Seguridad de la Información – Auditoría de Sistemas¿La era de los controles?                                        Un ent...
Seguridad de la Información – Auditoría de SistemasComo trato de indicarles, los datos ingresados a los sistemas de proces...
Seguridad de la Información – Auditoría de SistemasDe igual forma, y como ya está aplicándose en la mayoría de las Organiz...
Seguridad de la Información – Auditoría de SistemasLos avances tecnológicos y las herramientas de comunicación también han...
Upcoming SlideShare
Loading in …5
×

La era de los controles

224 views

Published on

Las necesidades del Negocio han ido trasladando a la industria de la información diversas "ideas" que la han impulsado en una forma cada vez más abrupta a brindar soluciones que aporten mayor velocidad de respuesta en el tratamiento de los datos y mayor disponibilidad de los mismos. Tener las respuestas y la información en todo momento y al alcance de las manos tienen sus costos asociados... y sus riesgos

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
224
On SlideShare
0
From Embeds
0
Number of Embeds
11
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

La era de los controles

  1. 1. Seguridad de la Información – Auditoría de Sistemas¿La era de los controles? Un entorno de nube y mobile, el duro misterio de saber donde están nuestros datos Desde las necesidades del Negocio han surgido para la industria de la información diversas "ideas" que la han impulsado en una forma cada vez más abrupta a brindar soluciones que aporten mayor velocidad de respuesta en el tratamiento de los datos y mayor disponibilidad de los mismos. Tener las respuestas y la información en todo momento y al alcance de las manos tiene sus costos asociados... y sus riesgos.Desde los años 90 escuchamos hablar, y en algunos casos los hemos contratado, sobreservicios de housing, hosting, colocation, etc., además de incrementar en las Organizaciones eluso de notebooks y PDAs en la tarea habitual tanto de áreas tecnológicas comoadministrativas.Esta tendencia que devino en el Cloud Computing, sumado al hecho de contar con mediosmóviles cada vez más sofisticados para procesar o accesar información, ha creado nuevasbrechas de seguridad y por sobre todo nuevas expectativas de negocio que hacen crecer aúnmás la tecnología y la dependencia de las empresas y las personas hacia estos servicios oherramientas de procesamiento.¿Cuál es la puja entonces? Considero que actualmente nos encontramos entre la definición de Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar"La era de la nube" o la "Era de los controles". Para aquellos que trabajamos en este entorno yquienes los consumen, podrán ver que tanto desde el aspecto regulatorio como de su propiomarco de control del Negocio han crecido sustancialmente las presiones sobre la registración ycontrol del procesamiento de la información.¿Cuál es el cuidado y porque estamos llegando a esto? No necesariamente cuando se piensaen “servicio” se entiende que debe llevar una parte de aseguramiento en cada proceso delservicio. El objetivo principal buscado es “información disponible y de rápido procesamiento”,dos pautas que atentan drásticamente contra la Confidencialidad y la Integridad de los datosque tratamos, que como sabemos no solo son del Negocio sino que en su gran mayoría nos losconfían... Como es el caso de los datos personales.Personalmente el concepto que trato de difundir es la diferencia entre seguridad yaseguramiento basado en las siguientes definiciones: • Seguridad Conjunto de medidas y acciones que se aceptan para proteger los datos contra determinados riesgos a los que están expuestos. • Aseguramiento Establecer las medidas necesarias para que los datos sean procesados en forma segura y accedidos por las personas necesarias, se conviertan en información útil para el Negocio y su transformación se realice bajo métodos de control y registración que aseguren su Confidencialidad, Integridad y Disponibilidad. 1
  2. 2. Seguridad de la Información – Auditoría de SistemasComo trato de indicarles, los datos ingresados a los sistemas de procesamiento de unaOrganización se integran y convierten en información necesaria para cada uno de sus procesosde Negocio mediante las distintas transformaciones a las que se ve expuesta dependiendo dela “química” aplicada para cada uno de ellos.Por lo tanto el secreto que se propone descubrir en este nuevo paradigma, que no es tannuevo, es el desarrollar servicios y procesos que traten la información convirtiéndola ensabiduría e inteligencia para el Negocio de las Empresas, y esto implica el establecer procesosasegurados que no solo entreguen la información rápidamente sino también con la calidadnecesaria para que la respuesta al Negocio sea segura.¿Cuántas veces nos preguntamos de que depende el éxito? ¿Hacemos una lista decomponentes necesarios para el éxito de nuestro Negocio, en base al tratamiento de lainformación? El aseguramiento de sus procesos de tratamiento ¿Está incluido como un factornecesario para el éxito?En alguna oportunidad mencioné que esto lo podemos lograr identificando 4 dominios clarossobre los cuales invertiremos nuestros recursos: Gobierno + Gestión de Riesgos +Educación + Cumplimiento. En la medida en que utilicemos más servicios tercerizados parael alojamiento de datos o involucremos mayor cantidad de herramientas mobile a nuestraOrganización para el tratamiento de los mismos, mayor es la necesidad en implementarcontroles.Esto quiere decir que, para el caso de servicios Cloud por ejemplo, cualquier requisitorelacionado con el marco de protección establecido por diferentes normativas y regulaciones Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.arconlleva a la necesidad de visualizar en donde debemos aplicar cada uno de los 4 dominiosque nos ayudaran a controlar el servicio, donde podemos identificar principalmente que elGOBIERNO debe ser compartido al igual que el CUMPLIMIENTO para todos los componentes. 2
