Presentación "Seguridad de la Información en el Sector Legal"
Upcoming SlideShare
Loading in...5
×
 

Presentación "Seguridad de la Información en el Sector Legal"

on

  • 1,094 views

 

Statistics

Views

Total Views
1,094
Views on SlideShare
1,093
Embed Views
1

Actions

Likes
0
Downloads
12
Comments
0

1 Embed 1

http://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Presentación "Seguridad de la Información en el Sector Legal" Presentación "Seguridad de la Información en el Sector Legal" Presentation Transcript

  • Riesgo en la seguridad de la información en el Sector Legal Lic. Ignacio Chertcoff
  • Agenda
    • Introducción
    • Confidencialidad de la información y Valoración del Riesgo en el área Legal
    • Análisis de brechas de Seguridad y Auditoría
    • Resumen
  • Introducción
    • Situación común en Departamentos Legales
    • Área no “Core”
    • Procesos no convencionales
    • Aparición de sistemas informales
      • Planillas de calculo
      • