Seguridad de la Información – Auditoría de Sistemas

Te

l. (0

54

11)

15 3

328

-68

59

fa

bia

nd

esc

alz

o@

ya

ho

o.c

om

.ar

1

Como empezar a pensar en la Seguridad Corporativa

Negocio, reglamentaciones y buenas prácticas

Seguridad Corporativa y Sistemas de Gestión son palabras que suenan “grandilocuentes” pero en

realidad representan una responsabilidad importante sobre la información en todo tipo de empresas

o entidades privadas y gubernamentales, ya sean PyMES o Corporaciones.

Cada Organización es responsable por sus activos de información y principalmente por la de terceros.

Proveedores, Clientes, Personas Físicas o Jurídicas confían habitualmente sus datos (de negocio,

personal, sensible y confidencial) a nuestros sistemas y procesos de tratamiento de información, ya sea

en forma electrónica o a través de correspondencia, documentos impresos, etc.

Pensar en Seguridad Corporativa implica establecer los principios de protección y concientización

organizacional en materia de Seguridad de la Información, que nos lleva a plantear una estrategia de

comunicación y control adecuado en cada uno de los diferentes niveles de nuestra Organización. Para

cada uno de estos niveles se tienen en cuenta diferentes estrategias, que tienen que ver con el aporte

de soluciones como soporte de seguridad a la gestión de cada Gerencia y al aseguramiento de

Confidencialidad, Integridad y Disponibilidad de la información que manejan.

De esta forma observaremos y ayudaremos a descubrir que la Seguridad de la Información involucra a

todos los integrantes de una Organización cualquiera sea su industria, y así empezar a hablar de

SEGURIDAD CORPORATIVA.

La comunicación e implementación de un Plan de Seguridad, ya sea como respuesta a necesidades del

negocio, por motivos regulatorios o bien por razones de mejores prácticas, comienza con la

concientización organizacional que nos lleva a plantear una estrategia de comunicación en tres

diferentes niveles: Dirección - Gerencia – Usuarios, y cada uno de estos niveles va a tener un "lenguaje o

idioma" referente al interés de grupo de cada uno, ya sea relacionado a lo económico como a los

resultados o intereses. Por ello, es necesario realizar un estudio inicial referente a dos puntos de vista

importantes de la Cultura de la Organización:

La cultura operativa/funcional: Puede verse a través de los documentos generados por la Organización

(organigrama, procedimientos funcionales, certificaciones adquiridas, registros de cumplimiento de las

mismas, métodos de registración de operaciones y funciones, etc.). Estos documentos suelen ser la

radiografía de la situación actual, donde se representan los “caminos” sobre los cuales se está

gestionando actualmente cada proceso mostrándonos el estado de maduración de la Organización.

La cultura de los recursos humanos: A mi entender es la más importante para saber cómo iniciar un

proyecto de Seguridad Corporativa, es la de analizar como tratan y cumplen las personas con cada uno

de los documentos arriba mencionados, nivel de compromiso, enfoque de interés (según los niveles que

mencionamos), y primordialmente la toma de conciencia sobre la información confiada y la cual tratan

editándola, modificándola, transmitiéndola por correo, fax o correspondencia, dándola a conocer

verbalmente ya sea en forma personal o telefónica.

Seguridad de la Información – Auditoría de Sistemas

Te

l. (0

54

11)

15 3

328

-68

59

fa

bia

nd

esc

alz

o@

ya

ho

o.c

om

.ar

2

Teniendo en cuenta estas pautas, este estudio debe comenzar bajo el apoyo de la Dirección y dando a

conocer a toda la Organización lo importante de la colaboración de cada uno en este camino

emprendido hacia la Seguridad Corporativa. Clasificación de información, análisis de riesgos, inventarios

de activos, administración de accesos e identidades, seguridad física y lógica, etc. son distintas etapas

que van armando este rompecabezas y deben desarrollarse desde el principio bajo los siguientes

conceptos:

