Professional Documents
Culture Documents
Cul es el cuidado entonces y porque estamos llegando a esto? Tanto desde el negocio como desde las reas
tecnolgicas no necesariamente cuando piensan en recibir y brindar servicio entienden que el mismo debe
llevar una parte de aseguramiento. El objetivo principal buscado es informacin disponible y de rpido
procesamiento, dos pautas que atentan drsticamente contra la confidencialidad y la integridad de los datos
que tratamos, que como sabemos no solo son del negocio sino que en su gran mayora nos los confan... Como es
el caso de los datos personales, tarjetas de crdito/dbito, bancarios o salud.
Cuntas veces nos preguntamos de que depende el xito? Hacemos una lista de componentes necesarios para
el xito de cada proyecto del negocio, en base al tratamiento de la informacin? El aseguramiento de los procesos
de tratamiento de los datos en cada proyecto Est incluido como un factor necesario para el xito?
Para desarrollar este concepto pensemos en un proyecto que lleve adelante nuestra empresa, como por ejemplo
el de transferencia de dinero el cual para llevarse adelante necesita de los siguientes componentes:
Primeramente, y teniendo en cuenta el tipo de datos a tratar y que formaran parte del proceso de negocio, es
conveniente consultar con el sector legal como abordar lo referente a la contratacin de o los proveedores ya que
se debe tener en cuenta que la responsabilidad y control por sobre el tratamiento de datos no es delegable.
Con esto nos referimos a que si bien el ingreso de datos se realiza a travs de sistemas informticos de nuestra
empresa, al intervenir un tercero en el proceso es importante saber que el tercerizar parte de la gestin requiere
implementar tareas de control y monitorizacin del servicio contratado, por ello debe invertirse en controles ya
que nuestra empresa es responsable por los datos, y debe velar por ellos durante todo el proceso del servicio
ofrecido a sus Clientes.
A este respecto, tengamos en cuenta que diferentes leyes que
regulan el tratamiento de datos determinan que las personas
naturales y las personas jurdicas tales como las emisoras y
operadoras de tarjetas de crdito; las empresas de transferencia y
transporte de valores y dinero estn obligadas a informar sobre los
actos, transacciones u operaciones sospechosas que adviertan en el
ejercicio de sus actividades; esto determina que tambin somos
responsables del tratamiento de datos cuando contrate servicios en
los que comparte informacin personal con terceros (filiatoria y
sensible) y por ello deber velar porque el proveedor de servicios
cumpla las regulaciones que le apliquen a nuestra empresa, por ejemplo SOx, la legislacin de proteccin de datos
personales (Ley de Habeas Data) de nuestro pas o regin y transaccin con tarjetas de pago (PCI).
En todos los casos, y sobre todo si hacen falta tambin los datos de
tarjeta, debe revisarse que el sistema est preparado para disociar
la informacin del tarjeta-habiente as como el nmero PAN
Los datos del cliente requeridos para registrar la operacin de la
transaccin de envos, de acuerdo a lo especificado por las
diferentes leyes de lavado de dinero para la obligacin de crear y
mantener registros de las operaciones.
De igual forma, contemplar las variantes de datos a ingresar segn
el monto de las operaciones
Contemplar los plazos mnimos de guarda de los registros de las
operaciones y su integridad, los que pueden ser requeridos por las
unidades de anlisis financiero
Entonces se deben asumir tambin como riesgos del negocio aquellos que estn asociados a un impacto en la
integridad y confidencialidad de los datos, la imagen de nuestra empresa y factibles de penalidades regulatorias
como por ejemplo:
Teniendo en cuenta los aspectos legales, y yendo a los ms tcnicos de nuestro proyecto, debemos componer una
gua que nos permita definir la infraestructura y su configuracin adecuada para de esta forma dimensionar
convenientemente no solo el costo sino los pasos de control y revisin sobre el proyecto. Esta gua debe
contemplar la asociacin entre las necesidades de cumplimento y la respuesta tcnica aplicada a dar soporte
tecnolgico al proceso de negocio, contemplando entre otros estos puntos principales:
Resguardar y asegurar todos los registros obtenidos de aquellos equipos donde se procese informacin
regulatoria
Los sistemas que integren el proceso deben ser peridicamente auditados para asegurar la conformidad
con los procedimientos y polticas de nuestra empresa.
El acceso a los sistemas que contengan datos confidenciales, debe ser adecuadamente asignado a
aquellos perfiles que por sus funciones los requieran, y debidamente protegido segn nuestras normas.
Los terceros deben notificarnos de todos los cambios de personal que este afectado a nuestro servicio.
