Embed Size (px)
Citation preview
Apoyan:
Lidera: Lidera:
Apoyan:
PROTECCION DE DATOS PERSONALES
Apoyan:
Lidera:
LEY ESTATUTARIA DE PROTECCIÓN DE DATOS PERSONALES Antoni Bosch Pujol Director General del Institute of Audit & IT-Governance Director del Máster en Auditoría, Seguridad, Gobierno y Derecho de las TIC de la Universidad Autónoma de Madrid (MASGDTIC)
Apoyan:
Lidera: Lidera:
Apoyan:
¡Pizzería Google, buenas noches!
¿Pizzería qué?
Pizzería Google, señor. ¿Cuál es su pedido?
Pero este ... ¿no era el teléfono de la Pizzería Washington?
Era, sí señor, pero Google compró la pizzería, y ahora el servicio es más completo.
Apoyan:
Lidera: Lidera:
Apoyan:
Sí. ¿El señor desea lo de siempre?
¿Lo de siempre? ¿Usted me conoce?
Tenemos un identificador de llamadas y, de acuerdo a su teléfono, sabemos que las últimas 53 veces que llamó pidió pizza cuatro quesos y jamón.
¡Vaya, no me había dado cuenta! Quiero eso mismo ...
Apoyan:
Lidera: Lidera:
Apoyan:
Señor, ¿puedo hacerle una sugerencia?
Por supuesto. ¿Tiene una pizza nueva en el menú?
No, señor. Nuestro menú es muy completo, pero me gustaría sugerirle la de ricotta y la de rúgula.
¿Ricotta? ¿Rúgula? ¿Está loco? Odio estas cosas.
Pero, señor, es bueno para su salud. Además, su colesterol no anda bien ...
¿Cómo lo sabe?
Apoyan:
Lidera: Lidera:
Apoyan:
Nuestra empresa tiene la mayor base de datos del planeta y entrecruzamos bases de datos con Facebook. Tenemos información del laboratorio donde usted se hace sus exámenes, también. Cruzamos el número de teléfono con su nombre y vemos los resultados de sus pruebas de colesterol y acorde con el Facebook de su esposa, sabemos que últimamente esta Ud. muy irritable con la economía y la política.
Apoyan:
Lidera: Lidera:
Apoyan:
Señor, lo siento, pero creo que usted no ha tomado su medicina últimamente.
No quiero la nueva pizza que me ofrece o ensalada. Para eso tomo mi medicamento para el colesterol y como lo que quiero ...
¿Cómo lo sabe? ¿Usted me está mirando todo el tiempo?
Apoyan:
Lidera: Lidera:
Apoyan:
¡Maldita sea! Es cierto. ¿Cómo usted sabe esto?
Tenemos una base de datos de las farmacias de la ciudad (y en el Facebook Ud. escribió cuál es su sucursal preferida). La última vez que compró su medicamento para el colesterol fue hace 3 meses. Y la caja tiene 30 comprimidos.
Apoyan:
Lidera: Lidera:
Apoyan:
¿¿¿QUÉ???
Por su tarjeta de crédito…
Apoyan:
Lidera: Lidera:
Apoyan:
Acorde con lo que Ud. cuenta en el Facebook y nuestros propios seguimientos de sus actividades en el Google, usted tiene el hábito de comprar sus medicamentos en una farmacia que le ofrece descuentos si paga con tarjeta de crédito del Banco BANK. Tenemos una base de datos de sus gastos con la tarjeta… hace 3 meses no ha comprado nada allí, pero sí la utiliza en otros comercios, lo cual nos indica que no la ha extraviado.
Apoyan:
Lidera: Lidera:
Apoyan:
No debería haber pagado en efectivo, usted le paga 200.000 pesos semanales a su empleada doméstica y el resto de sus gastos los realiza con tarjeta de débito o de crédito.
¿Y no puedo pagar en efectivo en la farmacia? A ver qué me dice... Usted le paga el seguro...
¿Cómo sabe lo que gana mi empleada?
Apoyan:
Lidera: Lidera:
Apoyan:
Sí, señor, lo siento, pero todo está en mi pantalla. Tengo el deber de ayudarlo. Creo que usted debe volver a programar la consulta a la que faltó con su médico y llevarle los resultados de los exámenes que se hizo el mes pasado para que le ajuste la medicación. ¡¡Caramba, lo sabe todo!!
Apoyan:
Lidera: Lidera:
Apoyan:
Pero, señor…
Estoy harto de INTERNET, el ORDENADOR, el SIGLO XXI, la FALTA DE PRIVACIDAD, las BASES DE DATOS y ...