• Deben servir para CAPACITAR al personal y CREAR CONCIENCIA

• Brindar herramientas a los usuarios para PROTEGER la información propia y de terceros

• Establecer una gestión COLABORATIVA, creando vínculos comunicacionales que sean efectivos a

los objetivos de seguridad

• Disponer a la Organización en PENSAR en la Seguridad Corporativa

Para quienes integramos los Departamentos de Seguridad Corporativa, pensar de esta forma nos

permite construir un modelo de comunicación para poder obtener el apoyo de la Dirección y Alta

Gerencia, y la colaboración de los Usuarios y su compromiso con el proyecto, responsabilidad con la

información brindada y eficiencia en su efectiva implementación.

El modelo de comunicación es una herramienta que se debe diseñar "a medida" en función de saber y

analizar la información que antes mencionamos referente a la Organización. De por sí, ya sabemos que

dentro de esos grandes grupos que hemos definido como Dirección, Gerencias y Usuarios, los intereses

de cada uno son diferentes:

• Dirección: Objetivos e imagen de la empresa, y resultados económicos (no olvidemos que son

quienes deben responder ante los Accionistas en resultados económicos y ante la Sociedad como

imagen corporativa)

• Gerencias: Objetivos funcionales y resultados operativos, que en caso de surgir un problema

impactan directamente sobre los resultados esperados por los Directores, lo que hace que su

foco esté orientado más sobre el proceso del negocio y el aseguramiento de su continuidad,

disponibilidad e integridad.

• Usuarios: Componentes operativos que hacen que una función cumpla con todos sus procesos

de negocio y con los objetivos esperados por Gerencias y Directores.

Si tenemos claro esto, nos sería fácil definir como comunicarnos y establecer la forma de comunicar la

necesidad del Sistema de Gestión de Seguridad a cada grupo de la Organización:

• Dirección: Asegurar objetivos corporativos, ya sea tangible (económico) como intangible (imagen

en el mercado)

• Gerencias: Asegurar objetivos funcionales y resguardo de los activos de la Organización

• Usuarios: Tomar conocimiento y conciencia de la importancia de sus tareas y conocimientos, del

trato que tienen sobre los activos de la empresa, y fomentarle el valor de su información sobre la

compañía, funciones y cada uno de los procesos en los que participa.

Una vez hecho el análisis anterior, el "Modelo de Comunicación" se va a completar con encuestas,

presentaciones, reuniones de inducción, etc. para cada uno de los grupos mencionados, en forma

Seguridad de la Información – Auditoría de Sistemas

Te

l. (0

54

11)

15 3

328

-68

59

fa

bia

nd

esc

alz

o@

ya

ho

o.c

om

.ar

3

independiente teniendo en cuenta que se debe iniciar con los niveles superiores primero, solapando

aquellas reuniones en las cuales se presenten avances sobre el tema.

Esta comunicación va a permitir introducir vocablos y definiciones sobre el tema que, luego de haber

hecho un trabajo constante, se va a establecer en algo común dentro de la Organización... como

Lenguaje y como Cultura.

Dirección y Alta Gerencia

La dirección debe reconocer que lo que se plantea con la Seguridad Corporativa es la implementación

de un esquema de seguridad orientada al negocio, y que cuenta con diversas herramientas que le

brindan el marco normativo necesario para implantar su política y objetivo de cumplimiento a sus

requerimientos.

El reconocimiento de cada uno de sus activos de información y en función de ello descubrir no solo los

riesgos que enfrenta a diario (los 365 días del año) sino también el INTERES de aquellos agentes internos

y externos en violarla, ya sea en su Integridad, como Confidencialidad y Disponibilidad ayudarán a tomar

las medidas necesarias para establecer una gestión preventiva y correctiva sobre cada una de las

actividades de la Organización.

