IMPLEMENTACIร N ISO 27001 Capacitador
Jhonnier Guzmรกn Granada
AGENDA TEMAS A TRATAR Tipos de comercio electrónico Soporte Planificación y Control Operacional Evaluación de Desempeño Mejora Gestión de Activos
TIPOS DE COMERCIO ELECTRÓNICO Comercio Electrónico B2B (Business to Business) Comercio Electrónico de Empresa a Empresa. Es el que se lleva a cabo entre dos empresas. Puede darse como un intercambio entre un fabricante y un distribuidor de un producto o entre un distribuidor y un comerciante minorista. Requiere de experiencia y una gran capacidad para hacer negocios, ya que los clientes con los que se trata son profesionales y buscan calidad y buen precio.
Comercio Electrónico B2C (Business to Consumer) Comercio Electrónico de Empresa a Consumidor. Es el que se lleva a cabo entre empresas y consumidores finales que consumen el producto o servicio. Es el tipo de transacción más común ya que la mayoría de las tiendas en línea implementan este tipo de comercio.
TIPOS DE COMERCIO ELECTRÓNICO Comercio Electrónico B2E (Business to Employee) Comercio Electrónico de Empresa a Empleado. Es el que se centra entre lo que una empresa puede ofrecerle a sus empleados con la finalidad de mejorar la eficiencia, aumentar la satisfacción y cambiar la cultura de trabajo de la organización. Puede incluir desde ofertas de compra de sus mismos productos o servicios, entre otros.
Comercio Electrónico C2C (Consumer to Consumer) Comercio Electrónico de Consumidor a Consumidor. Se utiliza este término para definir un modelo de negocio en la red que pretende relacionar comercialmente el usuario final con otro usuario final. Para realizar este tipo de transacciones existen plataformas tales como Ebay, Amazon y Mercado Libre; donde las personas puedan publicar ofertas de una gran variedad de artículos que desean vender y que otras personas pueden necesitar.
TIPOS DE COMERCIO ELECTRÓNICO Comercio Electrónico C2G (Citizen to Government) Comercio Electrónico de Ciudadano (Consumidor) a Gobierno. Es el que facilita el intercambio telemático de las transacciones entre los ciudadanos y la administración pública. Aquí se incluyen servicios tales como pago de tasas e impuestos, sugerencias y reclamos, información para la ciudadanía.
Comercio Electrónico B2G (Business to Government) Comercio Electrónico de Empresa a Gobierno. Es el que facilita la negociación entre empresas y el gobierno a través del uso de Internet. Se aplica a sitios web o portales especializados en la relación con la administración pública.
Ventas de Métodos No Tradicionales y Ventas a Distancia Decreto 1499 de 2014 Requisito No. 7 ISO 27001 Con este Decreto se pretende establecer una reglamentación que garantice la adecuada protección, efectividad y libre ejercicio de los derechos y deberes de los sujetos que intervienen en las relaciones de consumo que se efectúan a través de ventas a distancia o de aquellas que utilizan métodos no tradicionales. Este decreto está compuesto por 12 Artículos, a continuación un resumen de los mas relevantes:
Ventas de Métodos No Tradicionales y Ventas a Distancia Decreto 1499 de 2014
Artículo 3: Hace referencia a las modalidades de ventas que utilizan métodos no tradicionales. De acuerdo con el numeral 15 del artículo 5 de la Ley 1480 de 2011, se entenderán como ventas que utilizan métodos no tradicionales aquellas que se celebran sin que el consumidor las haya buscado, tales como: • • •
Las ventas realizadas en el lugar de residencia o de trabajo del consumidor. Las ventas en las que el consumidor es abordado de forma intempestiva por fuera del establecimiento de comercio. Las ventas en las que el consumidor es llevado a escenarios dispuestos especialmente para aminorar su capacidad de discernimiento.
Ventas de Métodos No Tradicionales y Ventas a Distancia Decreto 1499 de 2014
Artículo 8: Corresponde a la información previa que deberá suministrar el vendedor al consumidor, en las transacciones de ventas no tradicionales o a distancia. Esta información se encuentra con más detalle en el procedimiento de Excel “ComercioElectrónico.xlsx”.
