jueves, octubre 31, 2019

Publicada la ISO 22301 Requerimientos para un BCMS




Este documento especifica los requerimientos para implementar, mantener y mejorar un BCMS (Business Continuity Management System) ó SGCN (Sistema de Gestión de Continuidad de Negocios), protegerlo, reducir la probabilidad de ocurrencia, prepararse, responder y recuperarse de interrupciones cuando se presenten. 

Los requisitos especificados en este documento son genéricos y están destinados a ser aplicables a todas las organizaciones, o partes de las mismas, independientemente del tipo, tamaño y naturaleza de la organización. El grado de aplicación de estos requisitos depende del entorno operativo y la complejidad de la organización.

Este documento es aplicable a todos los tipos y tamaños de organizaciones que:
  1. Implementar, mantienen y mejoran un BCMS (Business continuity management system);
  2. Buscan asegurar su cumplimiento de la política de continuidad de negocios establecida;
  3. Necesitan poder continuar entregando productos y servicios a una capacidad predefinida aceptable durante una interrupción;
  4. buscar mejorar su resiliencia a través de la aplicación efectiva del BCMS
Este documento puede usarse para evaluar la capacidad de una organización para satisfacer sus propias necesidades y obligaciones de continuidad de negocios.

Norma disponible en ESTE LINK



miércoles, octubre 30, 2019

El 40% de los teléfonos inteligentes en venta tienen información de su anterior propietario


Actualmente, la información que almacenamos en nuestros teléfonos es muchísima, y también, privada. De acuerdo a un estudio realizado por NAID (National Association on the Destruction of Information of the United States), casi el 50% de los teléfonos analizados de segunda mano que encontraron en venta, contenían información personal del vendedor. 


El estudio tuvo un universo de 250 equipos, en el que 2 de 5 equipos revisados contenían información de su antiguo propietario, lo cual claramente facilita el accionar de los delincuentes quienes acceden a dicha información sin proponérselo. 

La información personal es muy fácil de borrar en los smartphones, aunque debe hacerse con minucia para evitar que alguna información que haya sido alojada en la nube pueda ser recuperada, como por ejemplo los passwords que llevamos sin cambiar por una eternidad. 

Para las organizaciones es obligatorio que los equipos móviles sean reseteados de manera tal que se restablezcan los equipos a su configuracion de fabrica, borrando así toda la información que haya podido ser almacenada en tales dispositivos. Los cybercriminales buscan tener en sus redes a cualquier persona que les pueda inadvertidamente generar beneficios o un redito economico. La recomendación es obvia: antes de vender y/o regalar un smartphone, hay que restablecer el equipo a su configuracion de fabrica. Puede sonar difícil de hacer pero es muy fácil, y en internet hay guías para hacerlo en cualquier marca y modelo. 



viernes, octubre 18, 2019

¿Qué es el bluesnarfing?



Es el robo ilegal de información de los teléfonos móviles que tienen el bluetooth encendido. Utilizando el bluesnarfing los atacantes se aprovechan de las vulnerabilidades de seguridad de los equipos y extraen información como la lista de contactos, mensajes de texto, emails, entre otros.

¿Cómo se hace el bluesnarfing?
Los dispositivos con bluetooth se comunican entre su usando un protocolo llamado OBEX o intercambio de objetos, y justo ahí es donde el bluesnarfing aprovecha vulnerabilidades en dicho protocolo.

El ataque inicia con un escaneo de equipos que tengan encendido el bluetooth. Al descubrir alguno, lo emparejan sin que la víctima autorice dicho enlace, pudiendo acceder a toda la información que este almacenada en el teléfono de la víctima.

¿Cómo defenderse del BlueSnarfing?
La manera más obvia de hacerlo es simplemente desactivando el bluetooth en lugares públicos o cuando no se requiera utilizarlo. El asunto es que ahora con los smartbands, smartwatchs, etc, mantener el bluetooth encendido es una obligación!

Otra manera puede ser en la configuración del teléfono, es seleccionar la opción de “ocultar” la conexión activa del bluetooth, asi cuando un ciberdelincuente haga un escaneo buscando víctimas, no detecte nuestro teléfono. La mala noticia es que inclusive con esta opción, el teléfono puede ser detectado por medio de las direcciones MAC de dichos equipos, asi que el riesgo, siempre estará presente.

¿Que es el Smishing?



El Smishing, o SMS phishing, es el intento de fraude a través de mensajes de texto o SMS buscando que las potenciales víctimas revelen información bancaria o instalen algún malware. Al igual que con el phishing, los ciberdelincuentes usan smishing, disfrazándose de una organización confiable o una persona de confianza que envía un mensaje de texto.

Con el smishing, los ciberdelincuentes usan un mensaje de texto para intentar que las posibles víctimas den información personal. El mensaje de texto, que generalmente contiene un enlace a un sitio web falso que parece idéntico al sitio legítimo, le pide al destinatario que ingrese información personal. La información falsa se usa a menudo para hacer que los textos parezcan ser de una organización o empresa legítima.

El smishing ha crecido en popularidad entre los ciberdelincuentes a la par que el uso de los teléfonos inteligentes, ya que les permite robar información financiera y personal confidencial sin tener que romper las defensas de seguridad de una computadora o red. El conocimiento generalizado sobre  phishing, smishing y otros ataques continúa creciendo, ya que se informan muchos incidentes en las noticias.
  
¿Cómo funciona el Smishing?
Básicamente utiliza técnicas de ingeniería social para atraer a los destinatarios de mensajes de texto a revelar información personal o financiera. Por ejemplo, durante las vacaciones, recibe un mensaje de texto que finge ser de un conocido minorista que le pide verificar su información de facturación o su paquete no se enviará a tiempo. El único problema es que el mensaje de texto le proporciona un enlace falso al sitio web, donde la información que proporcione se utilizará para cometer robo de identidad, fraude y otros delitos. El smishing también se usa para distribuir malware y spyware a través de enlaces o archivos adjuntos que pueden robar información y realizar otras tareas maliciosas. Los mensajes suelen contener algún tipo de urgencia, amenaza o advertencia para intentar que el destinatario tome medidas inmediatas.

¿Por qué es importante Smishing?
Todas las organizaciones deben educar a sus empleados sobre los peligros de smishing como parte de su plan de seguridad cibernética. Con una sensibilización de seguridad del usuario, los empleados pueden reconocer, evitar y reportar amenazas potenciales que pueden comprometer datos críticos y sistemas de red. Como parte del entrenamiento, simulacros de phishing, smishing y otras simulaciones de ataque se usan típicamente para probar y reforzar el buen comportamiento.

¿Qué es el ransomware?



El concepto detrás del ransomware, que es una forma conocida de software malicioso, es bastante simple: bloquear y cifrar los datos de la computadora de la víctima para luego exigir un rescate para restaurar el acceso. En muchos casos, la víctima debe pagar al ciberdelincuente dentro de un período de tiempo determinado o arriesgarse a perder el acceso para siempre. Y dado que estamos tratando con delincuentes aquí, pagar el rescate no garantiza que se restablezca el acceso.

El ransomware es una forma de "secuestro" virtual en la que el atacante podría retener sus archivos personales como rehenes, impidiendole el acceso a sus documentos, fotos e información financiera. Esos archivos todavía estarán en su computadora, justo frente a usted, pero ahora están encriptados, lo que los hace ilegibles.

Tipos de ransomware
El ransomware puede venir en muchas formas y tamaños. Algunas variantes pueden ser más dañinas que otras, pero todas tienen una cosa en común: un rescate. Los cinco tipos de ransomware son:
  1. Cripto malware. De las mas frecuentes, y puede causar mucho daño. Uno de los ejemplos más familiares es el ataque de ransomware fue el WannaCry 2017, que se dirigió a miles de computadoras en todo el mundo y se extendió dentro de las redes corporativas a nivel mundial.
  2. Lockers: Este tipo de ransomware es conocido por infectar su sistema operativo para bloquearlo completamente de su computadora, haciendo imposible el acceso a cualquiera de sus archivos o aplicaciones.
  3. Scareware Este es un software falso que actúa como un antivirus o una herramienta de limpieza. Scareware a menudo afirma haber encontrado problemas en su computadora, exigiendo dinero para resolver el problema. Algunos tipos de scareware bloquean su computadora, mientras que otros inundan su pantalla con alertas molestas y mensajes emergentes.
  4. Doxware Comúnmente conocido como fuga, doxware amenaza con publicar su información robada en línea si no paga el rescate. A medida que más personas almacenan archivos confidenciales y fotos personales en sus computadoras, es comprensible que muchas personas entren en pánico y paguen el rescate cuando sus archivos han sido secuestrados.
  5. RaaS. También conocido como "Ransomware como servicio", RaaS es un tipo de malware alojado de forma anónima por un hacker. Estos delincuentes se encargan de todo, desde la distribución del ransomware y el cobro de pagos hasta la gestión de descifradores (software que restaura el acceso a los datos) a cambio de su parte del rescate.
El ransomware sigue siendo un medio popular de ataque, y cada año se descubren nuevas familias de ransomware. Sin embargo, la amenaza del ransomware sigue siendo increíblemente activa en Internet, por lo que debe tomar precauciones para evitar convertirse en una víctima.
  
