la importancia del aseguramiento independiente en la ...€¦ · permite la publicación de un...
TRANSCRIPT
“Las firmas electrónicas certificadas y la seguridad en Internet: normatividad, valor probatorio y usos”. 28 de julio de 2015
LA IMPORTANCIA DEL ASEGURAMIENTO INDEPENDIENTE EN LA CERTIFICACIÓN DIGITAL
Wilmar Arturo Castellanos SocioDeloitte & Touche [email protected]
Agenda
“Las firmas electrónicas certificadas y la seguridad en Internet: normatividad, valor probatorio y usos”. 28 de julio de 2015
• ¿Porqué es importante el aseguramiento independiente en la certificación digital?
• Controles en la Organización de Servicio – SOC
Agenda
“Las firmas electrónicas certificadas y la seguridad en Internet: normatividad, valor probatorio y usos”. 28 de julio de 2015
• ¿Porqué es importante el aseguramiento independiente en la certificación digital?
• Controles en la Organización de Servicio – SOC
Seguridad transaccional
“Las firmas electrónicas certificadas y la seguridad en Internet: normatividad, valor probatorio y usos”. 28 de julio de 2015
La tecnología de infraestructura de llave pública permite validar la autenticidad / identidad de: • Sitios web, así como su pertenencia a una
compañía legítima establecida.• Proveedores de software y legitimidad del código.• Redes o puntos de acceso inalámbrico.• Dispositivos móviles.• Remitentes de correo electrónico.• Firmantes de documentos electrónicos.• Autorizadores de transacciones electrónicas.
Igualmente permite el cifrado de mensajes o documentos, así como la validación de su integridad.
Finalmente, permite que las transacciones válidas no puedan ser repudiadas por quien las origina.
Seguridad transaccional
“Las firmas electrónicas certificadas y la seguridad en Internet: normatividad, valor probatorio y usos”. 28 de julio de 2015
De acuerdo con el estudio State of Cybersecurity: Implications for 2015 - An ISACA and RSA Conference Survey
Seguridad transaccional
“Las firmas electrónicas certificadas y la seguridad en Internet: normatividad, valor probatorio y usos”. 28 de julio de 2015
De acuerdo con el estudio State of Cybersecurity: Implications for 2015 - An ISACA and RSA Conference Survey
Seguridad transaccional
“Las firmas electrónicas certificadas y la seguridad en Internet: normatividad, valor probatorio y usos”. 28 de julio de 2015
De acuerdo con el estudio State of Cybersecurity: Implications for 2015 - An ISACA and RSA Conference Survey
Seguridad transaccional
“Las firmas electrónicas certificadas y la seguridad en Internet: normatividad, valor probatorio y usos”. 28 de julio de 2015
De acuerdo con el estudio State of Cybersecurity: Implications for 2015 - An ISACA and RSA Conference Survey
Seguridad transaccional
“Las firmas electrónicas certificadas y la seguridad en Internet: normatividad, valor probatorio y usos”. 28 de julio de 2015
Seguridad transaccional
“Las firmas electrónicas certificadas y la seguridad en Internet: normatividad, valor probatorio y usos”. 28 de julio de 2015
Agenda
“Las firmas electrónicas certificadas y la seguridad en Internet: normatividad, valor probatorio y usos”. 28 de julio de 2015
• ¿Porqué es importante el aseguramiento independiente en la certificación digital?
