia General de la institución deberá determinar las operaciones que sus

Determina las operaciones que

empleados

la

sus empleados podrán realizar

utilización del Internet, así como cumplir

para la utilización del Internet.

con

los

podrán

realizar

requerimientos

del

para

siguiente

Artículo ARTÍCULO 33.- Requisitos de Conexión de Internet Para que las estaciones de trabajo de los empleados

tengan acceso al Internet

deberán estar conectadas únicamente al

La conexión a Internet deberá estar controlada.

Internet, o a una red que esté conectada exclusivamente…

ARTÍCULO 34.- Resguardo de la Conexión de Internet La conexión de la red de la institución hacia

Se establecen recomendaciones

Internet deberá encontrarse asegurada por para salvaguardar la red interna de lo menos con: un antivirus, un filtro de

la institución.

contenido, un Sistema de Detección de Intrusos (IDS) a nivel de red y un firewall. ART CULO 35.- Contr Contraseñas aseñas de Acceso Acceso

Las instituciones están obligadas a


Las instituciones del sistema financiero otorgar a los auditores de sistemas deberán

otorgar

a

los

auditores

de

sistemas de esta Comisión, contraseñas de acceso

irrestricto

a

todas

las

de la Comisión contraseñas que no deberán tener fecha de caducidad.

aplicaciones…

ART CULO 36.- Plan Plan de Contingenci Contingencias as

Las instituciones deberán contar

La institución deberá mantener un plan de

con un plan de contingencias en

contingencias detallado para recuperar y

caso de casos de mal

operar su tecnología de información en los

funcionamiento y desastres.

casos de mal funcionamiento y desastres.

Debiendo tener los equipos de

Dicho plan deberá …

respaldos de información en un lugar distante y distinto en donde se generó.

ART CULO 37.- Principi Principios os de Respaldo Respaldo y Recuperación La administración de la institución deberá reunirse anualmente para discutir los principios de respaldo y recuperación, así como tomar decisiones y documentar ART CULO 38.38.- Tercerizaci Tercerización ón

Se deberán realizar reuniones periódicas para definir planes de contingencia y situaciones de mal funcionamiento y respaldo de los equipos informáticos. Para las actividades de la

La institución podrá contratar con una

administración, procesamiento y

entidad externa, la realización de las

resguardo de las operaciones de

siguientes actividades: la administración,

información la institución podrá

procesamiento

y

resguardo

de

las

operaciones ARTÍCULO

anteriormente a la Comisión.

39.-

Contrato

Escrito

de

Tercerización La Tercerización deberá realizarse por medio de un contrato escrito. Con

tercerizar debiendo informar

respecto

a

la

Tercerización

Significativa, el contrato deberá

En este artículo se establece los temas que contendrá el contrato para la tercerización. Destacando las responsabilidades y obligaciones.


ART CULO 40.- Servicio Servicios s y Operaciones Operaciones de Banca Electrónica Los servicios y operaciones de banca

Las instituciones deberán permitir

electrónica, obtener

permitirán

información

a de

los

clientes

a los clientes obtener información

sus

cuentas,

de sus cuentas y transacciones.

realizar operaciones o dar instrucciones para realizar transacciones ART CULO 41.- Niveles Niveles de Servic Servicios ios Los servicios de banca electrónica se categorizarán

en

distintos

niveles,

e

incluirán los servicios de los los niveles niveles que les preceden.

En este artículo se establecen los tipos de servicios que las instituciones deben de incluir en los servicios de banca electrónica.

ARTÍCULO 42.- Contrato de Prestación de Servicios El

La institución deberá ofrecer

contrato

de

servicios

de

banca

electrónica, deberá ser firmado por el

servicios de banca electrónica a sus clientes por medio de un

cliente permitiéndole seleccionar el nivel contrato y especificando el nivel de de servicio que requiera. La institución le

servicio.

otorgará ART CULO 43.- Revelación Revelación de Información Información

Detalla el contenido del contrato

El contrato de servicio deberá contener las

que firma el cliente, destacando

condiciones,

responsabilidades,

las condiciones,

excepciones y riesgos de la utilización de

responsabilidades, excepciones y

los servicios que la institución provee a

riesgos de la utilización de los

través de su banca electrónica…

servicios que la institución provee a través de su banca electrónica.