¿Qué hacer con el ransomware?

El ransomware es una actividad rentable para los ciberdelincuentes y quizas ya sea imposible de erradicar. La prevención es el aspecto más importante para proteger sus datos personales. Para disuadir a los ciberdelincuentes y a protegerse de un ataque de ransomware, tenga en cuenta lo siguiente: 
  • Utilizar software de seguridad. Para ayudar a proteger sus datos, instale y use una suite de seguridad confiable que ofrezca más que solo funciones antivirus.
  • Mantenga actualizado su software de seguridad. Las nuevas variantes de ransomware aparecen de forma regular, por lo que contar con un software de seguridad de Internet actualizado lo ayudará a protegerse contra los ataques cibernéticos.
  • Actualice su sistema operativo y otro software. Las actualizaciones de software frecuentemente incluyen parches para vulnerabilidades de seguridad recientemente descubiertas que podrían ser explotadas por los atacantes de ransomware.
  • No abra automáticamente los archivos adjuntos de correo electrónico. El correo electrónico es uno de los principales métodos para entregar ransomware. Evite abrir correos electrónicos y archivos adjuntos de fuentes desconocidas o no confiables.
  • Tenga cuidado con cualquier archivo adjunto de correo electrónico que le aconseje habilitar las macros para ver su contenido. Una vez habilitado, el malware alojado dentro del macro puede infectar múltiples archivos. A menos que esté absolutamente seguro de que el correo electrónico que esta abriendo es de una fuente confiable, elimínelo.
  • Haga una copia de seguridad de los datos importantes en un disco duro externo. Los atacantes pueden obtener influencia sobre sus víctimas encriptando archivos valiosos y haciéndolos inaccesibles. Si la víctima tiene copias de seguridad, el hacker ya no tiene la ventaja. Los archivos de respaldo permiten a las víctimas restaurar sus archivos una vez que se ha limpiado la infección. Asegúrese de que las copias de seguridad estén debidamente protegidas o almacenadas fuera de línea para que los atacantes no puedan acceder a ellas.
  • Utilice servicios en la nube. Esto puede ayudar a mitigar una infección de ransomware, ya que muchos servicios en la nube retienen versiones anteriores de archivos, lo que le permite "retroceder" a la forma no cifrada.
  • No pagues el rescate. Podrías preguntarte: "¿Pero no recuperaré mis archivos si pago el rescate?" Podrías, pero tal vez no. Sintiendo desesperación, un ciberdelincuente podría pedirle que pague una y otra vez, extorsionando su dinero pero nunca divulgando sus datos.

Los matones del ransomware se ganan la vida aprovechando a los inocentes. Con las nuevas variantes de ransomware que aparecen con frecuencia, se deben encaminar esfuerzos para minimizar su exposición. 

¿Qué es el Formjacking?




¿Qué es el formjacking?

El formjacking es la inyección de código JavaScript malicioso que hacen los ciberdelincuentes buscando hackear un sitio web y controlar la funcionalidad de la página para recopilar información confidencial del usuario. Formjacking está diseñado para robar los detalles de la tarjeta de crédito y otra información de los formularios de pago que se pueden capturar en las páginas de pago de los sitios web.

¿Cómo funciona el formjacking?

Una vez que el usuario de un sitio web ingresa los datos de su tarjeta de pago en una página de de comercio electrónico y hace clic en "enviar", el código JavaScript malicioso recopila la información ingresada. El código JavaScript malicioso instalado por los cyber delincuentes puede recopilar información como detalles de la tarjeta de pago, direcciones, números de teléfono y más. Una vez que se ha recopilado la información, esta se transfiere a los servidores del atacante. Los ladrones cibernéticos pueden usar esta información para obtener ganancias financieras ellos mismos, o para venderla en la web oscura.

¿Qué hacer si se es victima de un ataque de estos?  
  1. Póngase en contacto con su banco de inmediato para cancelar la tarjeta de crédito o débito afectada. En teoría, la mayoría de las instituciones financieras no lo responsabilizarán por los cargos si los notifica de inmediato al descubrir el fraude.
  2. Controle detalladamente sus extractos bancarios y de tarjetas de crédito para detectar compras no autorizadas o desconocidas.
  3. Esté atento a sus puntajes de crédito. Esto puede ser una pista si se ha abierto una nueva obligación bancaria con su información personal.

¿Qué es el Cryptojacking?




¿Qué es el Cryptojacking?

Cryptojacking es el uso sin consentimiento de la capacidad de cómputo de uno o varios computadores para minar criptomonedas. Por lo general las victimas de este delito, ignoran que sus computadores están siendo utilizados para tal fin

El Cryptojacking se convirtió rápidamente en una de las formas más comunes de malware, aunque se diferencia en que su objetivo no es específicamente obtener información pero si capacidad de procesamiento. Esta capacidad de procesamiento o cómputo es utilizada para minar criptomonedas como Bitcoins o Ethereum.

Ahora ¿Qué es la minería de criptomonedas?

En el mundo de la criptomoneda, la criptominería es el proceso utilizado para validar las transacciones y agregarlas a un libro mayor de blockchain.

¿Pero que es una criptomoneda? la criptomoneda es una moneda digital y una alternativa a las monedas más tradicionales, como el dólar estadounidense. El control de la criptomoneda está descentralizado y distribuido por medio de un libro mayor de blockchain. El libro mayor está protegido por criptografía compleja que los humanos no pueden romper sin la ayuda de una sofisticadísima potencia informática.

Aquí es donde entran los mineros de criptomonedas. Un minero de criptomonedas es responsable de validar la transacción y actualizar la cadena de bloques. Los mineros compiten entre sí para resolver intrincadas ecuaciones criptográficas, aquí es donde se utiliza la capacidad de procesamiento. El primer minero en resolver el código recibe su propia criptomoneda

¿Cómo funciona el criptojacking?

Con el aumento de la popularidad de las criptomonedas y su creciente aceptación como una forma legítima de comerciar en línea y comprar bienes, era solo cuestión de tiempo antes de que esta forma de dinero en línea fuera objetivo de los criminales. Los Cryptohackers usan varias formas de controlar un dispositivo, siendo una de ellas distribuyéndo malware, como un enlace o archivo adjunto en un correo electrónico. Cuando se hace clic en el enlace o se abre el archivo adjunto, el código de minería de cifrado se cargará directamente a la computadora, teléfono móvil o servidor. Una vez que el minero de cifrado recibe la confirmación de que el código está listo, puede comenzar a usar estos recursos de red para extraer todo el día.

Un método alternativo es usar lo que se conoce como minería criptográfica drive-by. Esta amenaza incrusta un fragmento de código JavaScript en un sitio web e inicia un proceso de minería en la máquina de cualquier usuario que visite una página web en particular.

Protegiendo sus recursos del Cryptojacking

Al igual que con muchas amenazas de malware, puede ser un desafío detectar la intrusión una vez que ha sucedido. De hecho, el primer indicio de una intrusión es un usuario que se queja de que su computadora se ha ralentizado repentinamente, o que uno de sus servidores de red comienza a informar que se está ejecutando a su máxima capacidad. Y cuando un sistema está funcionando a su máxima capacidad, puede hacer que la solución de problemas sea increíblemente difícil.

El truco es evitar que este exploit ocurra en primer lugar.