• Controles en la Organización de Servicio – SOC
Introducción a los reportes sobre los controles de
organizaciones de servicio
“Las firmas electrónicas certificadas y la seguridad en Internet: normatividad, valor probatorio y usos”. 28 de julio de 2015
Tipo de Reporte Alcance del reporte Propósito
SOC 1SM
Control interno para el reportefinanciero (Tipo 1 y tipo 2) – SSAE 16 – ISAE 3402
Auditoría de estadosfinancieros
SOC 2SM
Principios de los servicios de confianza (Tipo 1 y tipo 2) – usorestringido – AT sección 101
Control de supervisión porparte del cliente del servicio – Uso restringido
SOC 3SM
Principios de los servicios de confianza (Tipo 1 y tipo 2) – sellopúblico
Confianza pública
SOC – Service Organization Controls
Introducción a los reportes sobre los controles de
organizaciones de servicio
“Las firmas electrónicas certificadas y la seguridad en Internet: normatividad, valor probatorio y usos”. 28 de julio de 2015
SOC 3
Tipo de Reporte Proveedores
SOC 3SM
Centros de datos, outsourcing de TI, outsourcing de procesos, proveedores en la nube, servicios administrados de seguridad, autoridades de certificación, sitios web transaccionales
Permite la publicación de un sello en la página web con el fin de hacer público que la entidad se somete a revisiónindependiente de sus controles y bajo qué conjunto de principios.
El sello apunta al reporte del auditor independiente con respecto al cumplimiento, por parte de la organización de servicio, de los principios y criterios de confianza establecidospor AICPA y CPA Canadá.
Principios y criterios
“Las firmas electrónicas certificadas y la seguridad en Internet: normatividad, valor probatorio y usos”. 28 de julio de 2015
• El sistema está protegido contra acceso no autorizado(lógico y físico).Seguridad
• El sistema está disponible para su operación y uso de acuerdo con lo comprometido y acordadoDisponibilidad.
• El procesamiento del sistema es completo, exacto, oportuno y autorizado.
Integridad de procesamiento.
• La información confidencial es protegida según lo acordado.Confidencialidad.
• La información personal es recolectada, usada, retenida, revelada y destruida de conformidad con los compromisos y acuerdos.
Privacidad.
Introducción a los reportes sobre los controles de
organizaciones de servicio
“Las firmas electrónicas certificadas y la seguridad en Internet: normatividad, valor probatorio y usos”. 28 de julio de 2015
Usuario Organización de servicio(BPO, portal de comercio electrónico,
autoridad de certificación digital)
Otros Interesados(Sociedad, mercado,
auditores)
Auditor independiente
acreditado
Basan su confianza en el informe emitido por el
auditor
Auditoríaindependiente
Ofrece y vendeun servicio
Webtrust for Certification Authorities
“Las firmas electrónicas certificadas y la seguridad en Internet: normatividad, valor probatorio y usos”. 28 de julio de 2015
• Asegura que la CA sigue apropiadamente lo establecido en su declaración de prácticas de certificación, verificando la identidad de sus suscriptores y protegiendo la integridad de las llaves de sus certificados.
• Aumenta la confianza del cliente en transacciones electrónicas, mientras aumenta la confianza del cliente en la aplicación de la tecnología PKI.
• La confidencialidad, autenticación e integridad son los ingredientes más importantes requeridos para la confianza en transacciones electrónicas, y la tecnología PKI puede proveer estas características.
Beneficios de la auditoría Webtrust for CA
“Las firmas electrónicas certificadas y la seguridad en Internet: normatividad, valor probatorio y usos”. 28 de julio de 2015
• Opinión independiente sobre el sistema establecido para cumplir con los requerimientos definidos.
• Detección de errores que pudieran tener un impacto significativo en las operaciones.
• Verificación de que el riesgo de fraude es moderado a través de controles internos efectivos.
• La auditoría es provista por entidades licenciadas por el AICPA / CPA Canadá verificando si los servicios provistos por una CA cumplen los principios y criterios.
Referencias
“Las firmas electrónicas certificadas y la seguridad en Internet: normatividad, valor probatorio y usos”. 28 de julio de 2015
• CyberSOC Deloitte https://cybersoc.deloitte.es/buglanding/
• State of Cybersecurity: Implications for 2015 - An ISACA and RSA Conference Surveyhttp://www.isaca.org/cyber/Pages/state-of-cybersecurity-implications-for-2015.aspx
• http://arstechnica.com/security/
• Kaspersky labs https://securelist.com/blog/