Seguridad de la Informacin Auditora de Sistemas

Ser Compliance, o pagar ms

Cuando pensar en el cumplimiento nos ahorra dolores de cabeza, y
dinero.
Como siempre, aplicar actividades de aseguramiento en cada uno de nuestros
proyectos nos permite alcanzar los objetivos de calidad y cumplimiento esperado
por las Organizaciones.
Cada vez que desde las reas de negocio se buscan o se presentan nuevas oportunidades comerciales hay otros
costos asociados a su factibilidad que normalmente no son tenidos en cuenta por quienes deciden llevar adelante
este anlisis, y habitualmente esto sucede por no convocar adecuadamente a quienes pueden colaborar con su
aporte a que el nuevo proyecto no solo sea exitoso sino que no tenga costos ocultos a futuro que afecten al
negocio.

Cul es el cuidado entonces y porque estamos llegando a esto? Tanto desde el negocio como desde las reas
tecnolgicas no necesariamente cuando piensan en recibir y brindar servicio entienden que el mismo debe
llevar una parte de aseguramiento. El objetivo principal buscado es informacin disponible y de rpido
procesamiento, dos pautas que atentan drsticamente contra la confidencialidad y la integridad de los datos
que tratamos, que como sabemos no solo son del negocio sino que en su gran mayora nos los confan... Como es
el caso de los datos personales, tarjetas de crdito/dbito, bancarios o salud.
Cuntas veces nos preguntamos de que depende el xito? Hacemos una lista de componentes necesarios para
el xito de cada proyecto del negocio, en base al tratamiento de la informacin? El aseguramiento de los procesos
de tratamiento de los datos en cada proyecto Est incluido como un factor necesario para el xito?
Para desarrollar este concepto pensemos en un proyecto que lleve adelante nuestra empresa, como por ejemplo
el de transferencia de dinero el cual para llevarse adelante necesita de los siguientes componentes:

Hardware y Software que conforman la infraestructura aplicativa

El software aplicativo
Telecomunicaciones
Proveedor de servicios financieros y comunicacin para la transferencia de dinero
Datos personales, bancarios y financieros de los clientes

Primeramente, y teniendo en cuenta el tipo de datos a tratar y que formaran parte del proceso de negocio, es
conveniente consultar con el sector legal como abordar lo referente a la contratacin de o los proveedores ya que
se debe tener en cuenta que la responsabilidad y control por sobre el tratamiento de datos no es delegable.

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

Los nuevos proyectos que requieren de la tecnologa como servicio son

aquellos que estn ms fcilmente a merced de los errores de visin
dependiendo del perfil de quin los lidere y de quienes compongan el equipo
de proyecto, ya que para satisfacer las necesidades del negocio desde las reas
tecnolgicas surgen diversas "ideas" que la impulsan en una forma cada vez
ms abrupta a brindar soluciones que aporten mayor velocidad de respuesta
en el tratamiento de los datos y mayor disponibilidad de los mismos. Y tener
las respuestas y la informacin en todo momento y al alcance de las manos
tiene sus costos asociados... y sus riesgos.

Seguridad de la Informacin Auditora de Sistemas

Con esto nos referimos a que si bien el ingreso de datos se realiza a travs de sistemas informticos de nuestra
empresa, al intervenir un tercero en el proceso es importante saber que el tercerizar parte de la gestin requiere
implementar tareas de control y monitorizacin del servicio contratado, por ello debe invertirse en controles ya
que nuestra empresa es responsable por los datos, y debe velar por ellos durante todo el proceso del servicio
ofrecido a sus Clientes.
A este respecto, tengamos en cuenta que diferentes leyes que
regulan el tratamiento de datos determinan que las personas
naturales y las personas jurdicas tales como las emisoras y
operadoras de tarjetas de crdito; las empresas de transferencia y
transporte de valores y dinero estn obligadas a informar sobre los
actos, transacciones u operaciones sospechosas que adviertan en el
ejercicio de sus actividades; esto determina que tambin somos
responsables del tratamiento de datos cuando contrate servicios en
los que comparte informacin personal con terceros (filiatoria y
sensible) y por ello deber velar porque el proveedor de servicios
cumpla las regulaciones que le apliquen a nuestra empresa, por ejemplo SOx, la legislacin de proteccin de datos
personales (Ley de Habeas Data) de nuestro pas o regin y transaccin con tarjetas de pago (PCI).

