Grupo 06 SEGURIDAD EN LA INFORMACIÓN, NORMATIVIDAD GED
1. UNIVERSIDAD DEL
QUINDIO
FACULTAD DE CIENCIAS HUMANAS Y
BELLAS ARTES
CIENCIAS DE LA INFORMACIÓN Y LA
DOCUMENTACIÓN, BIBLIOTECOLOGÍA
Y ARCHIVÍSTICA
2. GESTIÓN DE DOCUMENTOS
ELECTRÓNICOS
G.02
GRUPO 06
LEGISLACIÓN COLOMBIANA SOBRE
DOCUEMNTOS ELECTRÓNICOS
SEGURIDAD EN LA INFORMACIÓN
ELECTRÓNICA
3.
PRESENTADO A:
PROFESOR JORGE MARIO ZULUAGA
CAMPUZANO
PRESENTADO POR:
LUISA FERNANDA MARTINEZ
LEIDY JOHANA MONTENEGRO
RAFAEL ANDRÉS CONTRERAS
BOGOTÁ SEPTIEMBRE 23 DE 2014
5. Decreto 2609 de 2012
“Por el cual se
reglamenta el Título V de
la Ley 594 de 2000,
parcialmente los
artículos 58 y 59 de la
Ley 1437 de 2011 y se
dictan otras
disposiciones en materia
de Gestión Documental
para todas las Entidades
del Estado"
http://www.blocument.com/
6. Y qué reglamenta de la Ley 1437…
Código de
Procedimiento
Admitivo y de lo
Contencioso
Admitivo.
Capítulo 4:
Utilización de medios
electrónicos en el
procedimiento
administrativo
Artículos 58 y
59
Artículo 58. Archivo electrónico de documentos
Podrán almacenarse por medios electrónicos,
todos los documentos utilizados
en las actuaciones administrativas.
Conservación: asegurar la autenticidad
e integridad de la información
Artículo 59. Expediente electrónico.
Conjunto de documentos electrónicos
correspondientes a un procedimiento
administrativo, cualquiera que sea el tipo de
información que contengan.
Foliado: índice electrónico, firmado digitalmente
por la autoridad, órgano o entidad actuante,
según proceda.
7. Normas de la GED…
Ley 527 de 1999, acceso y uso de los mensajes de datos,
de comercio electrónico y de las firmas digitales
Ley 1341 de 2009, principios y conceptos sobre
la sociedad de la información y la organización de las tecnologías
de la información y las comunicaciones -TIC-, en especial el
principio orientador de neutralidad tecnológica.
Decreto Ley 019 de 2012, trámites innecesarios
Ley 1564 de 2012, Código General del Proceso
Decreto 2482 de 2012, Lineamientos generales
para la integración de la planeación y la gestión
8. Decreto 2609
ESTRUCTURA
CAPÍTULO I: Gestión de documentos
CAPÍTULO II: Programa de Gestión
Documental
CAPÍTULO III: Sistema de Gestión
Documental
CAPITULO IV: Gestión de
Documentos Electrónicos de Archivo
CAPITULO V : Articulación con otros
Organismos y Entidades del Estado
9. •ARTÍCULO 251. DISTINTAS
CLASES DE DOCUMENTOS. Son
documentos los escritos, impresos,
planos, dibujos, cuadros,
fotografías, cintas cinematográficas,
discos, grabaciones
magnetofónicas, radiografías,
talones, contraseñas, cupones,
etiquetas, sellos y, en general, todo
objeto mueble que tenga carácter
representativo o declarativo, y las
inscripciones en lápidas,
monumentos, edificios o similares.
•Los documentos son públicos o
privados.
10. DOCUMENTOS EN MEDIO ELECTRÓNICO
ARCHIVO ELECTRONICO
Sistema Referencial
ARCHIVO
FISICO
Workflow
APLICACIÓN
Reportes
Correos Imágenes
Docs
Archivos de Físicos
Datos
Archivos
Ofimáticos
11. DOCUMENTO DIGITAL
ARCHIVO ELECTRONICO
Sistema Referencial
ARCHIVO
FISICO
Workflow
APLICACIÓN
Reportes
Correos Imágenes
Docs
Archivos de Físicos
Datos
Archivos
Ofimáticos
•Ley 962 de 2005 Art 6.
