Seguridad de la Información – Auditoría de Sistemas

Te

l. (

05

411

) 15

332

8-6

85

9 f

ab

ian

de

sca

lzo

@y

ah

oo

.co

m.a

r

1

Ser “Compliance”, o pagar más Cuando pensar en el cumplimiento nos ahorra dolores de cabeza, y dinero.

Como siempre, aplicar actividades de aseguramiento en cada uno de nuestros

proyectos nos permite alcanzar los objetivos de calidad y cumplimiento esperado

por las Organizaciones.

Cada vez que desde las áreas de negocio se buscan o se presentan nuevas oportunidades comerciales hay otros

costos asociados a su factibilidad que normalmente no son tenidos en cuenta por quienes deciden llevar adelante

este análisis, y habitualmente esto sucede por no convocar adecuadamente a quienes pueden colaborar con su

aporte a que el nuevo proyecto no solo sea exitoso sino que no tenga costos ocultos a futuro que afecten al

negocio.

Los nuevos proyectos que requieren de la tecnología como servicio son

aquellos que están más fácilmente a merced de los errores de “visión”

dependiendo del perfil de quién los lidere y de quienes compongan el equipo

de proyecto, ya que para satisfacer las necesidades del negocio desde las áreas

tecnológicas surgen diversas "ideas" que la impulsan en una forma cada vez

más abrupta a brindar soluciones que aporten mayor velocidad de respuesta

en el tratamiento de los datos y mayor disponibilidad de los mismos. Y tener

las respuestas y la información en todo momento y al alcance de las manos

tiene sus costos asociados... y sus riesgos.

¿Cuál es el cuidado entonces y porque estamos llegando a esto? Tanto desde el negocio como desde las áreas

tecnológicas no necesariamente cuando piensan en recibir y brindar “servicio” entienden que el mismo debe

llevar una parte de aseguramiento. El objetivo principal buscado es “información disponible y de rápido

procesamiento”, dos pautas que atentan drásticamente contra la confidencialidad y la integridad de los datos

que tratamos, que como sabemos no solo son del negocio sino que en su gran mayoría nos los confían... Como es

el caso de los datos personales, tarjetas de crédito/débito, bancarios o salud.

¿Cuántas veces nos preguntamos de que depende el éxito? ¿Hacemos una lista de componentes necesarios para

el éxito de cada proyecto del negocio, en base al tratamiento de la información? El aseguramiento de los procesos

de tratamiento de los datos en cada proyecto ¿Está incluido como un factor necesario para el éxito?

Para desarrollar este concepto pensemos en un proyecto que lleve adelante nuestra empresa, como por ejemplo

el de transferencia de dinero el cual para llevarse adelante necesita de los siguientes componentes:

• Hardware y Software que conforman la infraestructura aplicativa

• El software aplicativo

• Telecomunicaciones

• Proveedor de servicios financieros y comunicación para la transferencia de dinero

• Datos personales, bancarios y financieros de los clientes

Primeramente, y teniendo en cuenta el tipo de datos a tratar y que formaran parte del proceso de negocio, es

conveniente consultar con el sector legal como abordar lo referente a la contratación de o los proveedores ya que

se debe tener en cuenta que la responsabilidad y control por sobre el tratamiento de datos no es delegable.

Seguridad de la Información – Auditoría de Sistemas

Te

l. (

05

411

) 15

332

8-6

85

9 f

ab

ian

de

sca

lzo

@y

ah

oo

.co

m.a

r

2

Con esto nos referimos a que si bien el ingreso de datos se realiza a través de sistemas informáticos de nuestra

empresa, al intervenir un tercero en el proceso es importante saber que el tercerizar parte de la gestión requiere

implementar tareas de control y monitorización del servicio contratado, por ello debe invertirse en controles ya

que nuestra empresa es responsable por los datos, y debe velar por ellos durante todo el proceso del servicio

ofrecido a sus Clientes.

