Las necesidades del Negocio han ido trasladando a la industria de la información diversas "ideas" que la han impulsado en una forma cada vez más abrupta a brindar soluciones que aporten mayor velocidad de respuesta en el tratamiento de los datos y mayor disponibilidad de los mismos. Tener las respuestas y la información en todo momento y al alcance de las manos tienen sus costos asociados... y sus riesgos
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
La era de los controles
1. Seguridad de la Información – Auditoría de Sistemas
¿La era de los controles?
Un entorno de nube y mobile, el duro misterio de saber
donde están nuestros datos
Desde las necesidades del Negocio han surgido para la
industria de la información diversas "ideas" que la han
impulsado en una forma cada vez más abrupta a brindar
soluciones que aporten mayor velocidad de respuesta en
el tratamiento de los datos y mayor disponibilidad de los
mismos. Tener las respuestas y la información en todo
momento y al alcance de las manos tiene sus costos
asociados... y sus riesgos.
Desde los años 90 escuchamos hablar, y en algunos casos los hemos contratado, sobre
servicios de housing, hosting, colocation, etc., además de incrementar en las Organizaciones el
uso de notebooks y PDAs en la tarea habitual tanto de áreas tecnológicas como
administrativas.
Esta tendencia que devino en el Cloud Computing, sumado al hecho de contar con medios
móviles cada vez más sofisticados para procesar o accesar información, ha creado nuevas
brechas de seguridad y por sobre todo nuevas expectativas de negocio que hacen crecer aún
más la tecnología y la dependencia de las empresas y las personas hacia estos servicios o
herramientas de procesamiento.
¿Cuál es la puja entonces? Considero que actualmente nos encontramos entre la definición de
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
"La era de la nube" o la "Era de los controles". Para aquellos que trabajamos en este entorno y
quienes los consumen, podrán ver que tanto desde el aspecto regulatorio como de su propio
marco de control del Negocio han crecido sustancialmente las presiones sobre la registración y
control del procesamiento de la información.
¿Cuál es el cuidado y porque estamos llegando a esto? No necesariamente cuando se piensa
en “servicio” se entiende que debe llevar una parte de aseguramiento en cada proceso del
servicio. El objetivo principal buscado es “información disponible y de rápido procesamiento”,
dos pautas que atentan drásticamente contra la Confidencialidad y la Integridad de los datos
que tratamos, que como sabemos no solo son del Negocio sino que en su gran mayoría nos los
confían... Como es el caso de los datos personales.
Personalmente el concepto que trato de difundir es la diferencia entre seguridad y
aseguramiento basado en las siguientes definiciones:
• Seguridad Conjunto de medidas y acciones que se aceptan para proteger los
datos contra determinados riesgos a los que están expuestos.
• Aseguramiento Establecer las medidas necesarias para que los datos sean
procesados en forma segura y accedidos por las personas
necesarias, se conviertan en información útil para el Negocio y su
transformación se realice bajo métodos de control y registración que
aseguren su Confidencialidad, Integridad y Disponibilidad. 1
2. Seguridad de la Información – Auditoría de Sistemas
Como trato de indicarles, los datos ingresados a los sistemas de procesamiento de una
Organización se integran y convierten en información necesaria para cada uno de sus procesos
de Negocio mediante las distintas transformaciones a las que se ve expuesta dependiendo de
la “química” aplicada para cada uno de ellos.
Por lo tanto el secreto que se propone descubrir en este nuevo paradigma, que no es tan
nuevo, es el desarrollar servicios y procesos que traten la información convirtiéndola en
sabiduría e inteligencia para el Negocio de las Empresas, y esto implica el establecer procesos
asegurados que no solo entreguen la información rápidamente sino también con la calidad
necesaria para que la respuesta al Negocio sea segura.
¿Cuántas veces nos preguntamos de que depende el éxito? ¿Hacemos una lista de
componentes necesarios para el éxito de nuestro Negocio, en base al tratamiento de la
información? El aseguramiento de sus procesos de tratamiento ¿Está incluido como un factor
necesario para el éxito?
En alguna oportunidad mencioné que esto lo podemos lograr identificando 4 dominios claros
sobre los cuales invertiremos nuestros recursos: Gobierno + Gestión de Riesgos +
Educación + Cumplimiento. En la medida en que utilicemos más servicios tercerizados para
el alojamiento de datos o involucremos mayor cantidad de herramientas mobile a nuestra
Organización para el tratamiento de los mismos, mayor es la necesidad en implementar
controles.
Esto quiere decir que, para el caso de servicios Cloud por ejemplo, cualquier requisito
relacionado con el marco de protección establecido por diferentes normativas y regulaciones
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
conlleva a la necesidad de visualizar en donde debemos aplicar cada uno de los 4 dominios
que nos ayudaran a controlar el servicio, donde podemos identificar principalmente que el
GOBIERNO debe ser compartido al igual que el CUMPLIMIENTO para todos los componentes.
2
3. Seguridad de la Información – Auditoría de Sistemas
De igual forma, y como ya está aplicándose en la mayoría de las Organizaciones, los sectores
de Seguridad Informática o Seguridad de la Información, imparten el marco normativo y
estándares de configuración de seguridad que las áreas de soporte tecnológico implementan
en los diferentes equipos mobile o servicios tercerizados.