•Ley 527 de 1999
•ISO 19005
•Circular 004 de 2004 de
COINFO
•El nombre no debe contener
puntos (.) en su intermedio.
•El nombre no debe contener
caracteres especiales ni tildes
(#$%&/@”).
•La ruta completa del archivo
no debe sobrepasar los 256
caracteres.
12. DOCUMENTO DIGITALIZADO
ARCHIVO ELECTRONICO
Sistema Referencial
ARCHIVO
FISICO
Workflow
APLICACIÓN
Reportes
Correos Imágenes
Docs
Archivos de Físicos
Datos
Archivos
Ofimáticos
Ley 527 de 1999
Autenticidad del documento
electrónico – suplantación
Integridad del documento
electrónico – Alteración
Conservación del documento
electrónico hacia futuro
Confidencialidad del
documento electrónico en
procesos de comunicación
donde se requiera
13. ASIGNACIÓN DE ACCESO Y SEGURIDAD:
Establecer derechos y restricciones de acuerdo a lo establecido en la ley
o las necesidades de la organización, y para garantizar el control y
supervisión se pueden establecer plazos de restricción claramente
definidos.
• Publica.
• Interna.
• Confidencial.
DEFINICIÓN DE LA DISPOSICIÓN:
El proceso hace referencia a los calendarios de conservación y
disposición de naturaleza más o menos formal, dependiendo del tamaño
de la organización, así como de sus responsabilidades. Y éste se puede
definir desde la incorporación y registro.
14. ALGUNAS OTRAS NORMAS…
•Ley 962 de 2005; Artículo 28.
Racionalización de la conservación de
libros y papeles de comercio. Los libros
y papeles del comerciante deberán ser
conservados por un período de diez
(10) años contados a partir de la fecha
del último asiento, documento o
comprobante, pudiendo utilizar para el
efecto, a elección del comerciante, su
conservación en papel o en
cualquier medio técnico, magnético
o electrónico que Garantice Su
Reproducción Exacta.
http://todoconta.com/opinion/que-es-la-contabilidad-electronica/
15. GARANTÍA DE REPRODUCCIÓN
EXACTA
•MICROFILMACIÓN
•Decreto numero 2527 de 1950 (julio 27)
•Decreto numero 3354 de 1954 (noviembre 18)
•Ley 141 de 1961 (diciembre 16)
•LEY 39 DE 1981 (ABRIL 3)
http://lookfordiagnosis.com/mesh_info.php?term=Microfil
maci%C3%B3n&lang=2
16. GARANTÍA DE REPRODUCCIÓN EXACTA
ESTRUCTURA DE LA LEY
527
AMBITO DE APLICACION
Mensaje de datos
Requisitos jurídicos de los mensajes
de datos
Comunicación de los mensajes de
datos
Transporte de mercancías
Definiciones
Firmas digitales y Entidades de
certificación
Principios
Adoptado en 1999 (Ley 527 de 1999),
con base en la Ley Modelo de Comercio
Electrónico de la CNUDMI (Comisión de
las Naciones Unidas para el Derecho
Mercantil Internacional).
17. GARANTÍA DE REPRODUCCIÓN EXACTA
Escrito Mensaje de Datos Articulo 6
Original Integridad Articulo 8 y 9
Firma
Manuscrita
Firma Digital
(Autenticidad, Integridad y No Repudio)
SI DICHA FIRMA SE EMITE POR UNA ENTIDAD DE
CERTIFICACION ABIERTA QUE DE PLENA GARANTIA DE
IDENTIDAD Y UTILICE UNA TECNOLOGIA QUE SEA
VERIFICABLE (PE: PKI ACTUALMENTE)
Articulo 2, 7 y 28
Conservación y
Archivo
Mensaje de Datos
(Autenticidad – Integridad – Fecha – Posterior
Consulta)
Articulo 12 y 13
Adoptado en 1999 (Ley 527 de 1999),
con base en la Ley Modelo de Comercio
Electrónico de la CNUDMI (Comisión de
las Naciones Unidas para el Derecho
Mercantil Internacional).
Equivalente funcional
18. GARANTÍA DE REPRODUCCIÓN
EXACTA
•DIGITALIZACIÓN
•La ley 588 de 2000 estableció que las notarías podrán ser autorizadas
por la Superintendencia de Industria y Comercio como entidades de
certificación, de conformidad con la Ley 527 de 1999.