Los controles de confidencialidad, integridad y disponibilidad sern especficamente definidos en
contratos con terceros. Los controles abarcarn todos los riesgos de proteccin de informacin lgica,
personal y fsica apropiados, basada en los niveles de riesgo que establezcamos. Adems los controles
considerarn todos los requisitos regulatorios e imperantes establecidos por la ley.
Los acuerdos contractuales deben concedernos el derecho de auditar los sistemas relevantes de terceros
y/o los terceros se comprometern a tener auditoras peridicas e independientes, cuyo resultado
tendremos el derecho a revisar.
Se deben firmar convenios de confidencialidad con terceros con los que se intercambie informacin.
Las terceras partes deben cumplir con lo dispuesto por nuestra poltica y normas para la destruccin y
disposicin final de la informacin
Contar con documentacin respaldatoria de los sistemas de comunicaciones con proveedores crticos
donde se transfiera informacin sensible del negocio.
Aprobar toda nueva conexin previamente a integrarse en el ambiente productivo
Las conexiones con terceros debe restringirse a los equipos centrales de proceso, aplicaciones y archivos
especficos
El acceso de cualquier dispositivo o sistema a nuestra red debe cumplir previamente con nuestro estndar
de configuracin de seguridad y se debe verificar su cumplimiento peridicamente.
Visto de esta forma, y considerando algunos de los requisitos legales y regulatorios, incluyo algunos de los puntos
a tener en cuenta en la planificacin del proyecto para evitar desvos, demoras o mayores costos en una etapa
posterior, o sea cuando nuestra aplicacin ya est en produccin y el proceso en plena actividad:
Cumplimiento de legislacin de proteccin de datos. Asegurar que la operacin del servicio cumpla con
todos los aspectos relacionados con la retencin informacin, registros de auditora y destruccin de
informacin de acuerdo a la jurisdiccin aplicable al territorio en el que se localizan los centros de
procesamiento de datos.
Seguridad en el acceso. Garantizar que la informacin solo ser accesible por personal autorizado de
nuestra empresa, y a quien nosotros determinemos con los perfiles de acceso correspondientes.
Disponibilidad. Garantizar una elevada disponibilidad del servicio, as como comprometerse a organizar
las paradas programadas para mantenimiento con la suficiente antelacin.
Portabilidad y eliminacin de los datos. Establecer los mecanismos y procesos necesarios para la
eliminacin de los datos a la terminacin del servicio, obligacin tanto propia como de los terceros
contratados.
RECOMENDACIONES ADICIONALES
Desarrollar una matriz de control para realizar seguimiento de las actividades de responsabilidad
compartida entre el proveedor y nuestra empresa
Asegurar la intervencin interdisciplinaria de diferentes sectores de la Organizacin para todos los
proyectos (Legales, Tecnologa, Seguridad Informtica, Desarrollo, Facilities, etc.)
Ejecutar los controles y gestin de riesgos en forma continua
Mitigar los riesgos a travs de contratos y SLAs orientados a los Controles y Gestin de Riesgo
Si decide derivar la operacin o parte de ella en un proveedor, robustecer la seguridad en base a sus
capacidades, y as reducir la carga de cumplimiento al compartirla con el proveedor
Ser Compliance entonces requiere de un amplio conocimiento que solo conseguiremos integrando un equipo
de trabajo con las diferentes visiones de nuestra empresa, que con su experiencia aportarn una mejor gestin
de los proyectos basados en el cumplimiento, mayor rentabilidad en las soluciones tecnolgicas aplicadas al
negocio y asegurar tambin un servicio de calidad.
Fabin Descalzo
Gerente de Governace, Risk & Compliance (GRC)
Cybsec S.A. Security Systems
Fabin Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., Director Certificado en Seguridad de
la Informacin (CAECE), certificado ITIL v3-2011 (EXIN) y auditor ISO 20000 (LSQA-LATU).
Posee amplia experiencia en la implementacin y cumplimiento de Leyes y Normativas Nacionales e Internacionales en
compaas de primer nivel de diferentes reas de negocio en la optimizacin y cumplimiento de la seguridad en sistemas de
informacin, Gobierno de TI/SI y Continuidad de la Institucin de Salud. Actualmente es responsable de servicios y soluciones
en las reas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento de la Institucin de Salud
est expresamente asociado al servicio que se preste y, en caso que se trate de datos personales, con
el consentimiento del titular de los datos.
CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la
Informacin. Su rea de servicios cubre Amrica y Europa y ms de 400 clientes acreditan la trayectoria empresaria. Para ms
informacin: www.cybsec.com