Entiendo...
¡Cállese! ME VOY A MUDAR BIEN LEJOS. A las Islas Fiji o a alguna parte que no tenga Internet, computadoras, teléfono y gente vigilándome todo el tiempo ....
Apoyan:
Lidera: Lidera:
Apoyan:
Perfectamente…
VOY A USAR MI TARJETA DE CRÉDITO POR ÚLTIMA VEZ para comprar un billete de avión e irme bien lejos.
Perfectamente. Se cancela. Una cosa más señor…
¡¡PUEDE CANCELAR MI PIZZA!!
¿¿Y AHORA QUÉ??
Apoyan:
Lidera: Lidera:
Apoyan:
Su pasaporte está vencido.
Apoyan:
Lidera: Lidera:
Apoyan:
•Artículo 15, Constitución •Ley Estatutaria 1581 Del 17 de Octubre de 2012 LEY DE TRATAMIENTO DE DATOS PERSONALES •Normatividad Superintendencia Protección Datos •Ley 1266/2008 (Ley de Habeas Data) •Datos de Solvencia Financiera •Datos de Información Periodística •Sector Telecomunicaciones •e-Salud •Inteligencia-Contrainteligencia •Ley 1273/2009 (Reforma Código Penal)
Apoyan:
Lidera: Lidera:
Apoyan:
Artículo 15 de la Constitución Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las formalidades que establezca la ley. Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley.
Apoyan:
Lidera: Lidera:
Apoyan:
Ley Estatutaria 1581 del 17 de Octubre de 2012
LEY DE TRATAMIENTO DE DATOS
PERSONALES
“Por la cual se dictan disposiciones generales
para la protección de datos personales”
Apoyan:
Lidera: Lidera:
Apoyan:
ARTICULO 1º. OBJETO
La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.
Apoyan:
Lidera: Lidera:
Apoyan:
ARTICULO 2°. Ámbito de aplicación.
Los principios y disposiciones contenidas en la presente ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada. La presente ley aplicará al Tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.
Apoyan:
Lidera: Lidera:
Apoyan:
Tratamientos excluidos: Datos de ámbito exclusivamente personal o doméstico. Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de manera previa, informar al Titular y solicitar su autorización. En este caso los Responsables y Encargados de las bases de datos y archivos quedarán sujetos a las disposiciones contenidas en la presente ley.
Apoyan:
Lidera: Lidera:
Apoyan:
Tratamientos excluidos:
Bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo. Datos de Inteligencia y Contrainteligencia Datos de información periodística
Datos regulados por la Ley 1266/ 2008
Datos regulados por la Ley 79/1993 (Censos de Población y Vivienda)
Apoyan:
Lidera: Lidera:
Apoyan:
TÍTULO II
PRINCIPIOS RECTORES
Apoyan:
Lidera: Lidera:
Apoyan:
Principio de legalidad: el tratamiento es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
Principio de finalidad: el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular.
Apoyan:
Lidera: Lidera:
Apoyan:
Principio de libertad: el tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
Principio de veracidad o calidad: la información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
Apoyan:
Lidera: Lidera:
Apoyan:
Principio de transparencia: en el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
Principio de acceso y circulación restringida: el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la presente ley. Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la presente ley.
Apoyan:
Lidera: Lidera:
Apoyan:
Principio de seguridad: la información sujeta a tratamiento por el responsable del tratamiento o encargado del tratamiento a que se refiere la presente ley, se deberá manejar con las medidas
técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Principio de confidencialidad: todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.
Apoyan:
Lidera: Lidera:
Apoyan:
TÍTULO III
CATEGORÍAS ESPECIALES DE DATOS
Apoyan:
Lidera: Lidera:
Apoyan:
Artículo 5°. Datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el: • origen racial o étnico, • la orientación política, • las convicciones religiosas o filosóficas, • la pertenencia a sindicatos, organizaciones sociales, de derechos
humanos • que promueva intereses de cualquier partido político • que garanticen los derechos y garantías de partidos políticos de
oposición, • datos relativos a la salud, • a la vida sexual • datos biométricos.
Apoyan:
Lidera: Lidera:
Apoyan:
Artículo 7°. Derechos de los niños, niñas y adolescentes.
En el Tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes. Queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública.
Apoyan:
Lidera: Lidera:
Apoyan:
TÍTULO IV
DERECHOS Y CONDICIONES DE LEGALIDAD PARA EL TRATAMIENTO DE DATOS
Apoyan:
Lidera: Lidera:
Apoyan:
Artículo 8°. Derechos de los titulares.