ART CULO 44.- Medios Medios de Identificació Identificación n En

cumplimiento

a

las

disposiciones

establecidas en el Artículo 24, la institución deberá

determinar

los

medios

de

identificación para cada cliente que tenga

La institución deberá contar con mecanismos de identificación de acceso para la Red de Cajeros Automáticos (ATMs)

A uditori udi tori a Infor In formá mátic tica a autorización…

ART CULO 45.- Definici Definición ón del Perfil Perfil de Usuario de Banca Electrónica El perfil del usuario de banca electrónica deberá definirse con los permisos y accesos conforme lo establecido en el

Los permisos y accesos del usuario se definirán conforme establecido en el contrato.

contrato de servicios… ART CULO 46.- Asignación Asignación de Contraseña Contraseña La institución otorgará la

de Acceso La contraseña inicial se le otorgará al

contraseña inicial de acceso al

cliente en forma personal y ésta será

cliente en forma personal.

confidencial para terceros….

ART CULO 47.- Cambios Cambios de Contraseña Contraseñass La institución deberá realizar los cambios de las contraseñas de los usuarios en los casos siguientes: (1)

Inmediatamente después de la primera

Describe los casos en las que la institución deberá realizar cambios de las contraseñas

conexión. El programa deberá ART CULO

48.48.-

Cancelación Cancelación

de de

Contraseñas de Acceso La

institución

deberá

cancelar

las

contraseñas de sus usuarios cuando ocurra alguno de los siguientes casos: (1)

Si pasa un período de tiempo, el cual

Describe los casos en las que la institución deberá realizar cancelar las contraseñas y durante que periodo de tiempo.

no debe ser supe… ARTÍCULO 49.- Aplicación de Medidas de La institución debe de aplicar de

Control de Banca Electrónica Las disposiciones de esta sección aplican al

software

de

banca

electrónica

desarrollado por terceros (outsourcing) o internamente por la institución.

medidas de control cuando el software de banca electrónica sea desarrollado por terceros.


.- Proceso de Encriptación El

proceso

de

encriptación

de

las

contraseñas debe realizarse a través de

Se deberán utilizar algoritmos de

algoritmos de encriptación mundialmente

encriptación para las contraseñas.

aceptados y que no se hayan descifrado; también debe incluir un Valor SALT S ALT… ART CULO

52.-

Implem Implementaci entación ón

de

Controles

La aplicación debe de ejercer

La aplicación debe implantar controles que

control de las sesiones y eliminar

minimicen el riesgo que la sesión de un

las sesiones inactivas después de

usuario pueda ser obtenida o interceptada

determinado período de tiempo.

por un tercero para obtener acceso… ARTÍCULO 53.- Separación de Servidores La base de datos de la institución debe

La base de datos de la institución debe estar en un servidor

estar en un servidor separado del servidor separado del servidor de Internet o de Internet o servidor de aplicaciones.

servidor de aplicaciones.

ARTÍCULO 54.- Proceso de Autenticación de Usuario Para autenticar a un usuario la aplicación deberá en la medida de lo posible solicitar además del usuario y la contraseña, un

Para el acceso de los usuarios se deberá solicitar un nombre de usuario y una contraseña.

campo de control con letras y números ART CULO 55.- Medidas Medidas de Resguardo Resguardo para para Información Útil

Las aplicaciones deben asegurar que ningún parámetro con

Las aplicaciones deben asegurar que

información útil para un posible

ningún parámetro con información útil para

atacante viaje a través del

un posible atacante viaje …

ARTÍCULO 56.- Acceso Restringido

navegador del cliente. El acceso contendrá un

La aplicación debe asegurar que los

mecanismo para otorgar permisos

usuarios de la misma tengan acceso

a funciones y recursos

solamente a las funciones, recursos y

autorizados.

A uditori udi tori a Infor In formá mátic tica a datos que están específicamente…

ART CULO 57.- Acceso Acceso al Sistema Sistema de Banca En cada acceso al sistema de

Electrónica En cada acceso al sistema de banca

banca electrónica, el cliente podrá

electrónica, la pantalla deberá mostrar al

ver información referente a la

cliente, detalles del tiempo de su última

sesión y sus datos de usuario.

conexión y la dirección… ART CULO 58.- Impresi Impresión ón y/o Resguardo Resguardo de Instrucciones El usuario podrá, hasta donde sea posible, guardar y/o imprimir en tiempo real, todos los por menores de la instrucción que fue dada. ARTÍCULO

59.-

Medidas

para

En este artículo de talla que el usuario podrá, guardar y/o imprimir en tiempo real, todos los por menores de la instrucción que fue dada.