Si bien el cryptojacking todavía es relativamente nuevo, los ataques se están volviendo más comunes y más sofisticados. Los administradores deben tomar medidas a nivel de firewall mediante el uso de sistemas avanzados de prevención de intrusiones y firewalls de última generación. Si una red se ve comprometida, se deben tomar medidas para llevar a cabo un análisis de causa raíz que identifique cómo se instaló el malware para evitar que se repitan ese tipo de ataques.

Corte establece cuándo se puede limitar libertad de expresión en redes


Al estudiar cuatro tutelas de personas que afirmaron verse afectadas por publicaciones que se hicieron en su contra en redes sociales, la Corte Constitucional tomó una decisión clave para establecer cuáles son los límites de la libertad de expresión en estos espacios virtuales y en qué casos un juez pude intervenir o no.


Estas tutelas fueron por las que precisamente la Corte hizo una audiencia pública en febrero pasado y en la que incluso citó a los representantes de Facebook y Youtube para conocer su opinión al respecto.


Al estudiar cuatro tutelas de personas que afirmaron verse afectadas por publicaciones que se hicieron en su contra en redes sociales, la Corte Constitucional tomó una decisión clave para establecer cuáles son los límites de la libertad de expresión en estos espacios virtuales y en qué casos un juez pude intervenir o no.


Estas tutelas fueron por las que precisamente la Corte hizo una audiencia pública en febrero pasado y en la que incluso citó a los representantes de Facebook y Youtube para conocer su opinión al respecto.


En cambio, en la cuarta tutela que estudió la Corte, el alto tribunal sí decidió pronunciarse a favor del ciudadano afectado. Este es el caso de un exintegrante de Sayco y un músico. La Corte protegió los derechos del exdirectivo de Sayco porque en su contra se difundieron varios videos y mensajes en Youtube y Facebook en las que se lo tacha como "ratero, mafioso y corrupto".


"En ese caso la Corte encontró que sí era relevante y sí ameritaba su protección a los derechos al bueno nombre y honra. Concedió la tutela y ordenó que el accionado en tres meses retire de su cuenta personal de Facebook y de las cuentas de Youtube los mensaje que había publicado en estas redes sociales en contra del que puso la tutela, en donde lo tacha de ratero, mafioso y corrupto, que eran ofensivos y vulneraban su derecho a la honra y el buen nombre", explicó la magistrada Gloria Ortiz, presidenta de la Corte Constitucional.

La razón por la que la Corte consideró que en este caso sí se debía limitar el derecho a la libertad de expresión es porque los mensajes en contra del ciudadano afectado se dieron por un periodo de siete años. Esa reiteración de las afectaciones, dice la Corte, vulneraron el derecho a la dignidad del ciudadano que presentó la tutela.

“La Corte entiende a que existe un derecho a vivir sin humillaciones y afectaciones, y que la reiteración de ese comportamiento (los mensajes publicados en su contra) exige que el juez constitucional actúe", dijo Reyes Cuartas.

Si en este caso la persona que hizo las publicaciones no retira el contenido, dijo el alto tribunal, el juez de primera instancia que estudió esta tutela tendrá que ordenarles a Facebook y a Youtube que eliminen ese contenido. 


Se debe evaluar caso por caso 

La Corte Constitucional aseguró que no hay una regla universal que aplique para todas las situaciones por lo que cuando un ciudadano interponga una tutela en la que estén en tensión los derechos a la libertad de expresión en redes sociales, por un lado, y la honra, dignidad y buen nombre, por el otro, los jueces deben evaluar caso a caso las circunstancias de cada proceso. 


Aunque no hay reglas universales y la jurisprudencia sobre la libertad de expresión en redes sociales está en construcción, la Corte sí dio algunas líneas que se deberían tener en cuenta a la hora de estudiar tutelas en las que se deba ponderar si hay una grave afectación a los derechos de un ciudadano contra el que se publique un mensaje en Facebook o en Twitter. 


  1. No se necesita un fallo previo de un juez: La Corte dijo que no debe existir un fallo previo de un juez determinando si un caso corresponde a una injuria o calumnia para que un ciudadano pueda interponer una tutela cuando crea que sus derechos se están viendo afectados por un contenido publicado en una red social. 
  2. La libertad de expresión es la regla general: La Corte precisó que el derecho a la libertad de expresión es la regla y que la excepción a esa regla se crea en los casos en los que un ciudadano ve gravemente afectados sus derechos a vivir una vida digna y sea humillado. Esto significa que la intervención de los jueces sobre lo que los usuarios de redes sociales se dicen debe ser excepcional, y solo cuando se esté ante un daño grave sobre los derechos del otro. 
  3. No hay un común denominador sobre lo que constituye un insulto: Los insultos se deben valorar en cada caso para determinar en qué contexto se emiten. Si son insultos que tienen un gran impacto, en esos casos deberían intervenir los jueces. Pero si son insultos sin mayor repercusión, el ciudadano afectado tendría que tolerarlo. 
  4. Discusiones entre ciudadanos en redes sociales se dan generalmente entre iguales: La Corte aseguró que uno de los aspectos a tener en cuenta es la proporcionalidad entre quienes están hablando e interactuando en redes. Al hablar de ciudadanos, no de funcionarios públicos, la Corte asegura que estos usuarios están generalmente en igualdad de condiciones, en una posición horizontal, en la que deberían tratar de resolver por la vía del diálogo sus conflictos en las redes sociales. 
  5. Ciudadanos pueden acudir a las redes: En la misma vía de solucionar el problema de forma autónoma, la Corte dijo que la mayoría de redes sociales tienen espacios en los que los usuarios pueden  pedir que se eliminen contenidos que pasen por "límites infranqueables". 
  6. Pero no todo lo pueden solucionar las redes: La Corte reconoce que  los dueños y administradores de las redes sociales tienen límites y no en todos los casos pueden actuar para eliminar contenidos. Así la Corte dice que no es posible imponerle a las redes un criterio único sobre qué tipo de lenguaje puede o no permitirse, pues esto implicaría censura. Las redes sociales no son jueces y, por lo tanto, hay ciertas situaciones que sólo podrá resolver un juez con un estudio del caso. 
  7. Hay un derecho a vivir sin humillaciones: La Corte aseguró que en algunos casos, por más que la información que se dé sea cierta, o cuando se imputa un delito que alguien sí cometió, no existe un derecho a hacer miles de publicaciones en contra de otra persona sin ningún fin informativo, y sólo con el fin de mortificarla. Ese tipo de casos de publicaciones sistemáticas podrían llevar a que los jueces intervengan y ordenen eliminar esos contenidos. 
  8. Los factores a la hora de evaluar la gravedad de un mensaje: A la hora de estudiar las tutelas los jueces deben establecer cuál es el impacto y la posible magnitud del daño de una publicación, quién la publica, qué mensaje se publica y si es lo suficientemente denigrante, qué medio se usa, qué tanta difusión tuvo (número de seguidores, por ejemplo), por cuánto tiempo (si es sistemático), cuántas personas lo vieron, y si el afectado tuvo o no la posibilidad de defenderse. 
  9. Los límites a la libertad de expresión: En otras decisiones la Corte Constitucional ha dicho que no están protegidos por el derecho a la libertad de expresión los discursos discriminatorios,  la incitación al genocidio, la pornografía infantil, la propaganda de guerra, o la apología del odio que incite a la violencia.
  10. Cuestionamientos a funcionarios públicos: En otros fallos la Corte también ha precisado que los funcionarios y figuras públicas tienen el deber de soportar mayores cuestionamientos en las redes sociales ya que esas opiniones hacen parte de la función de veeduría que tiene la ciudadanía. 


Tomado de ELTIEMPO

jueves, octubre 17, 2019

ISO 27007 Guia para auditar un SGSI




Para continuar proporcionándonos los productos y servicios que esperamos, las empresas manejarán cantidades cada vez mayores de datos. La seguridad de esta información es una preocupación importante para los consumidores y las empresas, las cuales pueden ser victimas de ataques cibernéticos de alto perfil.

Los estragos causados ​​por tales ataques van desde celebridades avergonzadas por fotos descuidadas, hasta la pérdida de registros médicos, ó amenazas de rescate que ascienden a millones que han afectado incluso a las corporaciones más poderosas.

Cuando dichos datos contienen información personal, financiera o médica, las empresas tienen la obligación moral y legal de mantenerlos a salvo de los ciberdelincuentes. Ahí es donde entran en juego los estándares internacionales como la familia ISO / IEC 27000, que ayudan a las organizaciones a administrar la seguridad de los activos, como información financiera, propiedad intelectual, detalles de los empleados o información que les confían terceros.