Derechos ARCO
Apoyan:
Lidera: Lidera:
Apoyan:
TÍTULO VII
DE LOS MECANISMOS DE VIGILANCIA Y SANCIÓN
CAPÍTULO I
DE LA AUTORIDAD DE PROTECCIÓN DE
DATOS
Apoyan:
Lidera: Lidera:
Apoyan:
DATOS DE INFORMACIÓN PERIODÍSTICA
Apoyan:
Lidera: Lidera:
Apoyan:
Artículo 20 de la Constitución Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información veraz e imparcial, y la de fundar medios masivos de comunicación. Estos son libres y tienen responsabilidad social. Se garantiza el derecho a la rectificación en condiciones de equidad. No habrá censura.
Artículo 73 de la Constitución La actividad periodística gozará de protección para garantizar su libertad e independencia profesional.
Apoyan:
Lidera: Lidera:
Apoyan:
LEY 51 DE 1975
“Por el cual se reglamenta el ejercicio del periodismo y se dictan otras disposiciones”.
Apoyan:
Lidera: Lidera:
Apoyan:
LEY 918 DE 2004
LEY 1016 DE 2006
Por la cual se adoptan normas legales, con meros propósitos declarativos, para la protección laboral y social de la actividad periodística y de comunicación a fin de garantizar su libertad e independencia profesional.
Apoyan:
Lidera: Lidera:
Apoyan:
DATOS INFORMACIÓN FINANCIERA
Apoyan:
Lidera: Lidera:
Apoyan:
Ley 1266/2008 (Ley de Habeas Data)
POR LA CUAL SE DICTAN LAS DISPOSICIONES GENERALES DEL HABEAS DATA Y SE REGULA EL MANEJO DE LA INFORMACIÓN CONTENIDA EN BASES DE DATOS PERSONALES, EN ESPECIAL LA FINANCIERA, CREDITICIA, COMERCIAL, DE SERVICIOS Y LA PROVENIENTE DE TERCEROS PAÍSES Y SE DICTAN OTRAS DISPOSICIONES"
Apoyan:
Lidera: Lidera:
Apoyan:
DECRETO 1727 DE 2009
Por el cual se determina la forma en la cual los operadores de los bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, deben presentar la información de los titulares de la información.
Apoyan:
Lidera: Lidera:
Apoyan:
DECRETO 2952 DE 2010
Por el cual se reglamentan los artículos 12 y 13
de la Ley 1266 de 2008
Apoyan:
Lidera: Lidera:
Apoyan:
ARTICULO 1°. Incumplimiento de las obligaciones por fuerza mayor. En el evento en que el incumplimiento de la(s) obligación(es) dineraria(s) a cargo de un titular de información se origine en una situación de fuerza mayor causada por el secuestro, la desaparición forzada o el desplazamiento forzado de dicho titular, éste tendrá derecho a que el incumplimiento no se refleje como información negativa en su reporte.
Apoyan:
Lidera: Lidera:
Apoyan:
ARTICULO 2°. Reporte de Información Negativa En desarrollo de lo dispuesto en el inciso segundo del artículo 12 de la Ley 1266 de 2008, el reporte de información negativa sobre incumplimiento de obligaciones sólo procederá previa comunicación al titular de la información, la cual podrá incluirse en los extractos periódicos que las fuentes de información envíen a sus clientes, siempre y cuando se incluya de manera clara y legible.
ARTICULO 3°. Permanencia de la Información Negativa: En caso de mora inferior a dos (2) años, el término de permanencia de la información negativa no podrá exceder el doble de la mora.
Apoyan:
Lidera: Lidera:
Apoyan:
SECTOR TELECOMUNICACIONES
Apoyan:
Lidera: Lidera:
Apoyan:
DECRETO 2870 DE 2007
El presente Decreto tiene por objeto establecer un marco reglamentario que permita la convergencia en los servicios públicos de telecomunicaciones y en las redes de telecomunicaciones del Estado, asegurar el acceso y uso de las redes y servicios a todos los habitantes del territorio, así como promover la competencia entre los diferentes operadores.
Apoyan:
Lidera: Lidera:
Apoyan:
RESOLUCIÓN 2578 DE 2007
"POR LA CUAL SE REGLAMENTA EL ARTÍCULO 11 DEL DECRETO
DE 2870 DE 2007 Y SE DICTAN OTRAS DISPOSICIONES
ENTRE OTRAS SE GARANTIZA LA
INVIOLABILIDAD DE LAS TELECOMUNICACIONES".