Evitar

Accesos no Autorizados La institución deberá tomar las medidas

La institución deberá tomar las medidas para evitar el acceso no

que estén dentro de su control para evitar autorizado, protegerá la exposición el acceso no autorizado. También deberá

de información del cliente.

proteger la exposición…

ARTÍCULO 60.- Transacciones de Banca Electrónica a Favor de Terceros Las transacciones a favor de terceros, que realice un cliente por medios electrónicos deberán sujetarse a techos o topes que

La institución define un máximo o límite para las transacciones a favor de terceros.

deberán ser definidos en la ARTÍCULO 61.- Transmisión de Datos

La institución deberá solicitar al

Cuando el cliente imparta una instrucción

cliente que especifique las

para efectuar un pago a un tercero a través

particularidades del beneficiario y

del servicio de banca electrónica, la la naturaleza y frecuencia de pago institución deberá requerirle que

al efectuar pagos a terceros.

ARTÍCULO 62.- Establecimiento de Techos

Los montos máximos de las


para las Operaciones Autorizadas

transacciones para acreditar a

Los montos máximos de las transacciones

otras cuentas, serán determinados para cada cliente

para acreditar a otras cuentas…

por la institución, y deberán ser respetados tanto por el cliente como por la institución.

ART CULO 63.- Lista Lista de Beneficiari Beneficiarios os

La institución deberá mantener

La institución deberá mantener almacenada

almacenada una lista de

en medios electrónicos, una lista de

beneficiarios por cada cliente que

beneficiarios por cada cliente que use el

use el servicio de banca

servicio de banca electrónica, la cual

electrónica.

ART CULO 64.- Actualizac Actualización ión de Lista de Beneficiarios

actualizada su lista de

El cliente deberá mantener actualizada su lista

de

El cliente deberá mantener

beneficiarios

y

todas

sus

beneficiarios y todas sus particularidades, incluyendo los techos o topes de los pagos a

particularidades, incluyendo …

favor de cada beneficiario.

ART CULO 65.- Correo Correo Electróni Electrónico co La institución deberá tomar en cuenta el

La institución determinará las

grado

inequívoca

operaciones que sus clientes

identificación de un cliente enviando correo

podrán realizar por medio de

de

electrónico,

necesidad de

de

autenticación

y

de

correo electrónico.

aseguramiento de los …

ARTÍCULO 66.- Procedimiento Formalizado La institución deberá contar con un

Se establece la forma en que la

procedimiento formalizado para mantener

institución mantendrá

comunicaciones

electrónicas

con

los

comunicación con cada cliente.

clientes….

ART CULO 67.- Envío Envío de Normas Normas de Revelación de Información La institución podrá hacer llegar a sus

La institución podrá hacer uso del correo electrónico para las notificaciones de sus políticas o


clientes, por medio de correo electrónico o

normas de revelación de información, así como cualquier

por su sitio de Internet…

otra información relacionada a las obligaciones de confidencialidad.

ART CULO 68.- Remisión Remisión de Información Información La institución deberá llevar registros, estadísticas y a la vez comunicar a la Comisión,

los

siguientes

temas

y

eventos:…

ART CULO 69.- Program Programa a de Reporte de Eventos

La institución deberá llevar un registro de cada intento de ataque y penetración. Así como de la suspensión de algún servicio. Los reportes deberán ser registrados por medio de un

Los reportes señalados en los numerales 1)

programa a disposición de las

y 2) del Artículo anterior, deberán ser

instituciones por la CNBS y

registrados utilizando el Programa de

deberán ser enviados con 70 días

Reporte de Eventos que está a…

de anticipación.

