1

2 2

Ttulo diapositiva

Auditora documental y seguridad de la informacin: Como generar un Sistema

de Seguridad de la Informacin?

Alicia Barnard Amozorrutia

Quito, Ecuador, abril 25, 2014

3

Contenido

Auditora y seguridad de la informacin. Definicin de conceptos

Gestin de riesgos como herramienta para la auditora y la seguridad de la informacin

Los documentos y los archivos en ambientes de cmputo en la nube y la seguridad de la informacin

4

Marco de la Gestin Documental

Un esquema legal y de polticas

Una estructura para su

administracin

Una estrategia o plan de gestin

documental

Un esquema de evaluacin

y auditora

5

Gestin documental-IS0 30300

Propsitos (entre otros)

Proporcionar proteccin y sustento en litigios incluyendo la gestin de riesgos asociados con la existencia o falta de evidencia de la

actividad organizacional

Proteger a los intereses de la organizacin, los derechos de sus empleados, clientes e

interesados presentes y futuros

Sistemas de gestin documental seguros

Mediante el empleo de medidas de control que previenen acciones no autorizadas

(acceso, destruccin, alteracin , remocin) para respaldar la rendicin de cuentas y la

gestin de riesgos

El proceso de aproximacin a un sistema de gestin documental enfatiza la importancia de implementar y operar controles para manejar los

riesgos en relacin con los documentos de archivo dentro del contexto de todos sus riesgos de la organizacin

6

Auditora en la gestin documental

Autoevaluacin, evaluacin interna o por un tercero para verificar el cumplimiento de polticas o estndares o procesos,

establecidos para un sistema de gestin documental mismas que por general concluyen con recomendaciones para cambios en

controles y procedimientos tiles a la mejora continua o ajuste de actividades conducentes al cumplimiento dela poltica para la

gestin documental. La gestin de riesgos es una herramienta importante para la

auditora ya que los controles por lo general se establecen para prevenir o reducir riesgos, esto implica que la evaluacin de

controles identifique los riesgos a prevenir, detectar o corregir.

7

Seguridad de la informacin

8

Poltica de Informacin

Asegurar la compatibilidad con la legislacin, regulacin o lineamientos aplicables

Cumplir requisitos de confidencialidad, integridad y disponibilidad de los usuarios de la organizacin.

Establecer controles para proteger la informacin y los sistemas de informacin en contra de robo, abuso u otras formas de dao y prdida.

Motivar para mantener la responsabilidad de propiedad y conocimiento acerca de la seguridad de la informacin a fin de minimizar el riesgo de los incidentes de seguridad.

Asegurar que la organizacin tiene capacidad para continuar sus servicios aun si se presentan incidentes mayores,

Asegurar la proteccin de datos personales (privacidad) Asegurar la disponibilidad y fiabilidad de la infraestructura de red y los servicios

proporcionados y operados por la organizacin.

Cumplir con mtodos de estndares internacionales para la seguridad de la informacin. e.g. ISO/IEC 27001.

Asegurar que los proveedores de servicios externos cumplen con las necesidades y requisitos de seguridad de la informacin de la organizacin.

9

Gestin de Riesgos

Seguridad de la informacin: actividades

destinadas a evaluar y

manejar los riesgos de la informacin

Implementacin y operacin de

gestin de riesgos como parte del

proceso de aproximacin a un sistema de gestin

documental

10

Gestin de Riesgos

Proceso de identificar vulnerabilidades y amenazas a los recursos de informacin

utilizados por una organizacin para alcanzar sus objetivos y decidir cuales controles, si alguno, deben aplicar para reducir el riesgo a un nivel aceptable, basado en el valor del recurso de

informacin de la organizacin

11

Etapas de la Gestin de Riesgos

Decisin sobre los activos, aceptar riesgos, reducir riesgos, evitar riesgos, transferir riesgos.

Establecimiento de planes tcticos para implementacin de controles

Asignacin de nivel de prioridad, orden de importancia y orden de actividades para su proteccin.

Implementacin de salvaguardas. Establecer medidas de prevencin y mitigacin de riesgos adicionales a los activos.

Evaluacin de mitigaciones. Tomar en consideracin los controles existentes para mitigar riesgos identificados.

Evaluacin del riesgo. Identificar amenazas y vulnerabilidades, describir el riesgo probabilidad de impacto, controles existentes, calificar el nivel de riegos.

