6_alicia barnadquito v si plantilla exp. archivos auditoria .pdf
TRANSCRIPT
-
1
-
2 2
Ttulo diapositiva
Auditora documental y seguridad de la informacin: Como generar un Sistema
de Seguridad de la Informacin?
Alicia Barnard Amozorrutia
Quito, Ecuador, abril 25, 2014
-
3
Contenido
Auditora y seguridad de la informacin. Definicin de conceptos
Gestin de riesgos como herramienta para la auditora y la seguridad de la informacin
Los documentos y los archivos en ambientes de cmputo en la nube y la seguridad de la informacin
-
4
Marco de la Gestin Documental
Un esquema legal y de polticas
Una estructura para su
administracin
Una estrategia o plan de gestin
documental
Un esquema de evaluacin
y auditora
-
5
Gestin documental-IS0 30300
Propsitos (entre otros)
Proporcionar proteccin y sustento en litigios incluyendo la gestin de riesgos asociados con la existencia o falta de evidencia de la
actividad organizacional
Proteger a los intereses de la organizacin, los derechos de sus empleados, clientes e
interesados presentes y futuros
Sistemas de gestin documental seguros
Mediante el empleo de medidas de control que previenen acciones no autorizadas
(acceso, destruccin, alteracin , remocin) para respaldar la rendicin de cuentas y la
gestin de riesgos
El proceso de aproximacin a un sistema de gestin documental enfatiza la importancia de implementar y operar controles para manejar los
riesgos en relacin con los documentos de archivo dentro del contexto de todos sus riesgos de la organizacin
-
6
Auditora en la gestin documental
Autoevaluacin, evaluacin interna o por un tercero para verificar el cumplimiento de polticas o estndares o procesos,
establecidos para un sistema de gestin documental mismas que por general concluyen con recomendaciones para cambios en
controles y procedimientos tiles a la mejora continua o ajuste de actividades conducentes al cumplimiento dela poltica para la
gestin documental. La gestin de riesgos es una herramienta importante para la
auditora ya que los controles por lo general se establecen para prevenir o reducir riesgos, esto implica que la evaluacin de
controles identifique los riesgos a prevenir, detectar o corregir.
-
7
Seguridad de la informacin
-
8
Poltica de Informacin
Asegurar la compatibilidad con la legislacin, regulacin o lineamientos aplicables
Cumplir requisitos de confidencialidad, integridad y disponibilidad de los usuarios de la organizacin.
Establecer controles para proteger la informacin y los sistemas de informacin en contra de robo, abuso u otras formas de dao y prdida.
Motivar para mantener la responsabilidad de propiedad y conocimiento acerca de la seguridad de la informacin a fin de minimizar el riesgo de los incidentes de seguridad.
Asegurar que la organizacin tiene capacidad para continuar sus servicios aun si se presentan incidentes mayores,
Asegurar la proteccin de datos personales (privacidad) Asegurar la disponibilidad y fiabilidad de la infraestructura de red y los servicios
proporcionados y operados por la organizacin.
Cumplir con mtodos de estndares internacionales para la seguridad de la informacin. e.g. ISO/IEC 27001.
Asegurar que los proveedores de servicios externos cumplen con las necesidades y requisitos de seguridad de la informacin de la organizacin.
-
9
Gestin de Riesgos
Seguridad de la informacin: actividades
destinadas a evaluar y
manejar los riesgos de la informacin
Implementacin y operacin de
gestin de riesgos como parte del
proceso de aproximacin a un sistema de gestin
documental
-
10
Gestin de Riesgos
Proceso de identificar vulnerabilidades y amenazas a los recursos de informacin
utilizados por una organizacin para alcanzar sus objetivos y decidir cuales controles, si alguno, deben aplicar para reducir el riesgo a un nivel aceptable, basado en el valor del recurso de
informacin de la organizacin
-
11
Etapas de la Gestin de Riesgos
Decisin sobre los activos, aceptar riesgos, reducir riesgos, evitar riesgos, transferir riesgos.
Establecimiento de planes tcticos para implementacin de controles
Asignacin de nivel de prioridad, orden de importancia y orden de actividades para su proteccin.
Implementacin de salvaguardas. Establecer medidas de prevencin y mitigacin de riesgos adicionales a los activos.
Evaluacin de mitigaciones. Tomar en consideracin los controles existentes para mitigar riesgos identificados.
Evaluacin del riesgo. Identificar amenazas y vulnerabilidades, describir el riesgo probabilidad de impacto, controles existentes, calificar el nivel de riegos.