ISO / IEC 27001 es el estándar más conocido en la familia que proporciona requisitos para un sistema de gestión de seguridad de la información (SGSI). Es un estándar internacional para el cual una organización puede ser certificada, aunque la certificación es opcional.

Para la persona encargada de auditar una empresa en particular, puede ser un proceso complejo. Del mismo modo, prepararse para una auditoría sin problemas requiere preparación y atención al detalle. Es precisamente por eso que se creo la  ISO / IEC 27007 Tecnología de la información —Técnicas de seguridad— Guía de auditoría de sistemas de gestión de seguridad de la información. Ayuda a ambas partes a prepararse a fondo proporcionando una orientación clara. Publicado por primera vez en 2011, ISO / IEC 27007 ahora se ha actualizado para alinearlo con ISO / IEC 27001: 2013.

Proporciona orientación sobre la gestión de un programa de auditoría del sistema de gestión de seguridad de la información (SGSI), la realización de auditorías internas y externas del SGSI de acuerdo con ISO / IEC 27001, y la competencia y evaluación de los auditores del SGSI. Además, proporciona una guía extensa para auditar todos los requisitos establecidos en ISO / IEC 27001. Está norma tiene como objetivo ser usada en conjunto con la guía contenida en ISO 19011: 2011, y sigue la misma estructura que esa Norma Internacional.

ISO / IEC 27007 brinda beneficios a cualquier tipo de negocio y está diseñado para ser aplicable a todos los usuarios, incluyendo organizaciones de cualquier tamaño.


En España es publicada guía para facilitar la aplicación de la privacidad desde el diseño



La Agencia Española de Protección de Datos (AEPD) ha publicado la ‘Guía de Privacidad desde el diseño’ con el objetivo de proporcionar pautas que faciliten la incorporación de los principios de protección de datos y los requisitos de privacidad a nuevos productos o servicios desde el momento en el que comienzan a diseñarse. El concepto de ‘privacidad desde el diseño’ fue aceptado internacionalmente en una resolución adoptada en 2010 en el marco de la 32ª Conferencia Internacional de Comisionados de Protección de Datos y Privacidad.

El objetivo de la privacidad desde el diseño, orientado a la gestión del riesgo y la responsabilidad proactiva, es que la protección de datos esté presente desde las primeras fases de desarrollo y no sea una capa añadida, formando parte integral del producto (hardware o software), sistema, servicio o proceso. La Guía está dirigida a responsables y otros actores que intervienen en el tratamiento de datos personales, tales como proveedores y prestadores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos.

El documento se divide en nueve apartados. Los dos primeros están dedicados a definir el concepto y los principios fundacionales de la privacidad desde el diseño, así como los requisitos que debe reunir el producto o servicio para garantizar dicha privacidad. El tercer apartado analiza el concepto de ingeniería de privacidad, un proceso que tiene por objeto traducir los principios de privacidad desde el diseño en medidas concretas, tanto en la fase de concepción del producto o servicio como en la de desarrollo. Por ejemplo, a través de la identificación de estrategias seguir para garantizar la privacidad; el establecimiento de patrones de diseño de privacidad para resolver problemas que se presenten de forma reiterada al desarrollar productos y servicios, o el empleo de tecnologías de privacidad mejorada (PETS, por sus siglas en inglés) para adecuar esos patrones a una tecnología concreta.

Por otra parte, la Guía aborda las distintas estrategias de diseño de la privacidad, algunas de las cuales están orientadas al tratamiento de datos (minimizar, ocultar, separar y abstraer) mientras que otras están dirigidas a definir procesos para una gestión responsable de los datos personales (informar, controlar, cumplir y demostrar). Asimismo, dedica un apartado a clasificar las tecnologías de privacidad mejorada o PETS, entre otros aspectos.

La Guía incluye un apartado de conclusiones en el que la Agencia pone de manifiesto que asegurar la privacidad y establecer un marco que garantice la protección de datos no representa un obstáculo para la innovación, sino que ofrece ventajas y oportunidades tanto para las organizaciones como para el mercado y la sociedad en su conjunto. Asimismo, recuerda que la privacidad desde el diseño es una obligación del responsable sea cual sea la forma de desarrollo, adquisición o subcontratación del sistema, producto o servicio, no pudiendo delegar completamente la responsabilidad en fabricantes y encargados.


Para terminar, es importante aclarar que en España considerar los requisitos de privacidad desde las primeras etapas del diseño de productos y servicios tienen categoría de requisito legal conferido por el Reglamento General de Protección de Datos (RGPD) que existe en dicho país, realmente un ejemplo que vale la pena seguir en Colombia. 

Este interesante documento lo pueden encontrar disponible para descarga en este LINK

Tomado de twitter: @govertis

martes, octubre 15, 2019

Deep Fakes, la evolución de las Fake News!



Las conocidisimas fake news ya empiezan a parecer algo del pasado con la llegada de las Deep Fake, con una tecnología que tiene ya un par de años, y que ya se anticipa como el nuevo desafío legal para el mundo entero. 

Sus inicios fueron inocentes: memes y videos divertidos, pero ya son un riesgo altísimo para la identidad de cualquier persona en el mundo, pues a través de esta tecnología se puede hacer una suplantación con un grado de perfección elevadisimo. 

En este vídeo, el actor e imitador James Meskimen puso a prueba esta tecnología, personificando a unas cuantas celebridades como Morgan Freeman, Tommy Lee Jones, Arnold Schwarzenegger, Nick Offerman, George Clooney ó Robert De niro.

Veamos un vídeo en el que el mencionado comediante recita un poema mientras que su cara va siendo modificada con una credibilidad asombrosa: 


Lo que hace el programa es "correr" muchas imágenes de la celebridad en diferentes ángulos y a alta velocidad, con lo cual genera un molde o patrón de como se vería el imitado, luego rastrea los rasgos de la persona que esta haciendo la imitación reconociendo hasta los movimientos mas pequeños, combinando todo y generando un resultado cuya perfección es difícil de discutir. 

Esta situación, que podría considerarse divertida, no lo es. En Estados Unidos ya han empezado a desarrollar leyes que penalizan la suplantación de identidad mediante el uso de herramientas digitales como la mostrada en este vídeo, pues ya se han presentado casos de extorsión con vídeos falsos, generar falsas declaraciones, etc. Quizás el peor escenario posible para este crimen seria su uso en contiendas electorales, lo que llevaría las fake news a un nivel casi imposible de combatir.  

Para finalizar, les comparto el vídeo con el producto final, y de verdad que es algo absolutamente increíble:



lunes, octubre 14, 2019

WhatsApp esta bloqueando cuentas de por vida!



Aunque pareciera que por WhatsApp se puede compartir cualquier clase de contenido sin control, los hechos demuestran lo contrario: está bloqueando cuentas inclusive sin que hayan compartido algo indebido: ya existen reportes de bloqueos masivos a usuarios por pertenecer a grupos de whatsApp en los que inclusive no se comparte nada indebido sino por el título del grupo! Si a algún gracioso se le ocurre cambiar el título del grupo por algo que sea alusivo a algo ilegal, puede hacer que tanto a el como a TODOS los integrantes del grupo les bloqueen el uso de whatsapp de manera irreversible. 

WhatsApp tiene algoritmos que buscan este tipo de grupos, escanean sus nombres y fotos de contacto, y bloquea las cuentas de todos sus integrantes. La empresa ha dejado claro que no piensa rebajar su política de tolerancia cero con estos grupos. Esto tiene sentido dado que hasta ahora sus algoritmos han permitido la eliminación de grupos que realmente compartían material infantil ilegal.

Esto es algo que podría pasar en cualquier grupo, motivo por el cual empieza a ser buena idea salir de cualquiera que no tengamos plenamente controlado, o usar las funciones actuales para bloquear la inclusión en grupos.  

¿Es posible recuperar la cuenta?

El problema de este tipo de bloqueos es que WhatsApp es el resultado de incumplir los términos y condiciones de uso de la aplicación, y aunque no hayamos sido directamente nosotros los infractores, el estar vinculados a un grupo infractor nos cataloga de inmediato como cómplices. 

