Riesgos en Banca Electrónica Una perspectiva jurídica desde la certificación digital

ERICK RINCON CARDENAS [email protected]

Los Riesgos de la Información

El riesgo surge como resultado de un proceso inadecuado, una falla interna humana o de sistemas, o de eventos de carácter externo. Según el Crédit Suisse es el inadecuado potencial impacto adverso en el desarrollo de las operaciones.

Para qué sirve un SGSI Para que todo sistema de una entidad esté controlado, garantizado protegido ante un fracaso, evento de pérdida o destrucción.

Factores de generación de riesgo

1. El incremento de la tecnología que puede transformar los riesgos manuales por procesamientos de información o fallas en los sistemas integrados.

2. El crecimiento del e-commerce. 3. La integración horizontal o vertical  cada fusión o adquisición obliga a integrar mecanismos y sistemas de información. 4. La continua necesidad de ofrecer nuevos servicios que obligan a mantener estrictos controles de seguimiento. 5. El aumento de la tercerización u outsourcing de los servicios fundamentales y accesorios de las entidades.

IT - ORIENTED Planeación de los Riesgos de la Información

Obsolete Technology

Substandard Documentation

Wanting Security

Gaps in infrastructure

Planeación de los Riesgos de la Información RIESGOS

Ausencia de (Confidencialidad) Alteración de la Información (Integridad) Suplantación de Identidad (Autenticación)

Repudio de la Información (No Repudio)

11

Lo que debe saber es que…

Artículo 11 de la Ley 527 de 1999 “Artículo 11. Criterio para valorar probatoriamente un mensaje de datos. Para la valoración de la fuerza probatoria de los mensajes de datos a que se refiere esta ley, se tendrán en cuenta las reglas de la sana crítica y demás criterios reconocidos legalmente para la apreciación de las pruebas. Por consiguiente habrán de tenerse en cuenta: la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad en la forma en que se haya conservado la integridad de la información, la forma en la que se identifique a su iniciador y cualquier otro factor pertinente”.

•

Autenticidad

•

Integridad

•

No repudio

•

Confidencialidad

•

Trazabilidad

Más Problemas • El canal es público • Uso canales seguros nada fácil, práctico, ni barato • Las fuentes pueden no ser compatibles ni confiables • Los resultados y reportes pueden ser equivocados

• Las decisiones se toman a partir de esos resultados 7

Más Problemas • Expuesta a ataques de todo tipo • Nada fácil crear un modelo para estudiar la seguridad – Redes heterogéneas de todos los tipos – La pesadilla: Internet

• Que hacer??

8

Seguridad de la Información

• Técnicas, procedimientos, políticas y herramientas para proteger y resguardar información en medios y dispositivos electrónicos • Proteger la información almacenada en los equipos y la que se transfiere e intercambia por canales públicos

9

Seguridad de la Información • Proteger informacion de amenazas, ataques y vulnerabilidades reales y potenciales

• Garantizar propiedades de información en todos sus estados: creación, modificación, transmisión y almacenamiento • Implementar servicios de seguridad usando mecanismos útiles y eficientes

10

Servicios y Mecanismos de Seguridad

• Naturaleza pública del canal no se puede cambiar • Sobre ese canal hay que saber qué se quiere: – Servicios de Seguridad

• Sobre ese canal hay que saber cómo se implementa (si se puede): – Mecanismos de seguridad – SEGURIDAD EN REDES - SSL VERISIGN

11

AUTORIDAD DE CERTIFICACIÓN DIGITAL ABIERTA

ANTECEDENTES JURÍDICOS APLICABLES A LOS MEDIOS ELECTRÓNICOS Las principales manifestaciones del principio de EQUIVALENCIA contenido en la ley 527 de 1999 se resumen en: Escrito = Mensaje de Datos Información generada, enviada o recibida por medios electrónicos Artículo 1 de la Ley 527 de 1999.

Original = Integridad

© 2009 Certicámara S.A. Todos los derechos reservados

No alteración de la información en el proceso de comunicación electrónica. Es decir que la información no sea adicionada o sustraída y se mantenga inalterada. En el formato electrónico podrán existir varios originales del mismo documento siempre y cuando los mismos garanticen su integridad. Artículo 8 y 9 de la Ley 527 de 1999.

AUTORIDAD DE CERTIFICACIÓN DIGITAL ABIERTA

ANTECEDENTES JURÍDICOS APLICABLES A LOS MEDIOS ELECTRÓNICOS Las principales manifestaciones del principio de EQUIVALENCIA contenido en la ley 527 de 1999 se resumen en: Firma Manuscrita = Firma Digital (Autenticidad, Integridad y No Repudio)

Procedimiento de algoritmos matemáticos que con la intervención de una entidad de Certificación Digital permite garantizar la identidad del firmante, la integridad de la información y los compromisos adquiridos con la información y su envío. Artículo 7, 28 y 30 de la ley 527 de 1999.

Conservación y Archivo = Mensaje de Datos (Autenticidad – Integridad – Fecha – Posterior Consulta) Los Artículos 12 y 13 son aplicables a la conservación por medios electrónicos.

© 2009 Certicámara S.A. Todos los derechos reservados

Servicios de Certificación Digital

SERVICIOS AUTORIZADOS ENTIDAD DE CERTIFICACION DIGITAL

LEY 527 DECRETO 1747 CIRCULAR UNICA No 10 SIC

AUTENTICIDAD

CERTIFICACIÓN DE FIRMA DIGITAL

ESTAMPADO CRONOLÓGICO

SEGURIDAD JURÍDICA

GARANTÍA DE FECHA Y HORA ENVIO Y RECEPCIÓN DE MENSAJES DE DATOS

INTEGRIDAD

NO REPUDIO

ARCHIVO CONFIABLE DE MENSAJE DE DATOS

ARCHIVO Y CONSERVACIÓN

POSTERIOR CONSULTA