A este respecto, tengamos en cuenta que diferentes leyes que

regulan el tratamiento de datos determinan que las personas

naturales y las personas jurídicas tales como las emisoras y

operadoras de tarjetas de crédito; las empresas de transferencia y

transporte de valores y dinero están obligadas a informar sobre los

actos, transacciones u operaciones sospechosas que adviertan en el

ejercicio de sus actividades; esto determina que también somos

responsables del tratamiento de datos cuando contrate servicios en

los que comparte información personal con terceros (filiatoria y

sensible) y por ello deberá velar porque el proveedor de servicios

cumpla las regulaciones que le apliquen a nuestra empresa, por ejemplo SOx, la legislación de protección de datos

personales (Ley de Habeas Data) de nuestro país o región y transacción con tarjetas de pago (PCI).

Teniendo en cuenta los aspectos legales, y yendo a los más técnicos de nuestro proyecto, debemos componer una

guía que nos permita definir la infraestructura y su configuración adecuada para de esta forma dimensionar

convenientemente no solo el costo sino los pasos de control y revisión sobre el proyecto. Esta guía debe

contemplar la asociación entre las necesidades de cumplimento y la respuesta técnica aplicada a dar soporte

tecnológico al proceso de negocio, contemplando entre otros estos puntos principales:

• En todos los casos, y sobre todo si hacen falta también los datos de

tarjeta, debe revisarse que el sistema esté preparado para disociar

la información del tarjeta-habiente así como el número PAN

• Los datos del cliente requeridos para registrar la operación de la

transacción de envíos, de acuerdo a lo especificado por las

diferentes leyes de lavado de dinero para la obligación de crear y

mantener registros de las operaciones.

• De igual forma, contemplar las variantes de datos a ingresar según

el monto de las operaciones

• Contemplar los plazos mínimos de guarda de los registros de las

operaciones y su integridad, los que pueden ser requeridos por las

unidades de análisis financiero

Entonces se deben asumir también como riesgos del negocio aquellos que estén asociados a un impacto en la

integridad y confidencialidad de los datos, la imagen de nuestra empresa y factibles de penalidades regulatorias

como por ejemplo:

• Exposición de la confidencialidad de la información por falta de disociación de datos o fuga de

información

• Error en la integridad de la información por fallas en la conversión de datos al interfasearlos con los

aplicativos del Proveedor

• Error en la integridad de la información por fallas en la operación del Proveedor

Seguridad de la Información – Auditoría de Sistemas

Te

l. (

05

411

) 15

332

8-6

85

9 f

ab

ian

de

sca

lzo

@y

ah

oo

.co

m.a

r

3

• Falla en la generación o imposibilidad de recuperar registros requeridos por el marco regulatorio

• Mayores costos por el rediseño del proceso, del software desarrollado, dimensionamiento deficiente del

hardware, horas hombre adicionales y aplicación productiva fuera de línea.

Visto de esta forma, y considerando algunos de los requisitos legales y regulatorios, incluyo algunos de los puntos

a tener en cuenta en la planificación del proyecto para evitar desvíos, demoras o mayores costos en una etapa

posterior, o sea cuando nuestra aplicación ya esté en producción y el proceso en plena actividad:

• Resguardar y asegurar todos los registros obtenidos de aquellos equipos donde se procese información

regulatoria

• Los sistemas que integren el proceso deben ser periódicamente auditados para asegurar la conformidad

con los procedimientos y políticas de nuestra empresa.

• El acceso a los sistemas que contengan datos confidenciales, debe ser adecuadamente asignado a

aquellos perfiles que por sus funciones los requieran, y debidamente protegido según nuestras normas.

• Los terceros deben notificarnos de todos los cambios de personal que este afectado a nuestro servicio.

• Los controles de confidencialidad, integridad y disponibilidad serán específicamente definidos en

contratos con terceros. Los controles abarcarán todos los riesgos de protección de información lógica,

personal y física apropiados, basada en los niveles de riesgo que establezcamos. Además los controles

considerarán todos los requisitos regulatorios e imperantes establecidos por la ley.

• Los acuerdos contractuales deben concedernos el derecho de auditar los sistemas relevantes de terceros

y/o los terceros se comprometerán a tener auditorías periódicas e independientes, cuyo resultado

tendremos el derecho a revisar.

• Se deben firmar convenios de confidencialidad con terceros con los que se intercambie información.