Existe una remota posibilidad de desbloqueo, enviando un email a support@whatsapp.com o por medio del formulario web presentando el caso, pero hasta ahora no se han conocido casos en los que se levante la sanción. 

jueves, octubre 10, 2019

Marco legal de Seguridad de la Información en Colombia


Siempre que se desea implementar un Sistema de Gestión, toda organización debe obligatoriamente cumplir con todas las leyes, normas, decretos, etc que sean aplicables en el desarrollo de sus actividades. De manera general puedo mencionar el tema de seguridad social, cumplir con la Cámara de Comercio, permisos, licencias de construcción, etc, etc; pero en lo que se refiere específicamente a Seguridad de la Información, estas son las Leyes vigentes al día de hoy:


1968

  • Ley 74 de 1968, Incorpora a la legislación interna los Pactos Internacionales de Derechos Económicos, Sociales y Culturales, de Derechos Civiles de la ONU
1975

  • Ley 48 de 1975 adhesión de Colombia a la Convención Universal sobre el Derecho de Autor, firmado en Ginebra en 1952 y revisada en París en 1971

1981

1982
  • Ley 23, de 28 de enero de 1982, sobre derecho de autor, que protege la imagen individual frente a varias formas de abuso.
  • Decreto 3466 de 2 de diciembre de 1982, por el cual se dictan normas relativas a la idoneidad, la calidad, las garantías, las marcas, las leyendas, las propagandas y la fijación pública de precios de bienes y servicios, la responsabilidad de sus productores, expendedores y proveedores, y se dictan otras disposiciones.
1985
  • Ley 57 de 5 de junio de 1985, por la cual se ordena la publicidad de los actos y documentos oficiales.
  • Ley 96 de 21 de noviembre de 1985, por la cual se modifican las Leyes 28 de 1979 y 85 de 1981, el Código Contencioso Administrativo, se otorgan unas facultades extraordinarias y se dictan otras disposiciones.
1987
  • Anteproyecto de Ley Colombiana de 1987. Propuesta de la Universidad de los Andes.
  • Código procesal penal de 1987, que tutela la inviolabilidad del domicilio y regula en su artículo 376 las escuchas telefónicas.
  • Ley 33 de 1987 de adhesión al Convenio de Berna para la Protección de las Obras Literarias y Artísticas de 1886.
1988
  • Ley de Protección de datos de 1988.
1989
  • Decreto 1360, de 23 de junio de 1989, por el cual se reglamenta la inscripción del soporte lógico (software) en el Registro Nacional del Derecho de Autor.
  • Ley 72/1989, de 20 de diciembre de 1989, por la cual se definen nuevos conceptos y principios sobre la Organización de las Telecomunicaciones en Colombia y sobre el régimen de concesión de los servicios y se confieren unas facultades extraordinarias al Presidente de la República. (Diario Oficial nº 39.111 de 20 de diciembre de 1989). (Derogada por Ley 1341 de 2009).
1990
  • Decreto 1900 de 19 de agosto de 1990, por el cual se reforman las normas y estatutos que regulan las actividades y servicios de telecomunicaciones y afines (Derogado por Ley 1341 de 30 de julio de 2009)
1991
  • Constitución Política Colombiana (modificada en 6 julio 1991). Artículos 15, 20, 23 y 74.
  • Decreto 1794/1991, de 16 de julio de 1991, por el cual se Expiden Normas sobre los Servicios de Valor Agregado y Telemáticos y se Reglamenta el Decreto 1900 de 1990.
  • Decreto 2041 de 29 de agosto de 1991, por el cual se crea la Dirección Nacional del Derecho de Autor como Unidad Administrativa Especial, se establece su estructura orgánica y se determinan sus funciones.
  • Decreto 2591 de 19 de Noviembre de 1991, por el cual se reglamenta la acción de tutela consagrada en el artículo 86 de la Constitución Política (Diario Oficial nº 40165 de 19 de noviembre de 1991)

1992


1993

  • Ley 44, de 5 de Febrero de 1993, sobre Obras de Empleados Públicos y Derechos de Autor, por la que se Modifica y Adiciona la Ley nº 23 de 1982 y se Modifica la Ley nº 29 de 1944.
  • Decreto 663 de 2 de abril de 1993, por medio del cual se actualiza el Estatuto Orgánico del Sistema Financiero y se modifica su titulación y numeración.
  • Artículo 127.6.- Libreta. Con excepción de lo dispuesto en el artículo 126 numeral 2, ningún establecimiento bancario podrá pagar depósitos de ahorros, o una parte de ellos, o los intereses, sin que se presente la libreta u otra constancia de depósito y se haga en ella el respectivo asiento al tiempo del pago, salvo en aquellos casos en que el pago se produzca mediante la utilización por parte del usuario de un medio electrónico que permita dejar evidencia fidedigna de la transacción realizada.
  • Ley 79, de 20 de octubre de 1993, por la cual se regula la realización de los Censos de Población y Vivienda en todo el territorio nacional (Diario Oficial nº 41.083 de 20 de octubre de 1993).
  • Decisión Andina 351 de 16 de diciembre de 1993, por el cual se adopta el régimen común sobre Derechos de Autor y Conexos.

1994

  • Ley 170, de 15 de diciembre de 1994 por medio de la cual se aprueba el Acuerdo por el que se establece la “Organización Mundial de Comercio (OMC)”, suscrito en Marrakech (Marruecos) el 15 de abril de 1994, sus acuerdos multilaterales anexos y el Acuerdo Plurilateral anexo sobre la Carne de Bovino.
  • 1995
  • Decreto 460 de 16 de marzo de 1995, por el cual se reglamenta el Registro Nacional del Derecho de Autor y se regula el Depósito Legal. (Diario Oficial nº 41.768 de 21 marzo 1995).
  • Decreto 2150 de 1995 sobre sistemas electrónicos, de 5 de diciembre de 1995, que busca la simplificación de trámites ante Entidades Estatales. (Diario Oficial 42.137, del 6 de diciembre de 1995).
  • Ley 223 de 20 de diciembre 1995, por la cual se expiden normas sobre Racionalización Tributaria y se dictas otras disposiciones.
  • Artículo 37. Adiciónase el Estatuto Tributario con el siguiente artículo:
  • “Artículo 616-1. Factura o Documento Equivalente. La factura de venta o documento equivalente se expedirá, en las operaciones que se realicen con comerciantes, importadores o prestadores de servicios o en las ventas a consumidores finales.
  • “Son documentos equivalentes a la factura de venta: El tiquete de máquina registradora, la boleta de ingreso a espectáculos públicos, la factura electrónica y los demás que señale el Gobierno Nacional.
  • “Dentro de los seis meses siguientes a la vigencia de esta Ley, el Gobierno Nacional reglamentará la utilización de la factura electrónica”.
  • Ley 232 de 26 de diciembre1995, por medio de la cual se dictan normas para el funcionamiento de los establecimientos comerciales. (Diario Oficial 42.162, de 26 de diciembre de 1995)
1996

1997

  • Decreto 1543 de 12 de junio de 1997 sobre VIH y SIDA.
  • Resolución 087 de 5 de septiembre de 1997, de la Comisión de Regulación de las Telecomunicaciones, por medio de la cual se regula en forma integral los servicios de Telefonía Pública Básica Conmutada (TPBC) en Colombia.

1998


1999

  • Decreto 1122 de 1999. Declarado inasequible por vicios de forma, mediante sentencia de la Corte Constitucional C-923/99.
  • Resolución 1995/1999, de 8 de junio 1999 del MPS sobre manejo de la historia clínica.
  • Decreto 1487/ 1999, de 12 de Agosto, por Medio del Cual se Autoriza el Sistema Declaración y Pago Electrónico de la DIAN y se Establecen algunos Parámetros Operativos para la Presentación de las Declaraciones Tributarias y el Pago de los Impuestos por Vía Electrónica.
  • Resolución 831/1999, de 1 de septiembre de 1999, por la cual se Adopta y Establecen los Parámetros Operativos del Sistema Declaración y Pago Electrónico de la DIAN, para Presentar las Declaraciones Tributarias y Efectuar los Pagos de los Impuestos Administrados por la Dirección de Impuestos y Aduanas Nacionales y de las Retenciones en la Fuente.

