sábado, 30 de abril de 2011

GRC Solución para Gobierno, gestión de riesgos y conformidad normativa.

Las soluciones de Informática para el gobierno, la gestión de riesgos y el cumplimiento de normativas (GRC) permiten que la organización de TI ayude al negocio a mejorar la visibilidad y transparencia de las actividades de gobierno, gestión de riesgos y cumplimiento de normativas, reduciendo los riesgos de la organización ya que puede contar con datos seguros, oportunos y fiables.

La información corporativa que está sujeta a políticas de gobierno, gestión de riesgos y conformidad normativa y que reside en bases de datos de aplicaciones y datawarehouses, requieren que dichas políticas tengan un procedimiento de conservación legal y eliminación de todos los datos, incluidos los de aplicaciones heredadas, al tiempo que se mantiene el contexto de la aplicación, todo esto teniendo en cuenta la protección de la información.Las mejores prácticas de gestión del ciclo de vida de la información (ILM) ofrecen un marco para abordar los desafíos de gobierno, gestión de riesgos y cumplimiento de normativas (GRC) al manejar contenidos estructurados.

Las soluciones ILM para GRC de Informática están especialmente diseñadas para cumplir estos requisitos, y además proporcionan un mayor ahorro de costes y una reducción de riesgos.

Beneficios de esta solución:

• Identificar con precisión los problemas relacionados con la calidad de datos antes de que afecten a las actividades de gobierno, gestión de riesgos y cumplimiento de normativas (GRC)
• Establecer procesos a escala empresarial que eviten la propagación de los problemas relacionados con la calidad de datos
• Basar las decisiones en datos fiables y de alta calidad
• Obtener una única versión de la realidad de sus datos
• Obtener una visión integral del negocio
• Mantener un acceso continuo a datos archivados
• Reducir la exposición a los riesgos
• Aumentar la confianza en las decisiones

jueves, 28 de abril de 2011

Etapas en el desarrollo de una politica

En la última publicación hablamos sobre lo que se debe tener en cuenta al momento de crear una política de seguridad, pero ¿Por qué es importante tener una política por escrito? Bueno pues unas de las razones es que permite unificar la forma de trabajo de personas en las diferentes áreas, asignando responsabilidades y permite recoger comentarios para atender situaciones anormales, por estas y más razones es esencial dejar un registro escrito de las políticas, para esto se deben seguir unas etapas para su desarrollo.




Fase de desarrollo: durante esta fase la política es creada, revisada y aprobada.
Fase de implementación: en esta fase la política es comunicada y acatada.
Fase de mantenimiento: los usuarios deben ser conscientes de la importancia de la política, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se debe actualizar.
Fase de eliminación: la política se retira si deja de ser útil para la organización.

lunes, 11 de abril de 2011

Politicas de seguridad

El objetivo de implantar políticas informáticas en la organización es proporcionarle directrices para el soporte y orientación en el proceso de seguridad de la empresa, es decir deben expresar el enfoque de la organización para manejar y controlar la seguridad de la información existente.

Al momento de crear una política de seguridad se debe tener en cuenta:

• Reglas, normas procedimientos que describan la forma en que la organización previene, protege y maneja los riesgos teniendo en cuenta:
o La infraestructura.
o Software y la información que almacenan.
o Usuarios del sistema.

• Planes para satisfacer las expectativas de disponibilidad de los recursos del sistema.
• Directrices para adquirir tecnología de seguridad con las características deseadas.
• Sanciones para quienes infrinjan la política.
• Nombre y cargo del que la aprueba y del que la propone.
• Quien debe acatar la política, es decir a quien esta dirigida.
• Indicadores para determinar si se esta cumpliendo.
• Describir pasos para solicitar cambios en la política.
• Información suficiente de las personas que se pueden contactar en caso de preguntas.


Políticas de seguridad, ultima consulta 11 de abril del 2011, disponible en: http://eslared.org.ve/walc2004/apc-aa/archivos-aa/1e60354f4717edb9fb793dbc5219499d/politica2004.pdf

Guía para la elaboración de políticas de seguridad, ultima consulta 11 de abril del 2011, disponible en: http://www.uniquindio.edu.co/uniquindio/meci/informacion/guia_para_elaborar_politicas_v1_0.pdf

domingo, 3 de abril de 2011

Ley para delitos Informáticos en Colombia



La Ley 1273 de 2009 denominada “De la Protección de la información y de los datos” contiene tipos penales relacionados con delitos informáticos y la protección de la información y de los datos con penas de prisión de hasta 120 meses y multas de hasta 1500 salarios mínimos legales mensuales vigentes. Esta ley tipifica como delitos conductas relacionadas con el manejo de datos personales, por lo que es de gran importancia que las empresas se blinden jurídicamente para evitar incurrir en alguno de estos tipos penales.
No olvidemos que los avances tecnológicos y el empleo de los mismos para apropiarse ilícitamente del patrimonio de terceros a través de clonación de tarjetas bancarias, vulneración y alteración de los sistemas de cómputo para recibir servicios y transferencias electrónicas de fondos mediante manipulación de programas y afectación de los cajeros automáticos, entre otras, son conductas cada vez más usuales en todas partes del mundo. por ello es importante tener una buena gestión de todo tipo de riesgos que  pueda afectar nuestra integridad, en Colombia ha aumentado el tráfico de bases de datos y en el mercado negro se puede conseguir, por ejemplo, información sobre los ciudadanos como todo un directorio telefónico o datos sobre las personas.
De ahí la importancia de esta ley divida en dos capítulos: “De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos” y de los sistemas informáticos” y “De los atentados informáticos y otras infracciones”.
En esta ley de los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos podemos encontrar los siguientes:
  • Acceso abusivo a un sistema informático.
  • Obstaculización ilegítima de sistema informático o red de telecomunicación.
  • Interceptación de datos informáticos.
  • Daño Informático.
  • Uso de software malicioso.
  • Violación de datos personales.
  • Suplantación de sitios web para capturar datos personales.
Y en el capítulo  de los atentados informáticos y otras infracciones podemos encontrar:
  • Hurto por medios informáticos y semejantes.
  • Transferencia no consentida de activos.
En cada una de ellas podemos encontrar la penalización por incurrir en alguno de ellos.