• Las terceras partes deben cumplir con lo dispuesto por nuestra política y normas para la destrucción y

disposición final de la información

• Contar con documentación respaldatoria de los sistemas de comunicaciones con proveedores críticos

donde se transfiera información sensible del negocio.

• Aprobar toda nueva conexión previamente a integrarse en el ambiente productivo

• Las conexiones con terceros debe restringirse a los equipos centrales de proceso, aplicaciones y archivos

específicos

• El acceso de cualquier dispositivo o sistema a nuestra red debe cumplir previamente con nuestro estándar

de configuración de seguridad y se debe verificar su cumplimiento periódicamente.

Debido a ello debe tenerse en cuenta la

aplicación de lo expresado en la

representación gráfica.

La infraestructura tecnológica que brinda

soporte y servicio al proceso de negocio

debe estar diseñada para asegurar el

cumplimiento de los siguientes puntos

esenciales:

• Régimen de los datos. Desarrollar

un entorno de confidencialidad

que asegure lo no disposición

de los datos ni hacer uso de los

mismos para ningún fin que no

Seguridad de la Información – Auditoría de Sistemas

Te

l. (

05

411

) 15

332

8-6

85

9 f

ab

ian

de

sca

lzo

@y

ah

oo

.co

m.a

r

4

esté expresamente asociado al servicio que se preste y, en caso que se trate de datos personales, con

el consentimiento del titular de los datos.

• Cumplimiento de legislación de protección de datos. Asegurar que la operación del servicio cumpla con

todos los aspectos relacionados con la retención información, registros de auditoría y destrucción de

información de acuerdo a la jurisdicción aplicable al territorio en el que se localizan los centros de

procesamiento de datos.

• Seguridad en el acceso. Garantizar que la información solo será accesible por personal autorizado de

nuestra empresa, y a quien nosotros determinemos con los perfiles de acceso correspondientes.

• Integridad y conservación. Disponer de los mecanismos de recuperación ante desastres, continuidad en

el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la

información.

• Disponibilidad. Garantizar una elevada disponibilidad del servicio, así como comprometerse a organizar

las paradas programadas para mantenimiento con la suficiente antelación.

• Portabilidad y eliminación de los datos. Establecer los mecanismos y procesos necesarios para la

eliminación de los datos a la terminación del servicio, obligación tanto propia como de los terceros

contratados.

RECOMENDACIONES ADICIONALES

• Desarrollar una matriz de control para realizar seguimiento de las actividades de responsabilidad

compartida entre el proveedor y nuestra empresa

• Asegurar la intervención interdisciplinaria de diferentes sectores de la Organización para todos los

proyectos (Legales, Tecnología, Seguridad Informática, Desarrollo, Facilities, etc.)

• Ejecutar los controles y gestión de riesgos en forma continua

• Mitigar los riesgos a través de contratos y SLAs orientados a los Controles y Gestión de Riesgo

• Si decide derivar la operación o parte de ella en un proveedor, robustecer la seguridad en base a sus

capacidades, y así reducir la carga de cumplimiento al compartirla con el proveedor

Ser “Compliance” entonces requiere de un amplio conocimiento que solo conseguiremos integrando un equipo

de trabajo con las diferentes “visiones” de nuestra empresa, que con su experiencia aportarán una mejor gestión

de los proyectos basados en el cumplimiento, mayor rentabilidad en las soluciones tecnológicas aplicadas al

negocio y asegurar también un servicio de calidad.

Fabián Descalzo Gerente de Governace, Risk & Compliance (GRC) Cybsec S.A. – Security Systems Fabián Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., Director Certificado en Seguridad de la Información (CAECE), certificado ITIL v3-2011 (EXIN) y auditor ISO 20000 (LSQA-LATU). Posee amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI/SI y Continuidad de la Institución de Salud. Actualmente es responsable de servicios y soluciones en las áreas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento de la Institución de Salud

Seguridad de la Información – Auditoría de Sistemas

Te

l. (

05

411

) 15

332

8-6

85

9 f

ab

ian

de

sca

lzo

@y

ah

oo

.co

m.a

r

5

CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la Información. Su área de servicios cubre América y Europa y más de 400 clientes acreditan la trayectoria empresaria. Para más información: www.cybsec.com