-
12
Algunas medidas preventivas para control de riesgos
-
13
Requisitos bsicos para los documentos de archivo digitales para verificacin de repositorios digitales
Misin y compromiso para el mantenimiento del objeto digital
Aptitud organizacional
Legitimidad legal y normativa
Polticas eficientes y efectivas
Infraestructura tcnica adecuada
Adquisicin e ingreso
Preservacin del la integridad, autenticidad y uso del objeto digital
-
14
Y la seguridad de la informacin en la nube?
Generacin X (nacidos en la dcada de los 70s del siglo pasado)
Generacin Y (nacidos a partir de 1980)
Valores Valores
Acceso abierto Integracin de lo pblico y lo privado (produsers)
Privacidad/confidencialidad Fuentes de muchos (crowdsourcing)
Derechos intelectuales Copropiedad
Responsabilidad Compartir
Compatibilidad Trabajo en caza (fuerza de trabajo distribuida)
Rendicin de cuentas Trae tu dispositivo al trabajo (utiliza mltiples nubes
Evidencia textual Convergencia de medios
Memoria registrada Conectividad constante
Preservacin permanente Lenguaje visual
Impacto instantneo, efmero
-
15
Los retos cuando la informacin ya no est en un sistema de gestin documental en servidores de la organizacin
La prctica del re-uso
Cambios sustanciales
en el contexto de materiales.
Re-uso, modificacin,
nuevos propsitos
Un campo moral y tico
complejo.
Perfiles, citas, compras
compartidos en medios sociales.
Vigilancia del propio usuario y de sus eventos.
Autoconocimiento a travs de nmeros
nmero de individuos
Se comparte en grupos
Movimiento de informacin de un crculo a otro, cruzando lneas de
lo publico y lo privado
Grupos empleados crean material inter-vinculado en relacin
con un proyecto, inters comn sin establecer a quien
pertenece el material.
Las vidas, actividades o iniciativas digitales
se vinculan unas a otros.
-
16
Los retos cuando la informacin ya no est en un sistema de gestin documental en servidores de la organizacin
Datos personales mantenidas y controladas por organizaciones privadas y gobiernos. Expedientes clnicos (secuencia de genes, medicamentos informacin sobre seguros) en la
nube Biografas y datos biogrficos estn disponibles en la red aunque pertenecen a la plataforma
privada que los hospeda.
Gobierno y redes sociales. Servicios al ciudadano Acceso a la informacin Involucramiento directo de la comunidad
Documentos de archivo en medios sociales El publico involucrado en la toma de decisiones de gobierno Consultas pblicas y propuestas de desarrollo por parte del pblico Anuncios de gobierno Medios sociales como medios de comunicacin en emergencias
-
17
InterPARES Trust
Generar esquemas tericos y metodolgicos que sustenten el desarrollo de redes de polticas, procedimientos, regulaciones, normas y legislacin relacionada con los
documentos de archivo que son confiados a la internet con el fin de asegurar la
confianza pblica basada en evidencia de una buena gobernanza, una economa
digital fuerte y la memoria digital persistente.
-
18
Tipos de nube, tipos de contratacin, costos, etc. Infraestructura
Metadatos de integridad, cadena de custodia, retencin y disposicin, control intelectual, etc. Control
Datos abiertos, gobierno abierto, transparencia, derecho a recordar vs. derecho a olvidar Acceso
Derechos intelectuales, peso de evidencia, autenticacin, certificacin, cadena de evidencia Legislacin
Terminologa Recursos Polticas Temas sociales Educacin
Dominios Transversales
InterPARES Trust. Dominios de Investigacin
-
19
Conclusiones
Hacer uso de la gestin de riesgos como herramienta para la auditora y
los esquemas de seguridad de la informacin.
Realizar estudios y alianzas para el desarrollo de prcticas y herramientas necesarias para la produccin, manejo y preservacin de los documentos de archivo autnticos, fiables y accesibles
en la nube.
-
20 20
MUCHAS GRACIAS! Alicia
Nmero de diapositiva 1Nmero de diapositiva 2ContenidoMarco de la Gestin Documental Gestin documental-IS0 30300 Auditora en la gestin documental Seguridad de la informacinPoltica de InformacinNmero de diapositiva 9Gestin de Riesgos Etapas de la Gestin de RiesgosAlgunas medidas preventivas para control de riesgosRequisitos bsicos para los documentos de archivo digitales para verificacin de repositorios digitalesY la seguridad de la informacin en la nube?Los retos cuando la informacin ya no est en un sistema de gestin documental en servidores de la organizacinLos retos cuando la informacin ya no est en un sistema de gestin documental en servidores de la organizacinInterPARES TrustNmero de diapositiva 18Conclusiones Nmero de diapositiva 20