•La ley 794 de 2003 - Por la cual se modifica el Código de
Procedimiento Civil, se regula el proceso ejecutivo y se dictan otras
disposiciones- estableció la posibilidad de notificación por correo
electrónico, la cual es obligatoria en el caso de los comerciantes:
•Sentencia C-356 de 2003, consideró que en dicha definición estaba
incluido el documento electrónico.
19. GARANTÍA DE REPRODUCCIÓN EXACTA
DIGITALIZACIÓN
•En el año 2000 la ley modelo de Uncitral habla sobre PKI por ello no
aparece en la 527 de 1999.
•Incorpora terminología sugerida por la Comisión, en la cual, la firma
electrónica es el género, y la firma digital o numérica es una
modalidad, basada en el sistema de infraestructura de clave pública o
PKI.
•Respeta el principio de neutralidad tecnológica. De todas maneras,
legalmente solo está definida la firma digital, y no la firma electrónica,
lo que ha contribuido a dar la impresión de que el sistema de PKI
administrado por las entidades de certificación es el único válido.
20. GARANTÍA DE REPRODUCCIÓN EXACTA
SERVICIOS AUTORIZADOS
ENTIDAD DE CERTIFICACIÓN
DIGITAL
LEY 527
DECRETO 1747
CIRCULAR UNICA No 10 SIC
CERTIFICACIÓN DE FIRMA
DIGITAL
ESTAMPADO
CRONOLÓGICO
ARCHIVO CONFIABLE DE
MENSAJE DE DATOS
SEGURIDAD JURÍDICA
GARANTÍA DE FECHA Y HORA
ENVIO Y RECEPCIÓN DE
MENSAJES DE DATOS
ARCHIVO Y
CONSERVACIÓN
POSTERIOR
CONSULTA
CERTIM@IL CERTIFACTURA
AUTENTICIDAD
INTEGRIDAD
NO REPUDIO
SEGURIDAD
CONFIDENCIAL
CONFIANZA
UNIVERSALIDA
D
ACCESIBILIDAD
CERTISUBASTA CERTISORTEO
COMODIDAD
PRODUCTOS Y SERVICIOS TRANSVERSALES
21. Decreto 2609
Procesos del PGD
Ley 594/2000
1. Producción o
recepción
2. Distribución
3. Consulta
4. Organización
5. Recuperación
6. Disposición
final
Guía/2005
1. Producción
2. Recepción
3. Distribución
4. Trámite
5. Organización
6. Consulta
7. Conservación
8. Disposición
final
Decreto
2609/2012
1. Planeación
2. Producción
3. Gestión y
trámite
4. Organización
5. Transferencia
6. Disposición de
documentos
7. Preservación a
largo plazo
8. Valoración
24. SEGURIDAD DE LA INFORMACIÓN
ELECTRÓNICA
http://spanishpmo.com/index.php/que-es-seguridad-
de-la-informacion/
25. ANTES…REVISEMOS LOS MEDIOS DE ALMACENAMIENTO
Cantidad de información que almacena
Más económico
Mayor Volumen
Demora en el
Acceso
Memoria
RAM
Disco Magnético
Arreglo de Discos
Disco Óptico, CD- Rom
Rocola de Discos
Cinta magnética
Rocola de Cintas
Discos o Cintas en estantería
On - Line
Near - Line
Off - Line
Microsegundos
Milisegundos
Décimas de
segundo
segundos
Minutos
Imagen tomada del libro “intranets, empresa y gestión documental, Mariano Siminiani, McGraw Hill pg.66
26. LA SEGURIDAD NOS PERMITE:
• Consulta: Acceso ágil a la información - Concurrencia
de usuarios.
• Preservación y conservación de la información.
• Reutilización de información - Edición de información.
• Centralización de la información - Evitar perdida de
información.
OBJETIVOS
27. Fuentes
Objetos
“Entorno”
• SMBD
• S.O.