ARTÍCULO 70.- Aplicación Especial La aplicación de las presentes normas a las instituciones subsidiarias de instituciones extranjeras

o

miembros

de

Grupos

Financieros extranjeros…

ART CULO 71.- Banca Banca del Exterior Exterior Cuando las presentes normas se apliquen a las

instituciones

subsidiarias

de

instituciones extranjeras o miembros de Grupos Financieros extranjeros proteger

sus

sistemas

podrán adaptarse a sus necesidades particulares previa comunicación a la Comisión. En este artículo se trata sobre modificaciones al texto de algunos artículos contenidos en la normativa. Se define la utilización de

ARTÍCULO 72.- Controles de Seguridad Para

Para instituciones extranjeras,

las

controles de seguridad para la

instituciones deberán incorporar como

detección de software malicioso y

mínimo en todas sus redes los controles de

la actualización de los sistemas

Seguridad ARTÍCULO 73.- Plazo de Adecuación

operativos y otros programas. Las instituciones tendrán un año a


Las instituciones del sistema financiero

partir de la vigencia de la

tendrán un plazo de un (1) año, contado a

normativa para cumplir con cada

partir de la entrada en…

uno de los artículos antes expuestos. Las instituciones están obligadas a

ART CULO 74.- Continuid Continuidad ad de Contratos Contratos Las instituciones del sistema financiero deberán

darle

vencimiento

continuidad

de

conformidad

hasta con

su

pactados actividades contratadas

los antes de la entrada en vigencia de

términos pactados ART CULO 75.- Vigencia Vigencia Las presentes normas entrarán en vigencia a partir de la fecha de su publicación en el diario oficial “La Gaceta”.

continuar con las términos

las presentes normas. La vigencia de la normativa se hará a partir de su publicación en el Diario La Gaceta.


Analizar la Diferencia Entre ISO 17799 17799 e ISO 27001 En general, la ISO 27001 es la especificación del sistema de gestión de la seguridad de la información (SGSI). Esta norma será certificable bajo los esquemas nacionales de cada país. Y la ISO 27002, actualmente la ISO 17799, que describe el Código de buenas prácticas para la gestión de la seguridad de la información. La ISO 27002 es una guía para, en distintos ámbitos, conocer qué se puede hacer para mejorar la seguridad de la información. Expone, en distintos campos, una serie de apartados a tratar en relación a la seguridad. Los objetivos de seguridad a perseguir, una serie de consideraciones o controles a tener en cuenta para cada objetivo y un conjunto de sugerencias para cada uno de esos controles. Por su parte, la ISO 27001 habla de los controles de forma residual. El núcleo de la norma anterior queda reducido a un listado de objetivos de control y controles incluidos en un anexo. Porque lo que importa en esta norma es la gestión de la seguridad, en forma de SISTEMA DE GESTIÓN. Lo importante en la ISO 27001 es que los riesgos se analicen y se gestionen, que la seguridad se planifique, se implemente y, sobre todo, se revise, se corrija y mejore.

Analizar la Diferencia Entre COBIT 4.1 4.1 y COBIT 5 COBIT 4.1 Usa un modelo de madurez para la mejora de procesos, evaluar la madurez de un proceso, definir nivel objetivo de madurez e identificar las deficiencias. Estos modelos se utilizan para evaluar la madurez actual o en el estado en que se encuentran los procesos relacionados con las TI de una empresa, para definir un estado de madurez demandado, y para determinar la brecha entre ellos y la forma de optimizar el proceso para alcanzar el nivel de madurez deseado. COBIT 5 incluye un modelo de capacidad de procesos, basado en la norma internacionalmente reconocida ISO / IEC 15504 de Ingeniería de Software-


Evaluación de Procesos. Este modelo alcanzará los mismos objetivos generales de evaluación de procesos y apoyo a la mejora de procesos, es decir, que proporcionará un medio para medir el desempeño de cualquiera de los procesos de gobierno (basado en EDM) o de gestión (basado en PBRM), y permitirá identificar áreas de mejora. Las diferencias más importantes COBIT 4.1 y COBIT 5 se pueden resumir en: 

La nomenclatura y significado de los niveles definidos en la ISO/IEC 15504 son muy diferentes de aquellos de COBIT 4.1.



En la norma ISO/IEC 15504 los niveles de capacidad se definen por un conjunto de nueve atributos de proceso. Estos atributos cubren algo del terreno cubierto por los atributos de madurez COBIT 4.1 y/o los controles de proceso, pero solo so lo en cierta medida y de forma distinta.