2000

2001
2002
2003
2004
2005
2006
  • Acuerdo nº PSAA06-3334 de 2 de marzo de 2006 del Consejo Superior de la Judicatura, por el cual se reglamentan la utilización de medios electrónicos e informáticos en el cumplimiento de las funciones de administración de justicia.
  • Ley 1032 de 22 de junio 2006, por la cual se modifican los artículos 257, 271, 272 y 306 del Código Penal (Diario Oficial nº 46.307 de 22 de junio de 2006).
  • Ley 1065 de 29 de julio de 2006, por la cual se define la administración de registros de nombres de dominio .co y se dictan otras disposiciones (Diario Oficial nº 46.344 de 29 julio de 2006). (Derogada por el artículo 73 de la Ley 1341 de 2009)
  • Proyecto de Ley 05/2006 Senado “Por el cual se reglamenta el Habeas Data y el Derecho de Petición ante Entidades Financieras, Bancarias y Centrales o Banco de Datos”. Acumulado Proyecto de Ley nº 27/2006 Senado “Por la cual se dictan las disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera y crediticia, y se dictan otras disposiciones”. Aprobado por la comisión el día 12 de Octubre de 2006.
  • Proyecto de Ley 117/2006. Camara. Acumulada nº 119/06. Camara. Por el cual se reforman las Leyes 23 de 1982, 44 de 1993 y 232 de 1995 con el fin de garantizar eficaz protección a los derechos de autores, compositores e interpretes de obras musicales. Por medio de la cual se modifica el artículo 164 de la Ley 23 de 1982. (archivado art. 190 Ley 5).
  • Proyecto de Ley 184/06. Camara. Por la cual se adiciona la Ley 23 de 1982, sobre Derechos de Autor.(retirado por su autor).
  • Proyecto de Ley 194/06. Camara. Por la cual se adiciona la Ley 23 de 1982, sobre Derechos de Autor. (retirado por su autor).
  • Decreto 4540 de 22 de diciembre de 2006, por medio del cual se adoptan controles en aduana, para proteger la Propiedad Intelectual.
2007
  • Acuerdo 279 del 29 de marzo de 2007, del Consejo de Bogotá, por el cual se dictan los lineamientos para la Política de Promoción y Uso del Software libre en el Sector Central, el Sector Descentralizado y el Sector de las Localidades del Distrito Capital.
  • Informe de Conciliación al Proyecto de Ley Estatutaria 221/2007 de 4 de junio de 2007, sobre el Derecho de Habeas Data.
  • Decreto 2870 de 31 de julio de 2007, por medio del cual se adoptan medidas para facilitar la Convergencia de los servicios y redes en materia de Telecomunicaciones. (Diario oficial nº 46.706 de 31 de julio de 2007).
  • Resolución 1732 de 17 de septiembre de 2007, de la Comisión de Regulación de Telecomunicaciones, por la cual se expide el Régimen de Protección de los Derechos de los Suscriptores y/o Usuarios de los Servicios de Telecomunicaciones. (Diario Oficial nº 46.756 de 19 de septiembre de 2007)
  • Resolución 2578 de 28 de septiembre de 2007, del Ministerio de Comunicaciones, por la cual se reglamenta el artículo 11 del Decreto 2870 de 2007 y se dictan otras disposiciones. (Diario Oficial nº 46.778 de 11 de octubre de 2007).
  • Circular 052 de 25 de octubre de 2007, de la Superintendencia Financiera de Colombia. Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios.
  • Decreto nº 619 de 28 de diciembre de 2007 de la Presidencia de la República, por el cual se establece la Estratégia de Gobierno Electrónico de los organismos y de las entidades de Bogotá, Distrito Capital y se dictan otras disposiciones.

2008

  • Resolución 284 del Ministerio de Comunicaciones de 21 de febrero de 2008, por la cual adopta el modelo operativo para la administración del dominio .co
  • Decreto 1070 de 7 de abril de 2008, por el cual se reglamenta el artículo 26 de la Ley 98 de 1993.
  • Decreto 1151 del Ministerio de Comunicaciones, de 14 de abril de 2008, mediante el cual se establecen los lineamientos generales de la Estrategia de Gobierno en Línea de la República de Colombia, se reglamenta parcialmente la Ley 962 de 2005, y se dictan otras disposiciones.
  • Manual para la implementación de la estratégia de gobierno en línea de la República de Colombia, de mayo de 2008 del Ministerio de Comunicaciones.
  • Decreto 1879 de 29 de mayo de 2008, por el cual se reglamentan la Ley 232 de 1995, el artículo 27 de la Ley 962 de 2005, los artículos 46, 47 y 48 del Decreto Ley 2150 de 1995 y se dictan otras disposiciones.
  • Ley 1221 de 16 de julio de 2008, por la cual se establecen normas para promover y regular el Teletrabajo y se dictan otras disposiciones (Diario Oficial nº 47.052).
  • Ley 1245 de 6 de octubre de 2008, por medio de la cual se establece la obligación de implementar la portabilidad numérica y se dictan otras disposiciones.
  • Decreto 4834 de 24 de diciembre de 2008, por el cual se modifica la Planta de Personal de la Dirección Nacional de Derecho de Autor.
  • Decreto 4835 de 24 de diciembre de 2008, por el cual se modifica la estructura de la Dirección Nacional de Derecho de Autor y se dictan otras disposiciones.
  • Ley 1266 de 31 de diciembre de 2008, por la cual se dictan las disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. (Diario Oficial nº 47.219).

2009

  • Ley 1273 de 5 de enero de 2009, por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado -denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones (Diario Oficial nº 47.223).
  • Decreto 1727 de 15 de mayo de 2009, del Ministerio de Hacienda y Crédito Público, por el cual se determina la forma en la cual los operadores de los bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, deben presentar la información de los titulares de la información. (Diario Oficial nº 47.350 de 15 de mayo de 2009).
  • Ley 1341 de 30 de julio de 2009, sobre principios y conceptos sobre la Sociedad de la Información y la Organización de las Tecnologías de la Información y las Comunicaciones (Diario Oficial nº 47426 de 30 de julio de 2009).
  • Resolución 244 de 30 de julio de 2009, por la cual se establece el Sistema de Información Automático de Registro de Obras, Fonogramas y Contratos, en la Unidad Administrativa Especial Dirección Nacional de Derecho de Autor, y se determinan las condiciones de uso de dicho sistema. (Diario Oficial nº 47.446 de 19 de agosto de 2009).
  • Decreto 2888 de 4 de agosto de 2009, del Ministerio de Tecnologías de la Información y las Comunicaciones, por el cual se dictan disposiciones sobre la organización y funcionamiento de la Comisión de Regulación de Comunicaciones -CRC-
  • Circular 058 de la Procuraduría General de la Nación de 14 de septiembre de 2009. Cumplimiento del Decreto 1151 del 14 de abril de 2008.
  • Resolución 2623 de 28 de octubre de 2009, del Ministerio de Tecnologías de la Información y las Comunicaciones, sobre las bandas 470 a 512 MHz y la banda de 700 MHz.
  • Resolución 2229 de 28 de octubre de 2009 CRC, de la Comisión de Regulación de las Comunicaciones, de creación del Registro de Números Excluidos, aplicado al SPAM telefónico.
  • Resolución 2239 de 24 de noviembre de 2009 CRC, de la Comisión de Regulación de las Comunicaciones, Localización e identificación de personas y medidas de acceso a los CAE para personas con discapacidad.
  • Circular 81 de 9 de diciembre de 2009, de la Procuraduría General de la Nación, sobre cumplimiento de normas relativas a las competencias de los Alcaldes en la protección de los Consumidores.
  • Resolución 2251 del 11 de diciembre de 2009 CRC, de la Comisión de Regulación de las Comunicaciones, por la cual se modifica la Resolución 1914 de 2008 de la CRT
  • Resolución 2258 de 21 de diciembre de 2009 CRC, de la Comisión de Regulación de las Comunicaciones, por la cual se modifican los artículos 22 y 23 de la Resolución 1732 de la CRT de 2007 y los artículos 1,8 y 2,4 de la Resolución 1740 de la CRT de 2007.