Por ello, ya se trate de un proveedor interno como de un proveedor externo, vamos a poder ver
como parte de la Gestión Operativa de componentes y servicios de tratamiento de información
va a ir migrando en su mayoría hacia una Gestión de Control.
Cuando nos proponen establecer controles debemos entender que no necesariamente hay que
cambiar los procesos, pero lo que si puede cambiar es la forma de registrarlos. Esto ayuda a
poder identificar los puntos de control sin necesidad de cambiar un proceso, evitando
entorpecer la operatoria general causando pérdida de tiempo al readecuar la operatoria,
readecuar la documentación, cambios en las costumbres de operación, capacitación adicional,
etc..
Poder visualizar las diferentes situaciones bajo el concepto
Plan Estratégico
de la Empresa
Marca “Cliente – Proveedor” desde el Negocio, permite a las
Organizaciones establecer un balance entre los esfuerzos y
PLAN DE NEGOCIO los recursos cuando se trata de sectores internos. Pensemos
esto como una intención de compartir esfuerzos y que en lugar
Plan Estratégico de tener áreas asociadas al costo, estas en realidad forman
Reputación parte del Plan de Negocios ya que proveen “aseguramiento” a
de Seguridad
cada uno de los procesos que hacen a la Organización.
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
El aseguramiento de la información aporta a la calidad de servicios o productos que
comercialice la Organización, y en consecuencia mejoran los resultados esperados. La única
forma de asegurarnos estos resultados es mediante la monitorización y control de cada uno de
los procesos claves del Negocio.
¿Qué significa controlar?
• Identificar cuáles son los objetivos de control
• Saber con qué herramientas nativas o alternativas contamos
• Formalizarlas, agregándolas a nuestros procedimientos normativos
• Identificar herramientas que puedan registrar controles sin implementar
Tengamos en cuenta que en la tercerización la responsabilidad no se transfiere, se comparte.
Por ello cada vez que pensemos en delegar parte o toda la operatoria a nuestro cargo, también
estaremos delegando a quien nos brinde el servicio nuestro conocimiento, cultura por sobre la
operación delegada y principalmente una operación asociada a requisitos regulatorios y del
Negocio que nuestro proveedor debe cumplir tanto como nosotros.
El vínculo solidario en la necesidad de cumplimiento en nuestra relación de Cliente con el
Proveedor no es más que reemplazar nuestros procesos y manuales de operación por
procesos y registros de control.
3
4. Seguridad de la Información – Auditoría de Sistemas
Los avances tecnológicos y las herramientas de comunicación también han servido como
impulsores tangenciales para el crecimiento de la necesidad de los controles. La tecnología
actual nos va dejando cada vez más herramientas que posibilitan a los usuarios manejar
información fuera de entornos controlados. Y la velocidad tecnológica no siempre va
acompañada de la concientización en materia de Seguridad de la Información.
Las notebooks, netbooks, tablets y sobre todo teléfonos móviles y PDAs, se han convertido en
repositorios de información que puede ser muy valiosa o muy costosa para nuestra Empresa.
Lo cierto es que, para cada proceso de Seguridad de la Información, se debe considerar la
seguridad de los dispositivos móviles de forma integral, pensando en qué debemos hacer si
desaparece un dispositivo y minimizando la exposición de información confidencial, sensible o
interna.
Las regulaciones legales actuales sobre la protección de datos personales, así como marcos
regulatorios y de mejores prácticas ejercidos desde los entes certificadores como ISO
(International Organization for Standardization), son el motivo para no pensar que solo se trata
de la información que perdemos. Quedar expuesto legalmente puede ser un impacto
significativo para cualquier Organización.
Como todo es “cultura”, principal y fundamentalmente debe hacerse una campaña de
concientización al usuario en el uso profesional del dispositivo, sobre todo teniendo en cuenta
que por “hábitos y costumbres” los dispositivos portátiles se “transforman” en equipos de uso
personal de los usuarios, quienes habitualmente tienen otorgados permisos de administrador
sobre el equipo confiado.
Lo más difícil de los controles no es implementarlos,
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
sino impulsarlos. Efectuar los controles necesarios
sobre el Negocio benefician al Negocio y a su entorno
operativo, lo aseguran en sus resultados de calidad y
económicos y le permiten establecer un entorno
confiable y medible que le asegure también su
permanencia en el tiempo. Por ello, el primer
precursor de los controles debería de ser “El
Negocio”, ya que es su aliado necesario para la tecnología y regulaciones que corren, no
importa cuál sea su industria.
Conclusión
Aplicar controles en la justa medida de la Organización facilita el delegar la operación, sobre
todo si consideramos esta opción para mejorar el enfoque en el Negocio, además de reducir la
carga en el cumplimiento al tener predefinidos los registros surgidos de los controles y una
mitigación de riesgos efectiva como resultado de establecer un monitoreo periódico.
Fabián Descalzo
GRC Manager & Information Security Auditor
Cybsec S.A. – Security Systems
4