Los resultados de la evaluación serán menores al usar el modelo de de capacidad de procesos de COBIT 5. En el modelo de madurez de COBIT 4.1, un proceso podía alcanzar un nivel 1 ó 2 sin alcanzar completamente todos los objetivos del proceso; con los niveles de la capacidad de procesos de COBIT 5, esto implicaría un resultado inferior, entre 0 y 1.



El modelo de madurez de COBIT 4.1 producía un perfil de madurez de la empresa que identifica en qué dimensión o para qué atributos había debilidades específicas que necesitaban mejoras. En COBIT 5 el modelo de evaluación proporciona una escala de medida para cada atributo de capacidad y guía sobre cómo aplicarlo, por lo que por cada proceso se puede hacer un análisis para cada uno de los nueve atributos de capacidad

Verificar la Diferencia Entre BS 25999 e ISO 22301 La diferencia entre BS 25999 e ISO 22301 radica en los siguientes puntos; pun tos;

Conocimiento de la Organización: Planificación; Las referencias a la necesidad de una correcta planificación aportan una fundamental diferencia y aporte de la norma sobre sus antecesoras. Podemos decir que el éxito de un sistema de


Gestión de Continuidad del Negocio se basa en una eficaz definición de Objetivos apoyados en una adecuada asignación de recursos tanto materiales como humanos.

Las Partes Interesadas: Otro enfoque novedoso es el mayor énfasis en la: 

Identificación de las partes interesadas, sus necesidades y objetivos



Desarrollo de una comunicación fluida y eficaz entre las partes interesadas.



Todo lo anterior debe ser demostrable.

Liderazgo de la Dirección: Como queda claro en el punto anterior, la necesidad de evidencias que demuestren el compromiso de la alta dirección en el desempeño del Sistema de Continuidad del negocio, son apoyadas por una constante referencia a la necesidad de un verdadero Liderazgo de la dirección en el control, apoyo y revisión del funcionamiento del sistema. El liderazgo por tanto de la dirección de la empresa significa una implicación directa en la: 

Responsabilidad global por la eficacia del SGCN en la Supervisión.



Medición, análisis y evaluación del sistema.



Comunicación: Las comunicaciones toman un protagonismo especial en este sistema, donde aparecen nuevos requisitos en: 

Comunicaciones sobre incidentes (Antes, Después y Durante su aparición)



Control de la gestión adecuada de las comunicaciones (Oportunidad) (Oportunidad) tanto tanto internas como externas a terceras partes.



Análisis de los métodos métodos utilizados utilizados para las comunicaciones (capacidad, disponibilidad, métodos alternativos) incluyendo pruebas ante posibles incidentes perturbadores

Análisis y Evaluación del Desempeño: Este es otro de los aspectos novedosos sobre la norma BS 25999, estableciéndose nuevos requisitos de medición,


evaluación y análisis de la eficacia del Sistema de Continuidad del Negocio.

En resumen, aunque los aspectos más importantes de la continuidad del negocio son comunes a ambas normas, la Norma ISO 22301 pone mayor énfasis en la comprensión de los requisitos, el Liderazgo de la dirección y en el establecimiento de Objetivos medibles y en el control de su desempeño.

Investigación de los Controles de COSO Para comenzar, el control Interno en el ámbito del COSO es un sistema el cual está ubicado en el más alto nivel organizacional, con direccionamiento estratégico y una clara precisión que combina objetivos, componentes y niveles. Es una herramienta extremadamente útil para el diseño, la implementación, el mejoramiento y evaluación del control interno, sin embargo, en un escalafón más alto tenemos la ley SOX, la cual califica y de cierta forma certifica todo la metodología de COSO (en este caso, evalúa todos los controles implementados dentro de una organización). En la evaluación de los controles de COSO, existen dos clases de evaluaciones que a continuación se mencionaran según la norma:

Evaluación de los Controles Informales En la cual indica que para aplicar esta metodología, es necesario identificar los controles informales dentro del componente ambiente de control. Esta evaluación, realizada por profesionales de auditoría interna mediante talleres y análisis, se enfoca en el grupo de personal operativo (sin la gerencia de estos) evaluando unidades de trabajo o funciones específicas. En este la gerencia es la responsable de definir los objetivos de trabajo, como también los controles necesarios apoyando estos objetivos.


