Como siempre, aplicar actividades de aseguramiento en cada uno de nuestros proyectos nos permite alcanzar los objetivos de calidad y cumplimiento esperado por las Organizaciones.
Y "Ser Compliance” requiere de un amplio conocimiento que solo conseguiremos integrando un equipo de trabajo con las diferentes “visiones” de nuestra empresa.
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
Ser compliance o pagar mas
1. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
1
Ser “Compliance”, o pagar más
Cuando pensar en el cumplimiento nos ahorra dolores de cabeza, y
dinero.
Como siempre, aplicar actividades de aseguramiento en cada uno de nuestros
proyectos nos permite alcanzar los objetivos de calidad y cumplimiento esperado
por las Organizaciones.
Cada vez que desde las áreas de negocio se buscan o se presentan nuevas oportunidades comerciales hay otros
costos asociados a su factibilidad que normalmente no son tenidos en cuenta por quienes deciden llevar adelante
este análisis, y habitualmente esto sucede por no convocar adecuadamente a quienes pueden colaborar con su
aporte a que el nuevo proyecto no solo sea exitoso sino que no tenga costos ocultos a futuro que afecten al
negocio.
Los nuevos proyectos que requieren de la tecnología como servicio son
aquellos que están más fácilmente a merced de los errores de “visión”
dependiendo del perfil de quién los lidere y de quienes compongan el equipo
de proyecto, ya que para satisfacer las necesidades del negocio desde las áreas
tecnológicas surgen diversas "ideas" que la impulsan en una forma cada vez
más abrupta a brindar soluciones que aporten mayor velocidad de respuesta
en el tratamiento de los datos y mayor disponibilidad de los mismos. Y tener
las respuestas y la información en todo momento y al alcance de las manos
tiene sus costos asociados... y sus riesgos.
¿Cuál es el cuidado entonces y porque estamos llegando a esto? Tanto desde el negocio como desde las áreas
tecnológicas no necesariamente cuando piensan en recibir y brindar “servicio” entienden que el mismo debe
llevar una parte de aseguramiento. El objetivo principal buscado es “información disponible y de rápido
procesamiento”, dos pautas que atentan drásticamente contra la confidencialidad y la integridad de los datos
que tratamos, que como sabemos no solo son del negocio sino que en su gran mayoría nos los confían... Como es
el caso de los datos personales, tarjetas de crédito/débito, bancarios o salud.
¿Cuántas veces nos preguntamos de que depende el éxito? ¿Hacemos una lista de componentes necesarios para
el éxito de cada proyecto del negocio, en base al tratamiento de la información? El aseguramiento de los procesos
de tratamiento de los datos en cada proyecto ¿Está incluido como un factor necesario para el éxito?
Para desarrollar este concepto pensemos en un proyecto que lleve adelante nuestra empresa, como por ejemplo
el de transferencia de dinero el cual para llevarse adelante necesita de los siguientes componentes:
• Hardware y Software que conforman la infraestructura aplicativa
• El software aplicativo
• Telecomunicaciones
• Proveedor de servicios financieros y comunicación para la transferencia de dinero
• Datos personales, bancarios y financieros de los clientes
Primeramente, y teniendo en cuenta el tipo de datos a tratar y que formaran parte del proceso de negocio, es
conveniente consultar con el sector legal como abordar lo referente a la contratación de o los proveedores ya que
se debe tener en cuenta que la responsabilidad y control por sobre el tratamiento de datos no es delegable.
2. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
2
Con esto nos referimos a que si bien el ingreso de datos se realiza a través de sistemas informáticos de nuestra
empresa, al intervenir un tercero en el proceso es importante saber que el tercerizar parte de la gestión requiere
implementar tareas de control y monitorización del servicio contratado, por ello debe invertirse en controles ya
que nuestra empresa es responsable por los datos, y debe velar por ellos durante todo el proceso del servicio
ofrecido a sus Clientes.