La Dirección y Alta Gerencia impulsan el PENSAR en Seguridad Corporativa en la Organización cuando

reconocen sus exposiciones y la probabilidad que éstas alcancen a sus objetivos de Negocio, afectando

el cumplimiento de:

• Normas regulatorias: Las comunicaciones del BCRA para la industria financiera, Habeas Data /

LOPD para empresas que tratan bases de datos personales.

• Certificaciones de negocio: PCI DDS para entidades financieras que emiten tarjetas de crédito,

ISO/9001 para quienes certificaron un SGC (Sistema de Gestión de Calidad), ISO/20000 como

Gestión de Servicios de IT, o ISO/27001 para quienes certificaron un SGS (Sistema de Gestión de

Seguridad), generalmente necesarias para cubrir expectativas de Clientes y como herramientas

de posicionamiento en el mercado.

• Frameworks de Mejores Prácticas: Magerit, CoBIT, ISO 38500, ITIL son algunas de las

herramientas que le permiten a las empresas contar con un marco de referencia para establecer

una “contención” a nivel de Seguridad, Calidad y Governance IT.

Por mínimas que sean las acciones que emprendamos, siempre es un paso hacia la mejora continua.

Pensar en Seguridad no solo es cumplimentar objetivos relacionados con la “protección”. Establecer un

entorno seguro nos aporta un aseguramiento de la Calidad de nuestros servicios, ya sean tecnológicos

a través de servicios de IT o procedimentales desde cualquier sector de la Organización.

El mensaje de la Dirección y Alta Gerencia bajo estos aspectos es claro, concreto y certifica para la

Organización el inicio o continuación de un camino de integración que les permita:

Con respecto al Negocio:

• Integrar la gestión de la seguridad de la información con otras modalidades de gestión

empresarial

Seguridad de la Información – Auditoría de Sistemas

Te

l. (0

54

11)

15 3

328

-68

59

fa

bia

nd

esc

alz

o@

ya

ho

o.c

om

.ar

4

• Mejorar la imagen confianza y competitividad empresarial. La organización que desarrolle un

SGSI según la norma, tendrá ventajas de reconocimiento por los organismos que certifican los

sistemas.

• Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de

carácter personal, servicios sociedad de información, comercio electrónico, propiedad

intelectual, etc...

• Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de seguridad de la

información en la empresa

Para los Sistemas de Información:

• Sistematizar las actividades del Sistema de Gestión de Seguridad en colaboración con el sistema

de Gestión de Calidad

• Ahorro de recursos en las actividades de Seguridad de la Información, mejorando la motivación e

implicación de los empleados

• Analizar riesgos y establecer objetivos y metas que permitan aumentar el nivel de confianza en la

seguridad

• Planificar, organizar y estructurar los recursos asignados a seguridad de la información

• Seleccionar controles y dispositivos físicos y lógicos adecuados a la estructura de la organización

que aseguren el nivel necesario de disponibilidad, integridad, y confidencialidad de la

información

• Establecer procesos y actividades de revisión, mejora continua y auditoría de la gestión y

tratamiento de la información

Pensar para luego actuar...

Ya acompañamos a la Organización a concientizarse, creamos un “lenguaje común” para comunicarnos,

conocemos las herramientas, identificamos nuestras necesidades, ya “pensamos seguridad”... Ahora

estamos en el momento de iniciar este camino para crear una experiencia propia, es el momento de

trabajar.

Cada integrante de una Organización sin importar a que sector pertenezca o cual sea su función, tiene

una responsabilidad sobre el tratamiento de la información, más allá del medio en que esté contenida y

sin importar el ambiente en el que se encuentre. Un SGS Corporativo debe ser un punto de encuentro

entre cada uno de los Sectores o Gerencias que componen a la Organización, donde cada uno conozca

las necesidades de cumplimiento de Normativas de otras áreas y pueda expresar las propias, planteando

soluciones y colaborando en este espacio compartiendo experiencias y conocimientos, proponiendo

soluciones de trabajo en equipo.

Fabián Descalzo, CSO – Chief Security Officer y Jefe de Servicios Corporativos de Seguridad, CIDICOM S.A.