En todos los casos, y sobre todo si hacen falta tambin los datos de
tarjeta, debe revisarse que el sistema est preparado para disociar
la informacin del tarjeta-habiente as como el nmero PAN
Los datos del cliente requeridos para registrar la operacin de la
transaccin de envos, de acuerdo a lo especificado por las
diferentes leyes de lavado de dinero para la obligacin de crear y
mantener registros de las operaciones.
De igual forma, contemplar las variantes de datos a ingresar segn
el monto de las operaciones
Contemplar los plazos mnimos de guarda de los registros de las
operaciones y su integridad, los que pueden ser requeridos por las
unidades de anlisis financiero

Entonces se deben asumir tambin como riesgos del negocio aquellos que estn asociados a un impacto en la
integridad y confidencialidad de los datos, la imagen de nuestra empresa y factibles de penalidades regulatorias
como por ejemplo:

Exposicin de la confidencialidad de la informacin por falta de disociacin de datos o fuga de

informacin
Error en la integridad de la informacin por fallas en la conversin de datos al interfasearlos con los
aplicativos del Proveedor
Error en la integridad de la informacin por fallas en la operacin del Proveedor

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

Teniendo en cuenta los aspectos legales, y yendo a los ms tcnicos de nuestro proyecto, debemos componer una
gua que nos permita definir la infraestructura y su configuracin adecuada para de esta forma dimensionar
convenientemente no solo el costo sino los pasos de control y revisin sobre el proyecto. Esta gua debe
contemplar la asociacin entre las necesidades de cumplimento y la respuesta tcnica aplicada a dar soporte
tecnolgico al proceso de negocio, contemplando entre otros estos puntos principales:

Seguridad de la Informacin Auditora de Sistemas

Falla en la generacin o imposibilidad de recuperar registros requeridos por el marco regulatorio

Mayores costos por el rediseo del proceso, del software desarrollado, dimensionamiento deficiente del
hardware, horas hombre adicionales y aplicacin productiva fuera de lnea.

Resguardar y asegurar todos los registros obtenidos de aquellos equipos donde se procese informacin
regulatoria
Los sistemas que integren el proceso deben ser peridicamente auditados para asegurar la conformidad
con los procedimientos y polticas de nuestra empresa.
El acceso a los sistemas que contengan datos confidenciales, debe ser adecuadamente asignado a
aquellos perfiles que por sus funciones los requieran, y debidamente protegido segn nuestras normas.
Los terceros deben notificarnos de todos los cambios de personal que este afectado a nuestro servicio.
Los controles de confidencialidad, integridad y disponibilidad sern especficamente definidos en
contratos con terceros. Los controles abarcarn todos los riesgos de proteccin de informacin lgica,
personal y fsica apropiados, basada en los niveles de riesgo que establezcamos. Adems los controles
considerarn todos los requisitos regulatorios e imperantes establecidos por la ley.
Los acuerdos contractuales deben concedernos el derecho de auditar los sistemas relevantes de terceros
y/o los terceros se comprometern a tener auditoras peridicas e independientes, cuyo resultado
tendremos el derecho a revisar.
Se deben firmar convenios de confidencialidad con terceros con los que se intercambie informacin.
Las terceras partes deben cumplir con lo dispuesto por nuestra poltica y normas para la destruccin y
disposicin final de la informacin
Contar con documentacin respaldatoria de los sistemas de comunicaciones con proveedores crticos
donde se transfiera informacin sensible del negocio.
Aprobar toda nueva conexin previamente a integrarse en el ambiente productivo
Las conexiones con terceros debe restringirse a los equipos centrales de proceso, aplicaciones y archivos
especficos
El acceso de cualquier dispositivo o sistema a nuestra red debe cumplir previamente con nuestro estndar
de configuracin de seguridad y se debe verificar su cumplimiento peridicamente.