Dentro de esta metodología se utilizan plantillas para evaluación de riesgo de auditoría y fijación de prioridades, previstas en el modelo C.O.S.O. Los colaboradores votan para definir la importancia de cada aspecto y para evaluar la eficacia. Este procedimiento se automatiza proporcionando de esta manera los resultados de los talleres que son presentados en forma adecuada para su posterior análisis.

Evaluación de Controles Formales Esta metodología analiza las actividades de control que se relacionan con los objetivos específicos de los trabajos que se realizan en cada área de la organización. En este se evalúan los controles específicos de los otros cuatro componentes de COSO: 

Evaluación de riesgos.



Actividades de control.



Información y comunicación.



Monitoreo o supervisión.

Dentro de esta segunda metodología se trata con la gerencia sobre la importancia y la eficacia de los controles propuestos a fin de que ayuden a concretar los objetivos y con la información obtenida se elaboran las plantillas para la evaluación y votación por los colaboradores afectados a dichas tareas.

Norma ISO 27032 de Ciberseguridad. La norma ISO/IEC 27032:2012 "Tecnología de la información - Técnicas de seguridad - Directrices para la Ciberseguridad" (publicada en julio del 2012). Se trata de un estándar que garantiza directrices de seguridad que desde la organización han asegurado que “proporcionará una colaboración general entre

las múltiple s partes interesadas para reducir riesgos en Internet”. Más concretamente, ISO/IEC 27032 proporciona un marco seguro para el intercambio


de información, el manejo de incidentes y la coordinación para hacer más seguros los procesos. “La norma (ISO/IEC 27032 ) facilita la colaboración segura y fiable para proteger la

privacidad de las personas en todo el mundo. De esta manera, puede ayudar a prepararse, detectar, monitorizar y responder a los ataques”, han explicado desde

ISO. La organización espera que ISO/IEC 27032 permita luchar contra ataques de ingeniería social, hackers, malware, spyware y otros tipos de software no deseado. Proporciona un marco de orientación para mejorar el estado de la Ciberseguridad, usando para ello los aspectos estratégicos y técnicos relevantes para esa actividad, y sus dependencias con otros dominios de seguridad, en particular: 

Seguridad de la información (considerando que la información es el activo más relevante de cualquier organización),



Seguridad en redes,



Seguridad en el Internet, y



La protección de infraestructuras críticas de información.

Partes Interesadas en el Ciberespacio El Ciberespacio no pertenece a ninguna persona o empresa, todo el mundo participa y tiene participación en él, para los fines del ISO 27032, las partes interesadas en el Ciberespacio se clasifican en los siguientes grupos: 

Los consumidores, incluyendo incluyendo personas; y organizaciones privadas y públicas;



Los proveedores, incluyendo, pero sin limitarse limitarse a los los proveedores de servicios de Internet, y los proveedores de servicio de aplicaciones

Activos en el Ciberespacio Un activo se define como algo que tiene valor para la organización. Hay muchos tipos de activos, incluyendo los siguientes: 

la información;



software, como un programa o software;

A uditori udi tori a Infor In formá mátic tica a 

hardware, tal como un computador;



servicios, como la electricidad;



las personas, sus habilidades y experiencia, y



los activos activos intangibles, como la reputación y la imagen ante los los clientes.

Protección de los activos en el Ciberespacio En sus marcos de ciberseguridad, tanto el Instituto Nacional de Estándares y Tecnología (NIST), la Agencia Europea de Red y Seguridad de la Información (ENISA) e ISO han identificado cinco funciones clave necesarias para la protección de los activos digitales. Estas funciones coinciden con las metodologías de gestión de incidentes e incluyen las siguientes actividades: 

Identificar : Utilice la comprensión de la organización para minimizar el riesgo de los sistemas, activos, datos y capacidades.



Proteger : Diseño salvaguardias para limitar el impacto de los eventos potenciales sobre los servicios y las infraestructuras críticas.



Detectar : Ejecutar actividades para identificar la ocurrencia de un evento de ciberseguridad.



Responder : Tomar las medidas apropiadas después de enterarse de un evento de seguridad.



Recuperar : Planificar la capacidad de recuperación y la reparación oportuna de capacidades y servicios comprometidos.