Apoyan:
Lidera: Lidera:
Apoyan:
Fuente: MINTIC-SIUST
Apoyan:
Lidera: Lidera:
Apoyan:
Apoyan:
Lidera: Lidera:
Apoyan:
Apoyan:
Lidera: Lidera:
Apoyan:
e-Salud
Apoyan:
Lidera: Lidera:
Apoyan:
Apoyan:
Lidera: Lidera:
Apoyan:
Apoyan:
Lidera: Lidera:
Apoyan:
eSalud
Aplicaciones asistenciales
Aplicaciones eAdministración
Formación
Solución global de implantación de la eSalud
Apoyan:
Lidera: Lidera:
Apoyan:
INTELIGENCIA-
CONTRAINTELIGENCIA
Apoyan:
Lidera: Lidera:
Apoyan:
DECRETO 4179 DE 2011 "Por el cual se crea un Departamento Administrativo y se establece su objetivo, funciones y estructura.".
Apoyan:
Lidera: Lidera:
Apoyan:
ARTÍCULO 1º. CREACIÓN. Créase un Departamento Administrativo que se denominará Dirección Nacional de Inteligencia, como un organismo civil de seguridad, que desarrolla actividades de inteligencia estratégica y contrainteligencia.
ARTICULO 2º. OBJETO La Dirección Nacional de Inteligencia tendrá como objeto desarrollar actividades de inteligencia estratégica y contrainteligencia para proteger los derechos y libertades de los ciudadanos y de las personas residentes en Colombia, prevenir y contrarrestar amenazas internas o externas contra la vigencia del régimen democrático, el orden constitucional y legal, la seguridad y la defensa nacional, así como cumplir con los requerimientos que en materia de inteligencia le hagan el Presidente de la República y el Alto Gobierno para el logro de los fines esenciales del Estado, de conformidad con la ley.
Apoyan:
Lidera: Lidera:
Apoyan:
ARTÍCULO 14. CENTRO DE PROTECCIÓN DE DATOS. Son funciones del Centro de Protección de Datos las siguientes: Recomendar a la Dirección General las políticas y procedimientos de manipulación, transporte y custodia de documentos de acuerdo con la normatividad vigente y el objeto de la entidad. Controlar el ingreso y la salida de información a las bases de datos y archivos de inteligencia estratégica y contrainteligencia de la entidad, garantizando su reserva constitucional y legal, de acuerdo con la normatividad vigente. Implementar los mecanismos de control para que la información de las bases de datos de inteligencia estratégica y contrainteligencia, sean actualizados y depurados de acuerdo con lo establecido en la ley. Implementar los mecanismos para controlar que la información no sea almacenada en las bases de datos de la Dirección Nacional de Inteligencia por las razones contempladas en el artículo 3º del presente decreto.
Apoyan:
Lidera: Lidera:
Apoyan:
ARTÍCULO 14. CENTRO DE PROTECCIÓN DE DATOS. (cont) Controlar que los procesos de manipulación, transporte y custodia de la información se adelanten de acuerdo con los procedimientos establecidos e informar al Director General de cualquier hallazgo o irregularidad encontrada en estos, en concordancia con el marco legal vigente. Recomendar a la Dirección General políticas y procedimientos en materia de protección de la información y la seguridad informática en la Dirección Nacional de Inteligencia, con el fin de evitar la fuga o manipulación indebida de información, de acuerdo con el marco legal vigente. Difundir al interior de la organización las políticas de seguridad de la información. Apoyar el desarrollo y sostenimiento del Sistema Integrado de Gestión Institucional y la observancia de sus recomendaciones en el ámbito de su competencia. Ejercer las demás funciones que le sean asignadas y que correspondan a la naturaleza de la dependencia.
Apoyan:
Lidera: Lidera:
Apoyan:
CÓDIGO PENAL
Apoyan:
Lidera: Lidera:
Apoyan:
LEY 1273-2009 "POR MEDIO DE LA CUAL SE MODIFICA EL CÓDIGO PENAL, SE CREA UN NUEVO BIEN JURÍDICO TUTELADO - DENOMINADO "DE LA PROTECCIÓN DE LA INFORMACIÓN Y DE LOS DATOS"· Y SE PRESERVAN INTEGRALMENTE LOS SISTEMAS QUE UTILICEN LAS TECNOLOGIAS DE LA INFORMACIÓN Y LAS COMUNICACIONES, ENTRE OTRAS DISPOSICIONES".
Apoyan:
Lidera: Lidera:
Apoyan:
CAPITULO PRIMERO
De los atentados contra
la confidencialidad, la integridad y la disponibilidad
de los datos y de los sistemas informáticos
Apoyan:
Lidera: Lidera:
Apoyan:
ARTICULO 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. ARTICULO 269B: OBSTACULIZACIÓN ILEGITIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.