A este respecto, tengamos en cuenta que diferentes leyes que
regulan el tratamiento de datos determinan que las personas
naturales y las personas jurídicas tales como las emisoras y
operadoras de tarjetas de crédito; las empresas de transferencia y
transporte de valores y dinero están obligadas a informar sobre los
actos, transacciones u operaciones sospechosas que adviertan en el
ejercicio de sus actividades; esto determina que también somos
responsables del tratamiento de datos cuando contrate servicios en
los que comparte información personal con terceros (filiatoria y
sensible) y por ello deberá velar porque el proveedor de servicios
cumpla las regulaciones que le apliquen a nuestra empresa, por ejemplo SOx, la legislación de protección de datos
personales (Ley de Habeas Data) de nuestro país o región y transacción con tarjetas de pago (PCI).
Teniendo en cuenta los aspectos legales, y yendo a los más técnicos de nuestro proyecto, debemos componer una
guía que nos permita definir la infraestructura y su configuración adecuada para de esta forma dimensionar
convenientemente no solo el costo sino los pasos de control y revisión sobre el proyecto. Esta guía debe
contemplar la asociación entre las necesidades de cumplimento y la respuesta técnica aplicada a dar soporte
tecnológico al proceso de negocio, contemplando entre otros estos puntos principales:
• En todos los casos, y sobre todo si hacen falta también los datos de
tarjeta, debe revisarse que el sistema esté preparado para disociar
la información del tarjeta-habiente así como el número PAN
• Los datos del cliente requeridos para registrar la operación de la
transacción de envíos, de acuerdo a lo especificado por las
diferentes leyes de lavado de dinero para la obligación de crear y
mantener registros de las operaciones.
• De igual forma, contemplar las variantes de datos a ingresar según
el monto de las operaciones
• Contemplar los plazos mínimos de guarda de los registros de las
operaciones y su integridad, los que pueden ser requeridos por las
unidades de análisis financiero
Entonces se deben asumir también como riesgos del negocio aquellos que estén asociados a un impacto en la
integridad y confidencialidad de los datos, la imagen de nuestra empresa y factibles de penalidades regulatorias
como por ejemplo:
• Exposición de la confidencialidad de la información por falta de disociación de datos o fuga de
información
• Error en la integridad de la información por fallas en la conversión de datos al interfasearlos con los
aplicativos del Proveedor
• Error en la integridad de la información por fallas en la operación del Proveedor
3. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
3
• Falla en la generación o imposibilidad de recuperar registros requeridos por el marco regulatorio
• Mayores costos por el rediseño del proceso, del software desarrollado, dimensionamiento deficiente del
hardware, horas hombre adicionales y aplicación productiva fuera de línea.
Visto de esta forma, y considerando algunos de los requisitos legales y regulatorios, incluyo algunos de los puntos
a tener en cuenta en la planificación del proyecto para evitar desvíos, demoras o mayores costos en una etapa
posterior, o sea cuando nuestra aplicación ya esté en producción y el proceso en plena actividad:
• Resguardar y asegurar todos los registros obtenidos de aquellos equipos donde se procese información
regulatoria
• Los sistemas que integren el proceso deben ser periódicamente auditados para asegurar la conformidad
con los procedimientos y políticas de nuestra empresa.
• El acceso a los sistemas que contengan datos confidenciales, debe ser adecuadamente asignado a
aquellos perfiles que por sus funciones los requieran, y debidamente protegido según nuestras normas.
• Los terceros deben notificarnos de todos los cambios de personal que este afectado a nuestro servicio.
• Los controles de confidencialidad, integridad y disponibilidad serán específicamente definidos en
contratos con terceros. Los controles abarcarán todos los riesgos de protección de información lógica,
personal y física apropiados, basada en los niveles de riesgo que establezcamos. Además los controles
considerarán todos los requisitos regulatorios e imperantes establecidos por la ley.
• Los acuerdos contractuales deben concedernos el derecho de auditar los sistemas relevantes de terceros
y/o los terceros se comprometerán a tener auditorías periódicas e independientes, cuyo resultado
tendremos el derecho a revisar.