Ventas de Métodos No Tradicionales y Ventas a Distancia Decreto 1499 de 2014
Artículo 11: Sobre las sanciones por incumplimiento del Decreto, como por ejemplo: • • • • • •
La Superintendencia de Industria y Comercio podrá imponer, previa investigación administrativa multas hasta por dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Cierre temporal del establecimiento de comercio hasta por 180 días. En caso de reincidencia y atendiendo a la gravedad de las faltas, cierre definitivo del establecimiento de comercio o la orden de retiro definitivo de una página web portal en Internet o del medio de comercio electrónico utilizado. Prohibición temporal o definitiva de producir, distribuir u ofrecer al público determinados productos. Ordenar la destrucción de un determinado producto, que sea perjudicial para la salud y seguridad de los consumidores. Multas sucesivas hasta de mil (1.000) salarios mínimos legales mensuales vigentes, por inobservancia de órdenes o instrucciones mientras permanezca en rebeldía.
CERTIFICADO Y FIRMAS DIGITALES
VIDEO
CERTIFICADO Y FIRMAS DIGITALES
VIDEO
PLANIFICACIÓN Y CONTROL OPERACIONAL Requisito No. 8 ISO 27001
La organización debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la información y la implementación de las acciones para la valoración y tratamiento de los riesgos y el cumplimiento de los objetivos establecidos en la seguridad de la información. Además es responsabilidad de las organizaciones tener toda la documentación necesaria de los procesos llevados a cabo y el control de los cambios que van surgiendo, para así poder analizar sus consecuencias y tomar las acciones requeridas en los casos donde sea necesario.
EVALUACIÓN DEL DESEMPEÑO Requisito No. 9 ISO 27001
En esta sección la organización deberá realizar el seguimiento y la evaluación de la eficacia del sistema de seguridad de la información que se está llevando a cabo. Deberá hacer un análisis detallado de si los procesos y controles implementados si están entregando los resultados esperados y se están cumpliendo a cabalidad.
EVALUACIÓN DEL DESEMPEÑO Auditorias
Una de las formas utilizadas para realizar el seguimiento y control al sistema de gestión de seguridad de la información en las organizaciones, son las auditorias internas o externas. La norma NTC-ISO 19011[1] define estos conceptos de la siguiente manera:
EVALUACIÓN DEL DESEMPEÑO Auditoria Interna Las auditorías internas, denominadas en algunos casos como auditorías de primera parte, se realizan por, o en nombre de, la propia organización, para la revisión por la dirección y con otros fines internos, y pueden constituir la base para una autodeclaración de conformidad de una organización. En muchos casos, particularmente en organizaciones pequeñas, la independencia puede demostrarse al estar libre el auditor de responsabilidades en la actividad que se audita.
EVALUACIÓN DEL DESEMPEÑO Auditoria Externa Las auditorías externas incluyen lo que se denomina generalmente auditorías de segunda y tercera parte. Las auditorías de segunda parte se llevan a cabo por partes que tienen un interés en la organización, tal como los clientes, o por otras personas en su nombre. Las auditorías de tercera parte se llevan a cabo por organizaciones auditoras independientes y externas, tales como aquellas que proporcionan el registro o la certificación de conformidad de acuerdo con los requisitos de las Normas ISO 9001 o ISO 14001.
EVALUACIÓN DEL DESEMPEÑO
VIDEO
PROCEDIMIENTO DE APLICACIร N 1. Establecer los programas de auditoria Crear los programas de auditoria, los responsables de la gestiรณn del programa, incluir objetivos y un alcance del programa. Ademรกs realizar el provisionamiento de los recursos necesarios para llevar a cabo las auditorias asociadas al programa, establecer los procedimientos apropiados para realizar las auditorias.
PROCEDIMIENTO DE APLICACIÓN 2. Establecer las auditorias Crear las auditorias, los objetivos de cada auditoria, el alcance y los criterios de la auditoria los cuales determinan la conformidad, normas o leyes del sistema de gestión. Incluir métodos de auditoria ej: método deductivo o inductivo. También se debe seleccionar el equipo auditor. Realizar reunión con el representante del auditado con el fin de conocer detalles de la auditoria y la documentación asociada y determinar la viabilidad de la auditoria.