Validar la diferencia entre iso 31000 e ISO 27005 El primero de ellos es ISO 31000, proporciona directrices generales para cualquier área de gestión de riesgos (es decir, finanzas, ingeniería, seguridad, entre otros). Aunque la mayoría de las organizaciones ya cuentan con una metodología definida para administrar los riesgos, esta nueva norma define un conjunto de


principios que se deben seguir para garantizar la efectividad de la gestión de riesgos. Sugiere que las empresas deben desarrollar, implementar y mejorar continuamente un marco cuyo objetivo sea integrar el proceso para gestionar los riesgos asociados con la gobernanza , la estrategia y la planificación, así como la gestión, el informe de datos y resultados, políticas, valores y cultura en toda la organización. El otro es ISO 27005. Parte de la ISO 27000 desde 2008, esta norma establece las mejores prácticas de gestión de riesgos específicamente orientadas a la gestión de riesgos para la seguridad de la información, particularmente en lo que respecta al cumplimiento de los requisitos de un Sistema de gestión de la seguridad de la información (SGSI) por ABNT NBR ISO / IEC 27001. Establece que las mejores prácticas de gestión de riesgos deben definirse de acuerdo con las características de la organización, teniendo en cuenta el alcance de su SGSI, el contexto de gestión de riesgos, así como su industria. De acuerdo con el marco descrito en esta norma para implementar los requisitos del SGSI, se pueden utilizar varias metodologías diferentes y se pueden introducir diferentes enfoques para la gestión del riesgo en lo que se refiere a la seguridad de la información en el apéndice del documento. Veamos las diferencias;

Mejores prácticas de gestión de riesgos para ISO 31000 Aunque ISO 31000 representa el proceso de gestión más a fondo, y tiene diferentes términos y expresiones, ambos estándares abordan el proceso de gestión de riesgos de manera similar. Según ISO 31000 , las organizaciones típicamente determinan el contexto y gestionan el riesgo identificándolo, analizándolo y posteriormente evaluando si el riesgo debe ser modificado por un enfoque estratégico para cumplir con sus criterios de riesgo. A lo largo de todo este proceso, estas organizaciones deben comunicarse y consultar con las partes interesadas, mientras monitorean y analizan críticamente el riesgo y los controles que lo modifican, para garantizar que no se requiera un enfoque de gestión de riesgos adicional.


Mejores prácticas de gestión de riesgos para ISO 27005 En cuanto a ISO 27005, la gestión de riesgos en lo que se refiere a la seguridad de la información debe definir el contexto, evaluar los riesgos y abordarlos a través de un plan, con el fin de implementar las recomendaciones y decisiones. La gestión de riesgos analiza los eventos potenciales y sus consecuencias antes de decidir qué hacer y cuándo hacerlo, a fin de reducir los riesgos a un nivel aceptable. Además, el estándar incluye decisiones sobre el análisis y tratamiento de riesgos, ya que las actividades de aceptación de riesgos garantizarán que los riesgos residuales sean explícitamente aceptados por la administración de la compañía. Esto es particularmente importante en situaciones donde la implementación del control se omite o se pospone, por ejemplo, debido al costo. Aunque las mejores prácticas de gestión de riesgos se han desarrollado a lo largo del tiempo para satisfacer necesidades específicas en muchas áreas e industrias mediante el uso de distintas metodologías, la adopción de procesos coherentes dentro de una estructura global puede ayudar a garantizar que los riesgos se gestionen de manera eficiente, efectiva y coherente. en toda la organización. ISO 31000 es el estándar principal, que proporciona las directrices y principios generales para gestionar cualquier tipo de riesgo de forma sistémica, transparente y confiable, dentro de cualquier ámbito y contexto; mientras que, ISO270005 es el estándar especializado que complementa a la matriz al proporcionar las mejores prácticas para gestionar los riesgos relacionados con la seguridad de la información.

La Importancia Actual de GDPR GDPR es la nueva iniciativa de la Unión Europea que amplía los derechos individuales de los ciudadanos reforzando, armonizando y modernizando las leyes de protección de datos. Son las siglas de General Data Protection Regulation (Reglamento General de Protección de Datos o RGPD). La norma supone unas


nuevas e importantes obligaciones para las empresas que traten con datos personales de ciudadanos de la Unión Europea. Desde el primer minuto en que se ponga en marcha un servicio o un producto, las compañías estarán obligadas a establecer la privacidad por defecto de dichos datos. Entre los cambios que implica, GDPR amplía y mejora la definición de información personal: datos como las direcciones IP, la información cultural, económica o social, nombres de usuario y pseudónimos, registros de proveedores y de personal, entre otros, están cubiertos por esta ley y son considerados personales. Otra las principales restricciones es que se necesitará consentimiento por parte de los usuarios quienes, a su vez, podrán revocarlo. Además, éstos tendrán derecho a saber cómo, dónde y con qué finalidad se procesan sus datos personales. Derechos incluidos en GDPR Los derechos que el GDPR reconoce a los ciudadanos son; 