Debido a ello debe tenerse en cuenta la

aplicacin de lo expresado en la
representacin grfica.
La infraestructura tecnolgica que brinda
soporte y servicio al proceso de negocio
debe estar diseada para asegurar el
cumplimiento de los siguientes puntos
esenciales:

Rgimen de los datos. Desarrollar

un entorno de confidencialidad
que asegure lo no disposicin
de los datos ni hacer uso de los
mismos para ningn fin que no

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

Visto de esta forma, y considerando algunos de los requisitos legales y regulatorios, incluyo algunos de los puntos
a tener en cuenta en la planificacin del proyecto para evitar desvos, demoras o mayores costos en una etapa
posterior, o sea cuando nuestra aplicacin ya est en produccin y el proceso en plena actividad:

Seguridad de la Informacin Auditora de Sistemas

Cumplimiento de legislacin de proteccin de datos. Asegurar que la operacin del servicio cumpla con
todos los aspectos relacionados con la retencin informacin, registros de auditora y destruccin de
informacin de acuerdo a la jurisdiccin aplicable al territorio en el que se localizan los centros de
procesamiento de datos.

Seguridad en el acceso. Garantizar que la informacin solo ser accesible por personal autorizado de
nuestra empresa, y a quien nosotros determinemos con los perfiles de acceso correspondientes.

Integridad y conservacin. Disponer de los mecanismos de recuperacin ante desastres, continuidad en

el servicio y copia de seguridad necesarios para garantizar la integridad y conservacin de la
informacin.

Disponibilidad. Garantizar una elevada disponibilidad del servicio, as como comprometerse a organizar
las paradas programadas para mantenimiento con la suficiente antelacin.

Portabilidad y eliminacin de los datos. Establecer los mecanismos y procesos necesarios para la
eliminacin de los datos a la terminacin del servicio, obligacin tanto propia como de los terceros
contratados.

RECOMENDACIONES ADICIONALES
Desarrollar una matriz de control para realizar seguimiento de las actividades de responsabilidad
compartida entre el proveedor y nuestra empresa
Asegurar la intervencin interdisciplinaria de diferentes sectores de la Organizacin para todos los
proyectos (Legales, Tecnologa, Seguridad Informtica, Desarrollo, Facilities, etc.)
Ejecutar los controles y gestin de riesgos en forma continua
Mitigar los riesgos a travs de contratos y SLAs orientados a los Controles y Gestin de Riesgo
Si decide derivar la operacin o parte de ella en un proveedor, robustecer la seguridad en base a sus
capacidades, y as reducir la carga de cumplimiento al compartirla con el proveedor
Ser Compliance entonces requiere de un amplio conocimiento que solo conseguiremos integrando un equipo
de trabajo con las diferentes visiones de nuestra empresa, que con su experiencia aportarn una mejor gestin
de los proyectos basados en el cumplimiento, mayor rentabilidad en las soluciones tecnolgicas aplicadas al
negocio y asegurar tambin un servicio de calidad.

Fabin Descalzo
Gerente de Governace, Risk & Compliance (GRC)
Cybsec S.A. Security Systems
Fabin Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., Director Certificado en Seguridad de
la Informacin (CAECE), certificado ITIL v3-2011 (EXIN) y auditor ISO 20000 (LSQA-LATU).
Posee amplia experiencia en la implementacin y cumplimiento de Leyes y Normativas Nacionales e Internacionales en
compaas de primer nivel de diferentes reas de negocio en la optimizacin y cumplimiento de la seguridad en sistemas de
informacin, Gobierno de TI/SI y Continuidad de la Institucin de Salud. Actualmente es responsable de servicios y soluciones
en las reas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento de la Institucin de Salud

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

est expresamente asociado al servicio que se preste y, en caso que se trate de datos personales, con
el consentimiento del titular de los datos.

Seguridad de la Informacin Auditora de Sistemas

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la
Informacin. Su rea de servicios cubre Amrica y Europa y ms de 400 clientes acreditan la trayectoria empresaria. Para ms
informacin: www.cybsec.com