• Se deben firmar convenios de confidencialidad con terceros con los que se intercambie información.
• Las terceras partes deben cumplir con lo dispuesto por nuestra política y normas para la destrucción y
disposición final de la información
• Contar con documentación respaldatoria de los sistemas de comunicaciones con proveedores críticos
donde se transfiera información sensible del negocio.
• Aprobar toda nueva conexión previamente a integrarse en el ambiente productivo
• Las conexiones con terceros debe restringirse a los equipos centrales de proceso, aplicaciones y archivos
específicos
• El acceso de cualquier dispositivo o sistema a nuestra red debe cumplir previamente con nuestro estándar
de configuración de seguridad y se debe verificar su cumplimiento periódicamente.
Debido a ello debe tenerse en cuenta la
aplicación de lo expresado en la
representación gráfica.
La infraestructura tecnológica que brinda
soporte y servicio al proceso de negocio
debe estar diseñada para asegurar el
cumplimiento de los siguientes puntos
esenciales:
• Régimen de los datos. Desarrollar
un entorno de confidencialidad
que asegure lo no disposición
de los datos ni hacer uso de los
mismos para ningún fin que no
4. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
4
esté expresamente asociado al servicio que se preste y, en caso que se trate de datos personales, con
el consentimiento del titular de los datos.
• Cumplimiento de legislación de protección de datos. Asegurar que la operación del servicio cumpla con
todos los aspectos relacionados con la retención información, registros de auditoría y destrucción de
información de acuerdo a la jurisdicción aplicable al territorio en el que se localizan los centros de
procesamiento de datos.
• Seguridad en el acceso. Garantizar que la información solo será accesible por personal autorizado de
nuestra empresa, y a quien nosotros determinemos con los perfiles de acceso correspondientes.
• Integridad y conservación. Disponer de los mecanismos de recuperación ante desastres, continuidad en
el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la
información.
• Disponibilidad. Garantizar una elevada disponibilidad del servicio, así como comprometerse a organizar
las paradas programadas para mantenimiento con la suficiente antelación.
• Portabilidad y eliminación de los datos. Establecer los mecanismos y procesos necesarios para la
eliminación de los datos a la terminación del servicio, obligación tanto propia como de los terceros
contratados.
RECOMENDACIONES ADICIONALES
• Desarrollar una matriz de control para realizar seguimiento de las actividades de responsabilidad
compartida entre el proveedor y nuestra empresa
• Asegurar la intervención interdisciplinaria de diferentes sectores de la Organización para todos los
proyectos (Legales, Tecnología, Seguridad Informática, Desarrollo, Facilities, etc.)
• Ejecutar los controles y gestión de riesgos en forma continua
• Mitigar los riesgos a través de contratos y SLAs orientados a los Controles y Gestión de Riesgo
• Si decide derivar la operación o parte de ella en un proveedor, robustecer la seguridad en base a sus
capacidades, y así reducir la carga de cumplimiento al compartirla con el proveedor
Ser “Compliance” entonces requiere de un amplio conocimiento que solo conseguiremos integrando un equipo
de trabajo con las diferentes “visiones” de nuestra empresa, que con su experiencia aportarán una mejor gestión
de los proyectos basados en el cumplimiento, mayor rentabilidad en las soluciones tecnológicas aplicadas al
negocio y asegurar también un servicio de calidad.
Fabián Descalzo
Gerente de Governace, Risk & Compliance (GRC)
Cybsec S.A. – Security Systems
Fabián Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., Director Certificado en Seguridad de
la Información (CAECE), certificado ITIL v3-2011 (EXIN) y auditor ISO 20000 (LSQA-LATU).
Posee amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en
compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de
información, Gobierno de TI/SI y Continuidad de la Institución de Salud. Actualmente es responsable de servicios y soluciones
en las áreas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento de la Institución de Salud
5. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
5
CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la
Información. Su área de servicios cubre América y Europa y más de 400 clientes acreditan la trayectoria empresaria. Para más
información: www.cybsec.com