  3. 3. Seguridad de la Información – Auditoría de SistemasDe igual forma, y como ya está aplicándose en la mayoría de las Organizaciones, los sectoresde Seguridad Informática o Seguridad de la Información, imparten el marco normativo yestándares de configuración de seguridad que las áreas de soporte tecnológico implementanen los diferentes equipos mobile o servicios tercerizados.Por ello, ya se trate de un proveedor interno como de un proveedor externo, vamos a poder vercomo parte de la Gestión Operativa de componentes y servicios de tratamiento de informaciónva a ir migrando en su mayoría hacia una Gestión de Control.Cuando nos proponen establecer controles debemos entender que no necesariamente hay quecambiar los procesos, pero lo que si puede cambiar es la forma de registrarlos. Esto ayuda apoder identificar los puntos de control sin necesidad de cambiar un proceso, evitandoentorpecer la operatoria general causando pérdida de tiempo al readecuar la operatoria,readecuar la documentación, cambios en las costumbres de operación, capacitación adicional,etc.. Poder visualizar las diferentes situaciones bajo el concepto Plan Estratégico de la Empresa Marca “Cliente – Proveedor” desde el Negocio, permite a las Organizaciones establecer un balance entre los esfuerzos y PLAN DE NEGOCIO los recursos cuando se trata de sectores internos. Pensemos esto como una intención de compartir esfuerzos y que en lugar Plan Estratégico de tener áreas asociadas al costo, estas en realidad forman Reputación parte del Plan de Negocios ya que proveen “aseguramiento” a de Seguridad cada uno de los procesos que hacen a la Organización. Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.arEl aseguramiento de la información aporta a la calidad de servicios o productos quecomercialice la Organización, y en consecuencia mejoran los resultados esperados. La únicaforma de asegurarnos estos resultados es mediante la monitorización y control de cada uno delos procesos claves del Negocio.¿Qué significa controlar? • Identificar cuáles son los objetivos de control • Saber con qué herramientas nativas o alternativas contamos • Formalizarlas, agregándolas a nuestros procedimientos normativos • Identificar herramientas que puedan registrar controles sin implementarTengamos en cuenta que en la tercerización la responsabilidad no se transfiere, se comparte.Por ello cada vez que pensemos en delegar parte o toda la operatoria a nuestro cargo, tambiénestaremos delegando a quien nos brinde el servicio nuestro conocimiento, cultura por sobre laoperación delegada y principalmente una operación asociada a requisitos regulatorios y delNegocio que nuestro proveedor debe cumplir tanto como nosotros.El vínculo solidario en la necesidad de cumplimiento en nuestra relación de Cliente con elProveedor no es más que reemplazar nuestros procesos y manuales de operación porprocesos y registros de control. 3
  4. 4. Seguridad de la Información – Auditoría de SistemasLos avances tecnológicos y las herramientas de comunicación también han servido comoimpulsores tangenciales para el crecimiento de la necesidad de los controles. La tecnologíaactual nos va dejando cada vez más herramientas que posibilitan a los usuarios manejarinformación fuera de entornos controlados. Y la velocidad tecnológica no siempre vaacompañada de la concientización en materia de Seguridad de la Información.Las notebooks, netbooks, tablets y sobre todo teléfonos móviles y PDAs, se han convertido enrepositorios de información que puede ser muy valiosa o muy costosa para nuestra Empresa.Lo cierto es que, para cada proceso de Seguridad de la Información, se debe considerar laseguridad de los dispositivos móviles de forma integral, pensando en qué debemos hacer sidesaparece un dispositivo y minimizando la exposición de información confidencial, sensible ointerna.Las regulaciones legales actuales sobre la protección de datos personales, así como marcosregulatorios y de mejores prácticas ejercidos desde los entes certificadores como ISO(International Organization for Standardization), son el motivo para no pensar que solo se tratade la información que perdemos. Quedar expuesto legalmente puede ser un impactosignificativo para cualquier Organización.Como todo es “cultura”, principal y fundamentalmente debe hacerse una campaña deconcientización al usuario en el uso profesional del dispositivo, sobre todo teniendo en cuentaque por “hábitos y costumbres” los dispositivos portátiles se “transforman” en equipos de usopersonal de los usuarios, quienes habitualmente tienen otorgados permisos de administradorsobre el equipo confiado. Lo más difícil de los controles no es implementarlos, Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar sino impulsarlos. Efectuar los controles necesarios sobre el Negocio benefician al Negocio y a su entorno operativo, lo aseguran en sus resultados de calidad y económicos y le permiten establecer un entorno confiable y medible que le asegure también su permanencia en el tiempo. Por ello, el primer precursor de los controles debería de ser “ElNegocio”, ya que es su aliado necesario para la tecnología y regulaciones que corren, noimporta cuál sea su industria.ConclusiónAplicar controles en la justa medida de la Organización facilita el delegar la operación, sobretodo si consideramos esta opción para mejorar el enfoque en el Negocio, además de reducir lacarga en el cumplimiento al tener predefinidos los registros surgidos de los controles y unamitigación de riesgos efectiva como resultado de establecer un monitoreo periódico.Fabián DescalzoGRC Manager & Information Security AuditorCybsec S.A. – Security Systems 4

×