PROCEDIMIENTO DE APLICACIÓN 3. Implementar las auditorias Incluir un plan de auditoria que permita reflejar el alcance y la complejidad de la auditoria a realizar. Tener claro las funciones y responsabilidades del equipo auditor, las actividades a realizar con sus respectivas fechas y lugares. Asignar recursos para áreas y para preparativos logísticos. Viabilidad del plan de auditoria. Se debe preparar toda la documentación requerida pertinente a las tareas asignadas en la auditoria o para llevar registro del desarrollo de la auditoria como por ej: listas de verificación, documentos para los hallazgos.
PROCEDIMIENTO DE APLICACIĂ“N 4. Evaluar el programa de auditoria, la auditoria y los auditores. Realizar evaluaciones que permitan generar confianza de quienes llevan a cabo la auditoria, del desarrollo de la auditoria y del programa asociado. De los auditores se requiere conocer que atributos personales tiene ej: ĂŠtica, sinceridad, entre otras. Y las habilidades y conocimientos en auditorias y todo lo relacionado con el sistema de gestiĂłn de calidad.
MEJORA Requisito No. 10 ISO 27001 La mejora del sistema de gestión de seguridad de la información debe ser continua. La organización deberá reaccionar ante las no conformidades y tomar las acciones correctivas necesarias de tal manera que estas no se vuelvan a repetir. Una vez sean implementadas estas acciones, se deberá revisar la eficacia de cada una y si es del caso se deberán realizar los cambios al sistema de seguridad de la información. Se recomienda siempre conservar toda la documentación que pueda servir como evidencia de las no conformidades, de las acciones tomadas y de los resultados obtenidos.
Taller Auditoria
GESTIÓN DE ACTIVOS Como ya se ha mencionado en la temática, el activo más importante para las organizaciones es la información. En este sentido desde el lado normativo, los instrumentos de la gestión de la información son las principales disposiciones de la Ley de Transparencia (Ley 1712 de 2014[1]). Dentro de estos instrumentos se encuentra el “Registro de Activos de Información”, el cual hace referencia al inventario de la información pública en general que el sujeto obligado genere, obtenga, adquiera, transforme o controle.
GESTIÓN DE ACTIVOS También está el “Índice de Información Clasificada y Reservada”, el cual hace referencia al inventario de la información pública generada, obtenida, adquirida o controlada por el sujeto obligado que ha sido calificada como clasificada o reservada. Entonces las organizaciones atendiendo a la ley y teniendo en cuenta el tipo de información, deberán o no poner a disposición del público algunos activos de la organización.
GESTIÓN DE ACTIVOS Tipos de Información Según la Ley 1712 de 2014 Información Pública: Es toda información que un sujeto obligado genere, obtenga, adquiera, o controle en su calidad de tal.
Información Pública Clasificada: Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias y los derechos particulares o privados consagrados en el artículo 18 de esta ley.
GESTIÓN DE ACTIVOS Tipos de Información Según la Ley 1712 de 2014 Información Pública Reservada: Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso a la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad de los requisitos consagrados en el artículo 19 de esta ley.
PROCEDIMIENTO DE ACTIVOS 1. Realizar levantamiento de información pertinente Recolectar documentación que permita conocer el negocio, la estructura organizacional, tales como: documento de procedimientos y procesos de la organización, organigrama, áreas de la organización, líderes, inventario de activos en caso de ya contar con uno, entre otros.
PROCEDIMIENTO DE ACTIVOS 2. Iniciar el Inventario de Activos De cada activo es necesario tener información tal como: nombre, identificación del activo, tipo, ubicación, fecha de registro, responsables, licencias, clasificación, el valor de cada activo, requerimientos legales nacionales, internacionales o de la empresa, permisos sobre el activo (Ej: Solo lectura), fecha de vencimiento del activo, estado del activo (activo, inactivo), propiedad intelectual, entre otra información que la organización considere necesaria para incluirla por cada activo.
PROCEDIMIENTO DE ACTIVOS 3. Trazabilidad de Activos Los activos pueden cambiar en el tiempo, de responsable, de estados, entro otros cambios. Además con el seguimiento que se pueda realizar a cada uno de ellos, las Organizaciones tendrían la mayoria de la información necesaria para recuperarse en caso de algún problema o desastre. Por ejemplo: Es importante conocer la información que maneja el activo, ya sea publica, reservada, si es transferible o no, fechas de vencimiento, localización, entre otras.
AGRADECIMIENTOS