Apoyan:
Lidera: Lidera:
Apoyan:
ARTICULO 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los trasporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses. ARTICULO 269D: DAÑO INFORMÁTICO. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
Apoyan:
Lidera: Lidera:
Apoyan:
ARTICULO 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
ARTICULO 269F: VIOLACIÓN DE DATOS PERSONALES.
El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envie, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios
semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
Apoyan:
Lidera: Lidera:
Apoyan:
ARTICULO 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave. En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave. La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito..
Apoyan:
Lidera: Lidera:
Apoyan:
ARTICULO 269H: CIRCUNSTANCIAS DE AGRAVACIÓN PUNITIVA: las penas imponible de acuerdo con los artículos descritos en este título, se aumentarán de la mitad a las tres cuartas partes si la conducta se cometiere: 1.Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero,
nacionales o extranjeros.
2. Por servidor público en ejercicio de sus funciones 3. Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con este. 4. Revelando o dando a conocer el contenido de la información en perjuicio de otro. 5. Obteniendo provecho para si o para un tercero. 6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional. 7. Utilizando como instrumento a un tercero de buena fe. 8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales.
Apoyan:
Lidera: Lidera:
Apoyan:
CAPITULO SEGUNDO
De las atentados informáticos y otras infracciones
Apoyan:
Lidera: Lidera:
Apoyan:
ARTICULO 269I: HURTO POR MEDIOS INFORMÁTICOS y SEMEJANTES.
El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el artículo 240 de este Código. ARTICULO 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes. la misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisión del delito descrito en el inciso anterior, o de una estafa. Si la conducta descrita en los dos incisos anteriores tuviere una cuantía superior a 200 salarios mínimos legales mensuales, la sanción allí señalada se incrementará en la mitad.
Apoyan:
Lidera: Lidera:
Apoyan:
Articulo 58 CIRCUSTANCIAS DE MAYOR PUNIBILlDAD.
Son circunstancias de mayor punibilidad, siempre que no hayan sido previstas de otra manera: ( ...)
17. Cuando para la realización de las conductas punibles se utilicen medios informáticos, electrónicos ó telemáticos.
Apoyan:
Lidera: Lidera:
Apoyan:
¿QUIÉN SE ENCARGA?
Apoyan:
Lidera: Lidera:
Apoyan:
Ley Estatutaria 1581
TÍTULO VI
DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO Y ENCARGADOS DEL
TRATAMIENTO
Apoyan:
Lidera: Lidera:
Apoyan:
Artículo 17. Deberes de los Responsables del Tratamiento a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular. c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Apoyan:
Lidera: Lidera:
Apoyan:
Artículo 17. Deberes de los Responsables del Tratamiento (cont) e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible. f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada. g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento. h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley. i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
Apoyan:
Lidera: Lidera:
Apoyan:
Artículo 17. Deberes de los Responsables del Tratamiento (cont) j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley. k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos. l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo. m) Informar a solicitud del Titular sobre el uso dado a sus datos. n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
Apoyan:
Lidera: Lidera:
Apoyan:
Artículo 18. Deberes de los Encargados del Tratamiento. a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley. d) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles, contados a partir de su recibo. e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley.
Apoyan:
Lidera: Lidera:
Apoyan:
Artículo 18. Deberes de los Encargados del Tratamiento (cont). f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares. g) Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la presente ley. h) Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal. i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
Apoyan:
Lidera: Lidera:
Apoyan:
Artículo 18. Deberes de los Encargados del Tratamiento (cont). j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella. k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
Parágrafo. En el evento en que concurran las calidades de Responsable del
Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el
cumplimiento de los deberes previstos para cada uno.
Apoyan:
Lidera: Lidera:
Apoyan:
Artículo 18 (resumen) Deberes de los Encargados del Tratamiento.
b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares. j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella. k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
Apoyan:
Lidera: Lidera:
Apoyan:
ECPD EXPERTO CERTIFICADO
EN PROTECCIÓN DE DATOS PERSONALES
Apoyan:
Lidera: Lidera:
Apoyan:
La complejidad de la sencillez :
Cualquier futuro ingeniero aprende la notación
matemática según la cual la suma de dos números
reales, como por ejemplo
211 puede ser escrita de manera tan simple. Sin embargo esta forma es
errónea debido a su banalidad y demuestra una falta total de estilo.
1º clase de matemática aplicada
Apoyan:
Lidera: Lidera:
Apoyan:
• ¿Por qué el firewall no bloqueó la entrada no autorizada?