Tienen derecho a saber quién y para qué utilizan nuestros datos, durante cuánto tiempo se van a conservar y si en su tratamiento va ha haber elaboración de perfiles y decisiones automatizadas, sobre todo si tienen consecuencias legales como en el cálculo de un seguro. Por supuesto, tenemos el derecho de presentar denuncias ante la autoridad competente, la AGPD en España, si las empresas no atienden nuestras reclamaciones.



Todas las organizaciones públicas o privadas que traten nuestros datos deben identificar quién es el Responsable del tratamiento y cómo podemos solicitar el ejercicio de nuestros derechos, por ejemplo la suspensión del tratamiento, la conservación de nuestros datos pero sin tratarlos, o la portabilidad de los mismos en un formato que otros Responsables puedan tratar.



Tienen el derecho de rectificar nuestros datos cuando sean inexactos o estén incompletos. Para ello el Responsable del tratamiento deberá facilitarnos un procedimiento sencillo, preferiblemente un formulario web.

A uditori udi tori a Infor In formá mátic tica a 

Se podrá pedir que supriman nuestros datos si se ha producido un tratamiento ilícito, o si ha desaparecido la finalidad que motivó su recogida. Podemos

hacerlo

en

cualquier

momento

si

revocamos

nuestro

consentimiento o por simple oposición a que sean tratados. 

También tienen tienen derecho a oponernos al tratamiento tratamiento de nuestros datos por motivos personales y cuando el tratamiento tenga por objeto el marketing directo masivo. Sin embargo, el Responsable puede acreditar interés legítimo, como la emisión de facturas o la comunicación de boletines de seguridad.

Link video en Youtube. https://youtu.be/fQyooYbgYxM


Conclusiones Las normativas tienen como propósito que las evaluaciones sean lo más objetivas y uniformes posibles, existiendo estándares homogéneos para el cumplimiento de los Principios Básicos. Para las organizaciones son instrumentos que permiten minimizar los costos, ya que hacen posible la reducción de errores y sobre todo favorecen el incremento de la productividad. Los estándares internacionales ISO son clave para acceder a mercados nacionales e internacionales y de este modo, estandarizar el comercio en todos los países favoreciendo a los propios organismos públicos.


Recomendaciones 

Es de suma importancia para las empresas, conocer e implementar las las normativas Nacionales e Internacionales.



Para los los profesionales de IT, capacitarse constantemente constantemente y aplicar todas las las recomendaciones de buenas prácticas detalladas en estas normativas.


Bibliografía 

Anon,

(2018).

[online]

Available

at:

https://es.linkedin.com/pulse/gesti%C3%B3n-de-la-ciberseguridadseg%C3%BAn-el-isoiec-gianncarlo-g%C3%B3mez-morales

[Accessed 5

May 2018]. 

Theriskacademy.org. (2018). The Risk Management Academy | Comparing ISO

31000

and

ISO

27005.

[online]

Available

at:

http://theriskacademy.org/is0-31000-iso-27005/ [Accessed 5 May 2018]. 

Software

ISO.

(2018).

Normas

ISO.

[online]

Available

at:

https://www.isotools.org/normas/ [Accessed 5 May 2018]. 

GDPR, 5. (2018). 5 grandes razones para aplaudir el GDPR. [online] Asociacionmicroempresas.com.

Available

at:

http://www.asociacionmicroempresas.com/index.php/blog/entry/5-grandesrazones-para-aplaudir-el-gdpr [Accessed razones-para-aplaudir-el-gdpr [Accessed 5 May 2018]. 

Cnbs.gob.hn. (2018). CNBS - Circular CNBS No.119/2005. [online] Available

at:

http://www.cnbs.gob.hn/files/circulares/2005/C1192005.htm

[Accessed 5 May 2018].

T1.docx

Recommend Documents