2010

  • Resolución 2265 de 8 de enero de 2010 CRC, de la Comisión de Regulación de las Comunicaciones, Asignación de número para emergencias forestales.
  • Resolución 2347 de 26 de enero de 2010 CRC, de la Comisión de Regulación de las Comunicaciones, con la que se establecen disposiciones en materia de protección de los derechos de usuarios respecto de tarifas de telefonía pública básica conmutada.
  • Resolución 2353 de 29 de enero de 2010 CRC, de la Comisión de Regulación de las Comunicaciones, por la cual se establece la metodología para la medición del Nivel de Satisfacción del Usuario de los Servicios de TRBCL y TRBCLE. Además se recoge el procedimiento para el cálculo del Factor de Calidad.
  • Resolución 2354 de 29 de enero de 2010 CRC, de la Comisión de Regulación de las Comunicaciones, por la cual se modifica la Resolución CRT 1763 de 2007 modificando tarifas en telecomunicaciones.
  • Resolución 2355 de 29 de enero de 2010 CRC, de la Comisión de Regulación de las Comunicaciones, por la que se establecen las condiciones para la implementación y operación de la Portabilidad Numérica para telefonía móvil en Colombia. (Diario Oficial 47618 de 9 de febrero de 2010). Resolución nº 2355 de 2010, compilada hasta 2011, por la cual se establecen las condiciones de implementación y operación de la Portabilidad Numérica para telefonía móvil en Colombia.
  • Resolución 2475 de 25 de febrero de 2010 CRC, de la Comisión de Regulación de las Comunicaciones, por la que se adopta el reglamento interno del comité técnico de portabilidad.
  • Resolución 202 de 8 de marzo de 2010, del Ministerio de Tecnologías de la Información y las Comunicaciones, por la cual se expide el glosario de definiciones conforme a lo ordenado por el inciso segundo del articulo 6 de la Ley 1341 de 2009. (Diario Oficial nº 47.656 de 19 de marzo de 2010).
  • Circular 079 de 18 de marzo de 2010 CRC, de la Comisión de Regulación de las Comunicaciones, sobre Responsabilidad de los proveedores de redes y servicios a larga distancia internacional dentro del plan de implementación numérica.
  • Decreto 1162 del 13 de abril de 2010, por el cual se organiza el Sistema Administrativo Nacional de Propiedad Intelectual y se crea la Comisión Intersectorial de Propiedad Intelectual.
  • Resolución 2532 de 30 de abril de 2010 CRC, de la Comisión de Regulación de las Comunicaciones, por medio de la cual se aplican modificaciones al sistema de portabilidad numérica. (Diario Oficial nº 47.696 de 30 de abril de 2010).
  • Resolución 2533 de 30 de abril de 2010 CRC, de la Comisión de Regulación de las Comunicaciones, que modifica la normativa aplicable a la portabilidad numérica.
  • Resolución 2554 de 19 de mayo de 2010 CRC, de la Comisión de Regulación de las Comunicaciones, Modificación al Régimen de Protección de los Derechos de los Usuarios de Servicios de Telecomunicaciones.
  • Resolución 2556 de 27 de mayo de 2010 CRC, de la Comisión de Regulación de las Comunicaciones, reguladora de la Administración de Bases de Datos del Sistema de Portabilidad Numérica.
  • Resolución 2562 de 3 de junio de 2010 CRC, de la Comisión de Regulación de las Comunicaciones, que modifica el artículo 1º de la Resolución 2353, que versa sobre indicadores de calidad de servicios de telecomunicaciones.
  • Resolución 2563 de 3 de junio de 2010 CRC, de la Comisión de Regulación de las Comunicaciones, por la cual se modifican las Resoluciones CRT 1740 de 2007 y 1940 de 2008 y se establecen obligaciones de reporte de información asociada a parámetros de calidad a los proveedores der servicio de acceso a Internet a través de redes móviles.
  • Resolución 2566 de 25 de junio de 2010 CRC, de la Comisión de Regulación de las Comunicaciones, con la que se establece condiciones sobre la implementación y operación de la Portabilidad Numérica para telefonía móvil.
  • Ley 1403 de 19 julio 2010, por la cual se adiciona la Ley 23 de 1982, sobre derechos de autor, se establece una remuneración por comunicación pública a los artistas intérpretes o ejecutantes de obras y grabaciones audiovisuales o “Ley Fanny Mikey”
  • Decreto 2952 de 6 de agosto de 2010, por el cual se reglamentan los artículos 12 y 13 de la Ley 1266 de 2008.
  • Decreto 3942 de 25 de octubre de 2010, por el cual se reglamentan las Leyes 23 de 1982, 44 de 1993 y el artículo 2, literal c) de la Ley 232 de 1995, en relación con las sociedades de gestión colectiva de derecho de autor o de derechos conexos y la entidad recaudadora y se dictan otras disposiciones.

2011

  • Ley 1437 de 18 de enero de 2011, por la cual se expide el Código de Procedimiento Administrativo y de lo Contencioso Administrativo. (Diario Oficial nº 47.956 de 18 de enero de 2011).
  • Circular nº 085 de 24 enero 2011 CRC (Comisión de Regulación de Comunicaciones). Naturaleza de la información de la Base de Datos Administrativa (BDA) en ambiente de Portabilidad Numérica en Colombia.
  • Circular Conjunta 9 de 10 de marzo de 2011, de la Procuraduría General de la Nación, sobre protección de los Derechos del Consumidor.
  • Proyecto de Ley de abril de 2011 por el cual se regula la responsabilidad por las infracciones al derecho de autor y los derechos conexos en Internet.
  • Lineamientos de política para Ciberseguridad y Ciberdefensa de 14 de julio de 2011.
  • Ley 1480 de 2011, de 12 de octubre, por medio de la cual se expide el Estatuto del Consumidor.

2012

2013
  • Resolución 20752 de 23 de abril de 2013, del Ministerio de Industria, Comercio y Turismo, Superintendencia de Industria y Comercio, por la cual se fijan las Tasas por servicios de instrucción, formación, enseñanza o divulgación que preste la entidad en temas relacionados con Protección de Datos Personales. (Publicada en el Diario Oficial nº 48771 del 24 de abril de 2013).
  • Decreto 1377 de 27 de junio de 2013, por el cual se reglamenta parcialmente la Ley 1581 de 2012.
  • Ley nº 1680 de 20 de noviembre de 2013, por la cual se garantiza a las personas ciegas y con baja visión, el acceso a la información, a las comunicaciones, al conocimiento y a las tecnologías de la información y de las comunicaciones. (Diario Oficial nº 48.980 de 20 de noviembre de 2013).
2014
  • Resolución 4424 de 21 de febrero de 2014, de la Comisión de Regulación de Comunicaciones, por la cual se modifica el artículo 37 de la Resolución CRC 3066 de 2011 y se dictan otras disposiciones.
  • Ley 1712 de 6 de marzo de 2014, por medio de la cual se crea la ley de transparencia y del derecho de acceso a la información Pública Nacional y se dictan otras disposiciones. (Diario Oficial nº 49.084 de 6 de marzo de 2014).
  • Resolución 146 de 8 de mayo de 2014 del Grupo de Transparencia y del Derecho de Acceso a la Información Pública Nacional.
  • Decreto 886 de 13 de mayo de 2014. Reglamenta el Registro Nacional de Bases de Datos, por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012.
  • Proyecto de ley 090 de 9 de septiembre de 2014 Cámara, “Por medio del cual se modifica y adiciona la Ley Estatutaria 1266 de 2008, y se dictan disposiciones generales del Habeas Data con relación a la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países“ (Gaceta 479/2014). Retirado de conformidad con el Artículo 155 de la Ley 5ª de 1992. Mayo 13 de 2015.
  • Resolución 4623 de 27 de octubre de 2014, de la Comisión de Regulación de Comunicaciones, por la cual se modifica la Resolución CRC 3496 de 2011.
  • Decreto 2573 de 12 de diciembre de 2014, por el cual se establecen los lineamientos generales de la Estrategia de Gobierno en línea, se reglamenta parcialmente la Ley 1341 de 2009 y se dictan otras disposiciones. (Publicado en el Diario Oficial 49363 de 12 de diciembre de 2014).
  • Resolución 4660 de 30 de diciembre de 2014, de la Comisión de Regulación de Comunicaciones, por la cual se modifican la Resolución CRT 1763 de 2007, la Resolución CRC 3136 de 2011, la Resolución CRC 3496 de 2011, la Resolución CRC 3501 de 2011 y la Resolución CRC 4112 de 2013.
2015
  • Resolución 4710 de 13 de abril de 2015, de la Comisión de Regulación de Comunicaciones, por la cual se modifica la Resolución CRC 3496 de 2011.
  • Resolución 4734 de 15 de mayo de 2015, de la Comisión de Regulación de Comunicaciones, por la cual se modifican las Resoluciones CRC 3067 y 3496 de 2011 y se dictan otras disposiciones.
  • Resolución 4735 de 15 de mayo de 2015, de la Comisión de Regulación de Comunicaciones, por la cual se establece el régimen de calidad para los Servicios de Televisión y se dictan otras disposiciones.
  • Decreto 1074 de 2015, de 26 de mayo de 2015, por medio del cual se expide el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo.
  • Resolución 266 de 23 de junio de 2015, de la Procuraduría General de la Nación, por la cual se adiciona la Resolución 239 de 2009, por medio de la cual se adopta e implementa el Sistema de Relatoría de la Procuradoría General de la Nación.
  • Resolución 4763 de 28 de julio de 2015, de la Comisión de Regulación de Comunicaciones, por la cual se modifican los formatos 5 y 6 de la Resolución CRC 3496 de 2011.
  • Resolución 4798 de 22 de septiembre de 2015, de la Comisión de Regulación de Comunicaciones, por la cual se modifican los formatos 3 y 13 dela Resolución CRC 3496 de 2011 y se derogan los artículos 10 y 11 de la Resolución CRC 4660 de 2014.
  • Resolución 4807 de 6 de octubre de 2015, de la Comisión de Regulación de Comunicaciones, por la cual se modifica la Resolución CRT 87 de 1997, la Resolución CRT 2028 de 2008, la Resolución CRC 3067 de 2011, la Resolución CRC 3128 de 2011 y la Resolución CRC 3496 de 2011.
  • Circular Externa nº 2 del 3 de noviembre de 2015, de la Superintendencia de Industria y Comercio, que adiciona el Artículo Segundo en el Título V de la Circular Única de la Superintendencia de Industria y Comercio. (Publicada en el Diario Oficial nº 49686 del 4 de noviembre de 2015)
  • Resolución 4841 de 30 de diciembre de 2015, de la Comisión de Regulación de Comunicaciones, por la cual se complementan y modifican las condiciones generales para la provisión de infraestructura de las redes de televisión abierta radiodifundida.
2016
  • Resolución 4891 de 15 de marzo de 2016, de la Comisión de Regulación de Comunicaciones, por la cual se modifica el literal (c) del formato 16 de la Resolución CRC 3946 de 2011.
  • Proyecto de Ley número 94, de 10 de agosto de 2016 Senado: Por medio del cual se busca modificar y adicionar la Ley Estatutaria 1266 de 2008, y se dictan disposiciones de hábeas data relacionadas con información financiera, crediticia, comercial, de servicios y la proveniente de terceros países. Algunas de las modificaciones se realizan para establecer:

  • (i) los datos referentes a una situación de incumplimiento contarán con un término de permanencia de máximo dos años contados a partir de la fecha en que sean pagadas las cuotas vencidas o sea extinguida la obligación;
  • (ii) cuando la obligación esté en mora, los datos referentes a una situación de incumplimiento caducarán una vez cumplido el término de cinco años contados a partir del momento en que entre en mora la obligación;
  • (iii) en las obligaciones inferiores o iguales al 20% de un SMMLV, el dato negativo será suprimido de inmediato una vez sea extinguida la obligación; y
  • (iv) toda información negativa que se encuentre en bases de datos y se relacione con calificaciones, record (scoringsescort) o cualquier tipo de medición financiera, comercial o crediticia, deberá ser actualizada al nivel de riesgo preexistente al reporte negativo de manera simultánea con el retiro del dato negativo o con la cesación del hecho que generó la disminución de la medición. Fecha de publicación: 10 de agosto de 2016. (Retirado por los Autores el 25 de octubre de 2016).

  • Directiva 6 de 11 de octubre de 2016, de la Procuradoría General de la Nación, para el cumplimiento de la obligacciones de la Procuradoría General de la Nación como sujeto obligado de la Ley 1712 de 2014 y demás normas reglamentarias.
  • Circular nº 1 de la Superintendencia de Industria y Comercio, que modifica el Capítulo Segundo del Título V de la Circular Única de la Superintendencia de Industria y Comercio (Publicada en el Diario Oficial nº 50051 del 8 de noviembre de 2016).
  • Decreto 1759 de 8 de noviembre de 2016, por el cual se modifica el artículo 2.2.2.26.3.1 del Decreto 1074 de 2015. Decreto Único Reglamentario del Sector Comercio, Industria y Turismo.
  • Resolución 5050 de 10 de noviembre de 2016, de la Comisión de Regulación de Comunicaciones, por la cual de compilan las Resoluciones de Carácter General vigentes expedidas por la Comisión de Regulación Comunicaciones.
  • Resolución 5076 de 29 de diciembre de 2016, de la Comisión de Regulación de Comunicaciones, por la cual se modifica el Título.- Reportes de Información de la Resolución CRC 5050 de 20 de noviembre de 2016, relacionado con el Reporte de Información Periódica por parte de los Proveedores de Redes y Servicios de Telecomunicaciones, los Operadores de Televisión y los Operadores de Servicios Postales, a la Comisión de Regulación de Comunicaciones, y se dictan otras disposiciones.
2017
  • Resolución 5079 de 2 de enero de 2017, de la Comisión de Regulación de Comunicaciones, por la cual se modifica la Sección 2 del Capítulo 2 del Título Reportes de Información de la Resolución CRC 5050 de 10 de noviembre de 2016.
  • Circular Externa nº 1 de 11 de enero de 2017, de la Superintendencia de Industria y Comercio, que modifica los numerales 2.2, 2.3, 2.6 y 2.7 del Capítulo Segundo del Título V de la Circular Única de la Superintendencia de Industria y Comercio. (Publicada en el Diario Oficial nº 50114 del 12 de enero de 2017).
  • Resolución 5111 de 24 de febrero de 2017, de la Comisión de Regulación de Comunicaciones, por la cual se establece el Régimen de Protección de los Derechos de los Usuarios de Servicios de Comunicaciones y se modifica el Capítulo 1 del Título II de la Resolución CRC 5050 de 10 de noviembre de 2016 y se dictan otras disposiciones.
  • Circular Externa 5 de 10 de agosto de 2017, de la Superintendencia de Industria y Comercio, que adiciona un Capítulo Tercero al Título V de la Circular Única.
  • Resolución 5199 de 30 de agosto de 2017, de la Comisión de Regulación de Comunicaciones, por la cual se modifica el artículo 12 de la Resolución CRC 5111 de 24 de febrero de 2017.
  • Resolución 670 de 14 de diciembre de 2017, de la Procuraduría General de la Nación, por medio de la cual se adopta el manual de políticas y procedimientos para la protección de datos personales.
  • Circular 8 de 15 de diciembre de 2017, de la Superintentencia de Comercio e Industria, que modifica el numeral 3.2 del Capítulo Tercero, del Título V de la Circular Única.
2018
  • Decreto 90 del 18 de enero de 2018, del Ministerio de Comercio, Industria y Turismo, por el cual se modifican los artículos 2.2.2.26.1.2 y 2.2.2.26.3.1 del Decreto 1074 de 2015 – Decreto Único Reglamentario del Sector Comercio, Industria y Turismo.
  • Circular Única, de 28 de marzo de 2018, de la Superintendencia de Industria y Comercio.
  • Ley 1915 de 12 de julio de 2018, por la cual se modifica la Ley 23 de 1982 y se establecen otras disposiciones en materia de Derecho de Autor y Derechos Conexos.
  • Ley 1928 de 24 de julio de 2018, por medio de la cual se aprueba el “Convenio sobre la Ciberdelincuencia”, adoptado el 23 de noviembre de 2001, en Budapest.
  • Circular Externa 3 de 1 de agosto de 2018, que modifica los numerales 2.1 al 2.4 y elimina los numerales 2.5 al 2.7 del Capítulo Segundo, del Título V de la Circular Única de la Superintendencia de Industria y Comercio. (Publicada en el Diario Oficial nº 50672 del 1 de agosto de 2018).
  • Proyecto de Ley Estatutaria nº de 2018, por medio de la cual se modifica y adiciona la Ley Estatutaria 1266 de 2008, y se dictan disposiciones generales del Hábeas Data con relación a la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.
2019