Sistemas
De
Archivos Reportes
Información
Diseño y Estructura
Datos
Logs y/o Auditorias
Transacciones
Archivos
Backup <> conservación (datos históricos)
28. Cultura “del papel”
Legal y Jurídica
Rechazo al Cambio
Aspectos de Seguridad
Legal y Jurídica
Presupuesto
Plataforma tecnológica
Presupuesto
29. SEGURIDAD EN LOS SISTEMAS DE
INFORMACIÓN
Exposición:Una forma de posible pérdida
Acceso NO autorizado a los datos
Modificación de datos
Vulnerabilidad: Debilidad en el sistema de seguridad que descubierta causa
pérdida
Hackers
Crackers
Amenaza: Circunstancias que potencialmente causan pérdidas
Desastres naturales
Errores humanos inadvertidos
Fallas HW y SW
Riesgo: La probabilidad de que la amenaza suceda
Control: Medida de protección par minimizar una vulnerabilidad (acción,
dispositivo, procedimiento, técnica)
30. Necesidad de intercambio de mensajes seguros
Receptor
Situación problema
Hola!!
Riesgos
Pérdida de confidencialidad
Alteración de información
Suplantación
Rechazo del origen - Repudiación
Hola!
Emisor
Incapacidad para reconstruir el proceso de intercambio de los mensajes
Pérdida de acceso a los mensajes generados - Disponibilidad
31. Receptor
Situación problema
Evolución de la solución
Solución a la situación problema
Hola!
!
Emisor
1. Acordar y preparar los mecanismos para transmitir y proteger el
mensaje
2. Aplicar los mecanismos acordados
32. Hola!
!
Receptor
Situación problema
Evolución de la solución
Hola!!
Cubre los riesgos de:
Hola!
!
1. Cifrarios simétricos
• Pérdida de confidencialidad
• Alteración de la información
2. Cifrarios asimétricos
• Suplantación
• Repudiación
3. PKI – Public Key Infrastructure
• Incapacidad para reconstruir el proceso de
intercambio de los mensajes
• Pérdida de acceso a los mensajes encriptados
Emisor
33. Cifrarios simétricos
Clave secreta y algoritmo Clave secreta y algoritmo
1. Acordar y preparar los mecanismos para
transmitir y proteger el mensaje
2. Aplicar los mecanismos acordados
XHXolXaX!! XHXolXaX!! Emisor Receptor
34. Cifrarios asimétricos
Firmar digitalmente mensajes
Algoritmo
Firma Algoritmo
Emisor
Hola
Firma Hola!
Hola
45
Emisor
Hola
45
Firma
Emisor Receptor
Llave Pública Llave Privada
35. Características – Firma digital
• Valor numérico adherido a un mensaje de datos
• Se generan con procesos matemáticos que tienen en
cuenta la llave privada del emisor y los datos del
mensaje
• Autentica los generadores de mensajes o
documentos
• Permiten validar la integridad del mensaje
• No proveen confidencialidad por si solas
• La revelación de la llave privada implica volver a
generar un nuevo par de llaves, pero no restringe el
acceso a los mensajes firmados con dicha llave
36. Certificados digitales
- Definición
- Mensaje de datos con información acerca del titular, incluida su
llave pública
- Esta firmado digitalmente por la entidad que lo genera
- Facilita procesos automáticos de validación
- Principales usos
- Autenticación de:
- Usuarios,
- Servidores
- Aplicaciones
- Protección de la información punto a punto
- Validación de la integridad de mensajes y archivos
37. Los componentes de estampado de tiempo
permitirán dar confianza de la fecha y la hora en la
cual los archivos electrónicos han sido procesados
y/o almacenados en un sistema de información
determinado. La información cronológica (fecha y
hora) consignada en la estampilla de tiempo por lo
tanto tendrá presunción de validez jurídica y
técnica.
http://www.cgssl.es/MunigexHelp/manualBi/ES/Glosario/Se
lladoTiempo.htm
38. Tanto el componente de generación de firma digital
como el de estampas de tiempo deberán ser
creados y sus métodos deberán ser invocados
desde aquellos sistemas de información que
generan o que tienen acceso a los archivos que se
desean estampar.
http://losimpuestos.com.mx/firma-digital-para-saldos/
39. UN BUEN ARCHIVISTA ES
MÁS NECESARIO QUE UN
GENERAL DE ARTILLERIA
Napoleón
40. LAS CULTURAS CAMBIAN PARA
LOGRAR DESARROLLO Y
PROGRESO
UNA BUENA GESTIÓN DOCUMENTAL
GENERA VENTAJAS COMPETITIVAS