• Porque el atacante era muy listo y tenía muchos medios.
El gran problema del consejo de administración
Apoyan:
Lidera: Lidera:
Apoyan:
(NIST SP 800-30)
Apoyan:
Lidera: Lidera:
Apoyan:
• ¿Por qué el firewall no bloqueó la entrada no autorizada?
• Porque no habíamos implantado un sistema de análisis de riesgos.
Apoyan:
Lidera: Lidera:
Apoyan:
Risk IT. ISACA
Apoyan:
Lidera: Lidera:
Apoyan:
NIST SP 800-30
Apoyan:
Lidera: Lidera:
Apoyan:
• ¿Por qué el firewall no bloqueó la entrada no autorizada?
• Porque nos faltaba la gestión de riesgos.
Apoyan:
Lidera: Lidera:
Apoyan:
Risk IT. ISACA
Apoyan:
Lidera: Lidera:
Apoyan:
• ¿Por qué el firewall no bloqueó la entrada no autorizada?
• Porque no teníamos un sistema de gestión de seguridad.
Apoyan:
Lidera: Lidera:
Apoyan:
IT Baseline Protection Manual
Apoyan:
Lidera: Lidera:
Apoyan:
IT Baseline Protection Manual
Apoyan:
Lidera: Lidera:
Apoyan:
• ¿Por qué el firewall no bloqueó la entrada no autorizada?
• Porque no teníamos un sistema de gestión de seguridad de la información certificado.
Apoyan:
Lidera: Lidera:
Apoyan:
2-ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD
3-CLASIFICACIÓN Y CONTROL DE ACTIVOS
1-POLÍTICA DE SEGURIDAD
4-SEGURIDAD EN EL PERSONAL
6-GESTIÓN DE COMUNICACIONES Y OPERACIONES
5-SEGURIDAD FÍSICA Y DEL ENTORNO 8-DESARROLLO Y
MANTENIMIENTO DE SISTEMAS 7-CONTROL DE ACCESOS
10-GESTIÓN DE CONTINUIDAD DEL NEGOCIO
11-CUMPLIMIENTO
9-GESTIÓN DE INCIDENCIAS
ISO 27000
Apoyan:
Lidera: Lidera:
Apoyan:
• ¿Por qué el firewall no bloqueó la entrada no autorizada?
• Porque no habíamos implantado un sistema de gestión de servicios TI.
Apoyan:
Lidera: Lidera:
Apoyan:
ISO 20000
Proceso de la provisión de servicio Gestión de la capacidad Continuidad del servicio Gestión de la disponibilidad
Planificación Implementación
Planificación nuevos servicio
Sistemas de Gestión Gestión de la Responsabilidad , Documentación Requerimientos , Competencias , Salvaguardas & Formación
Planificación, Implementación, Monitorización, Mejora (Plan, Do, Check, Act)
Planificación y Implementación de nuevos o servicios modificados
Gestión de Niveles de servicio Informes del servicio
Seguridad de la seguridad De la información Presupuestos Contabilidad
Del servicio
Procesos de Control Gestión de la configuración
Gestión del Cambio
Procesos de Entrega Procesos Relacionales Procesos de Resolución
Gestión de Entrega Gestión de Incidentes Gestión de Problemas
Gestión de las relaciones con el negocio Gestión de Suministradores
Apoyan:
Lidera: Lidera:
Apoyan:
• ¿Por qué el firewall no bloqueó la entrada no autorizada?
• Porque nos faltaban más estándares que seguir.