12

Algunas medidas preventivas para control de riesgos

13

Requisitos bsicos para los documentos de archivo digitales para verificacin de repositorios digitales

Misin y compromiso para el mantenimiento del objeto digital

Aptitud organizacional

Legitimidad legal y normativa

Polticas eficientes y efectivas

Infraestructura tcnica adecuada

Adquisicin e ingreso

Preservacin del la integridad, autenticidad y uso del objeto digital

14

Y la seguridad de la informacin en la nube?

Generacin X (nacidos en la dcada de los 70s del siglo pasado)

Generacin Y (nacidos a partir de 1980)

Valores Valores

Acceso abierto Integracin de lo pblico y lo privado (produsers)

Privacidad/confidencialidad Fuentes de muchos (crowdsourcing)

Derechos intelectuales Copropiedad

Responsabilidad Compartir

Compatibilidad Trabajo en caza (fuerza de trabajo distribuida)

Rendicin de cuentas Trae tu dispositivo al trabajo (utiliza mltiples nubes

Evidencia textual Convergencia de medios

Memoria registrada Conectividad constante

Preservacin permanente Lenguaje visual

Impacto instantneo, efmero

15

Los retos cuando la informacin ya no est en un sistema de gestin documental en servidores de la organizacin

La prctica del re-uso

Cambios sustanciales

en el contexto de materiales.

Re-uso, modificacin,

nuevos propsitos

Un campo moral y tico

complejo.

Perfiles, citas, compras

compartidos en medios sociales.

Vigilancia del propio usuario y de sus eventos.

Autoconocimiento a travs de nmeros

nmero de individuos

Se comparte en grupos

Movimiento de informacin de un crculo a otro, cruzando lneas de

lo publico y lo privado

Grupos empleados crean material inter-vinculado en relacin

con un proyecto, inters comn sin establecer a quien

pertenece el material.

Las vidas, actividades o iniciativas digitales

se vinculan unas a otros.

16

Los retos cuando la informacin ya no est en un sistema de gestin documental en servidores de la organizacin

Datos personales mantenidas y controladas por organizaciones privadas y gobiernos. Expedientes clnicos (secuencia de genes, medicamentos informacin sobre seguros) en la

nube Biografas y datos biogrficos estn disponibles en la red aunque pertenecen a la plataforma

privada que los hospeda.

Gobierno y redes sociales. Servicios al ciudadano Acceso a la informacin Involucramiento directo de la comunidad

Documentos de archivo en medios sociales El publico involucrado en la toma de decisiones de gobierno Consultas pblicas y propuestas de desarrollo por parte del pblico Anuncios de gobierno Medios sociales como medios de comunicacin en emergencias

17

InterPARES Trust

Generar esquemas tericos y metodolgicos que sustenten el desarrollo de redes de polticas, procedimientos, regulaciones, normas y legislacin relacionada con los

documentos de archivo que son confiados a la internet con el fin de asegurar la

confianza pblica basada en evidencia de una buena gobernanza, una economa

digital fuerte y la memoria digital persistente.

18

Tipos de nube, tipos de contratacin, costos, etc. Infraestructura

Metadatos de integridad, cadena de custodia, retencin y disposicin, control intelectual, etc. Control

Datos abiertos, gobierno abierto, transparencia, derecho a recordar vs. derecho a olvidar Acceso

Derechos intelectuales, peso de evidencia, autenticacin, certificacin, cadena de evidencia Legislacin

Terminologa Recursos Polticas Temas sociales Educacin

Dominios Transversales

InterPARES Trust. Dominios de Investigacin

19

Conclusiones

Hacer uso de la gestin de riesgos como herramienta para la auditora y

los esquemas de seguridad de la informacin.

Realizar estudios y alianzas para el desarrollo de prcticas y herramientas necesarias para la produccin, manejo y preservacin de los documentos de archivo autnticos, fiables y accesibles

en la nube.

20 20

MUCHAS GRACIAS! Alicia

barnard.alicia2@gmail.com

Nmero de diapositiva 1Nmero de diapositiva 2ContenidoMarco de la Gestin Documental Gestin documental-IS0 30300 Auditora en la gestin documental Seguridad de la informacinPoltica de InformacinNmero de diapositiva 9Gestin de Riesgos Etapas de la Gestin de RiesgosAlgunas medidas preventivas para control de riesgosRequisitos bsicos para los documentos de archivo digitales para verificacin de repositorios digitalesY la seguridad de la informacin en la nube?Los retos cuando la informacin ya no est en un sistema de gestin documental en servidores de la organizacinLos retos cuando la informacin ya no est en un sistema de gestin documental en servidores de la organizacinInterPARES TrustNmero de diapositiva 18Conclusiones Nmero de diapositiva 20