Apoyan:
Lidera: Lidera:
Apoyan:
JTC 1/SC 27 IT Security techniques
ISO/IEC 7064:2003 Information technology -- Security techniques -- Check character systems
ISO/IEC 9796-2:2002
Information technology -- Security techniques -- Digital signature schemes giving message recovery -- Part 2: Integer factorization based mechanisms
ISO/IEC 9796-3:2000
Information technology -- Security techniques -- Digital signature schemes giving message recovery -- Part 3: Discrete logarithm based mechanisms
ISO/IEC 9797-1:1999
Information technology -- Security techniques -- Message Authentication Codes (MACs) -- Part 1: Mechanisms using a block cipher
ISO/IEC 9797-2:2002
Information technology -- Security techniques -- Message Authentication Codes (MACs) -- Part 2: Mechanisms using a dedicated hash-function
ISO/IEC 9798-1:1997
Information technology -- Security techniques -- Entity authentication -- Part 1: General
ISO/IEC 9798-2:1999
Information technology -- Security techniques -- Entity authentication -- Part 2: Mechanisms using symmetric encipherment algorithms
ISO/IEC 9798-2:1999/Cor 1:2004
ISO/IEC 9798-3:1998
Information technology -- Security techniques -- Entity authentication -- Part 3: Mechanisms using digital signature techniques
ISO/IEC 9798-4:1999
Information technology -- Security techniques -- Entity authentication -- Part 4: Mechanisms using a cryptographic check function
ISO/IEC 9798-5:2004
Information technology -- Security techniques -- Entity authentication -- Part 5: Mechanisms using zero-knowledge techniques
ISO/IEC 9798-6:2005
Information technology -- Security techniques -- Entity authentication -- Part 6: Mechanisms using manual data transfer
Apoyan:
Lidera: Lidera:
Apoyan:
JTC 1/SC 27 IT Security techniques
ISO/IEC 9979:1999 Information technology -- Security techniques -- Procedures for the registration of cryptographic algorithms
ISO/IEC 10116:1997 Information technology -- Security techniques -- Modes of operation for an n-bit block cipher
ISO/IEC 10118-1:2000 Information technology -- Security techniques -- Hash-functions -- Part 1: General
ISO/IEC 10118-2:2000 Information technology -- Security techniques -- Hash-functions -- Part 2: Hash-functions using an n-bit block cipher
ISO/IEC 10118-3:2004 Information technology -- Security techniques -- Hash-functions -- Part 3: Dedicated hash-functions
ISO/IEC 10118-4:1998 Information technology -- Security techniques -- Hash-functions -- Part 4: Hash-functions using modular arithmetic
ISO/IEC 11770-1:1996 Information technology -- Security techniques -- Key management -- Part 1: Framework
ISO/IEC 11770-2:1996 Information technology -- Security techniques -- Key management -- Part 2: Mechanisms using symmetric techniques
ISO/IEC 11770-2:1996/Cor 1:2005
ISO/IEC 11770-3:1999 Information technology -- Security techniques -- Key management -- Part 3: Mechanisms using asymmetric techniques
Apoyan:
Lidera: Lidera:
Apoyan:
JTC 1/SC 27 IT Security techniques
ISO/IEC 13335-1:2004 Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management
ISO/IEC TR 13335-3:1998 Information technology -- Guidelines for the management of IT Security -- Part 3: Techniques for the management of IT Security
ISO/IEC TR 13335-4:2000 Information technology -- Guidelines for the management of IT Security -- Part 4: Selection of safeguards
ISO/IEC TR 13335-5:2001 Information technology -- Guidelines for the management of IT Security -- Part 5: Management guidance on network security
ISO/IEC 13888-1:2004 IT security techniques -- Non-repudiation -- Part 1: General
ISO/IEC 13888-2:1998 Information technology -- Security techniques -- Non-repudiation -- Part 2: Mechanisms using symmetric techniques
ISO/IEC 13888-3:1997 Information technology -- Security techniques -- Non-repudiation -- Part 3: Mechanisms using asymmetric techniques
ISO/IEC TR 14516:2002 Information technology -- Security techniques -- Guidelines for the use and management of Trusted Third Party services
ISO/IEC 14888-1:1998 Information technology -- Security techniques -- Digital signatures with appendix -- Part 1: General
ISO/IEC 14888-2:1999 Information technology -- Security techniques -- Digital signatures with appendix -- Part 2: Identity-based mechanisms
ISO/IEC 14888-3:1998 Information technology -- Security techniques -- Digital signatures with appendix -- Part 3: Certificate-based mechanisms
ISO/IEC 14888-3:1998/Cor 1:2001
Apoyan:
Lidera: Lidera:
Apoyan:
JTC 1/SC 27 IT Security techniques
ISO/IEC 15292:2001 Information technology - Security techniques - Protection Profile registration procedures
ISO/IEC 15408-1:2005
Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general model
ISO/IEC 15408-2:2005
Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 2: Security functional requirements
ISO/IEC 15408-3:2005
Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 3: Security assurance requirements
ISO/IEC TR 15443-1:2005
Information technology -- Security techniques -- A framework for IT security assurance -- Part 1: Overview and framework
ISO/IEC TR 15443-2:2005
Information technology -- Security techniques -- A framework for IT security assurance -- Part 2: Assurance methods
ISO/IEC TR 15446:2004
Information technology -- Security techniques -- Guide for the production of Protection Profiles and Security Targets
ISO/IEC 15816:2002 Information technology -- Security techniques -- Security information objects for access control
ISO/IEC 15945:2002 Information technology -- Security techniques -- Specification of TTP services to support the application of digital signatures
ISO/IEC 15946-1:2002
Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 1: General
ISO/IEC 15946-2:2002
Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 2: Digital signatures
ISO/IEC 15946-3:2002
Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 3: Key establishment
ISO/IEC 15946-4:2004
Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 4: Digital signatures giving message recovery
Apoyan:
Lidera: Lidera:
Apoyan:
JTC 1/SC 27 IT Security techniques
ISO/IEC TR 15947:2002
Information technology -- Security techniques -- IT intrusion detection framework
ISO/IEC 17799:2005
Information technology -- Security techniques -- Code of practice for information security management
ISO/IEC 18014-1:2002
Information technology -- Security techniques -- Time-stamping services -- Part 1: Framework
ISO/IEC 18014-2:2002
Information technology -- Security techniques -- Time-stamping services -- Part 2: Mechanisms producing independent tokens
ISO/IEC 18014-3:2004
Information technology -- Security techniques -- Time-stamping services -- Part 3: Mechanisms producing linked tokens
ISO/IEC 18028-3:2005
Information technology -- Security techniques -- IT network security -- Part 3: Securing communications between networks using security gateways
ISO/IEC 18028-4:2005
Information technology -- Security techniques -- IT network security -- Part 4: Securing remote access
Apoyan:
Lidera: Lidera:
Apoyan:
JTC 1/SC 27 IT Security techniques
ISO/IEC 18031:2005 Information technology -- Security techniques -- Random bit generation
ISO/IEC 18032:2005 Information technology -- Security techniques -- Prime number generation
ISO/IEC 18033-1:2005
Information technology -- Security techniques -- Encryption algorithms -- Part 1: General
ISO/IEC 18033-3:2005
Information technology -- Security techniques -- Encryption algorithms -- Part 3: Block ciphers
ISO/IEC 18033-4:2005
Information technology -- Security techniques -- Encryption algorithms -- Part 4: Stream ciphers
ISO/IEC TR 18044:2004
Information technology -- Security techniques -- Information security incident management
ISO/IEC 18045:2005 Information technology -- Security techniques -- Methodology for IT security evaluation
ISO/IEC 21827:2002 Information technology -- Systems Security Engineering -- Capability Maturity Model (SSE-CMM®)
ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security management systems -- Requirements
Apoyan:
Lidera: Lidera:
Apoyan:
Después de mil explicaciones
Apoyan:
Lidera: Lidera:
Apoyan:
El teorema del punto y de la recta:
Apoyan:
Lidera: Lidera:
Apoyan:
Teorema del punto gordo
y la recta astuta
Apoyan:
Lidera: Lidera:
Apoyan:
Apoyan:
Lidera: Lidera:
Apoyan:
La cruda realidad
Apoyan:
Lidera: Lidera:
Apoyan:
LOS POR QUÉs • ¿Por qué el firewall no bloqueo la entrada no autorizada?
• Porque el atacante tenía el password
• ¿Por qué el atacante tenía el password?
• Porque se lo dió un empleado
• ¿Por qué se lo dió un empleado?
• Porque no era consciente del peligro.
• ¿Por qué no era consciente del peligro?
• Porque nadie se lo explicó
• ¿Por qué nadie se lo explicó?
• Porque nadie lo formó en PROTECCIÓN DE DATOS
• Y porque la formación no es importante y
• muy compleja, y muy costosa y muy …….
Apoyan:
Lidera: Lidera:
Apoyan:
¿Qué podemos hacer?
Apoyan:
Lidera: Lidera:
Apoyan:
GOBERNAR TOMAR DECISIONES
Apoyan:
Lidera: Lidera:
Apoyan:
ECPD EXPERTO CERTIFICADO EN PROTECCIÓN DE DATOS
• ¿Qué decisiones se han de tomar?
• ¿Quién las ha de tomar?
• ¿Quién provee la información?
• ¿Cómo se han de tomar?
• ¿Cuándo se han de tomar?
• ¿Cómo se han de monitorizar y controlar?
Apoyan:
Lidera: Lidera:
Apoyan:
Apoyan:
Lidera: Lidera:
Apoyan:
SEGURIDAD TOTAL
COSTE INFINITO
Apoyan:
Lidera:
Apoyan:
Lidera:
Antoni Bosch i Pujol,
CGEIT, CISA, CISM, ECPD
Director General Institute of Audit & IT-Governance
(IAITG)
Director del programa de Experto Certificado en
Protección de Datos (ECPD)
Director Máster en Auditoría, Seguridad, Gobierno y
Derecho de las TIC (UAM)
Director Data Privacy Institute (DPI-ISMS)
Presidente Fundador ISACA-Barcelona
MUCHAS GRACIAS
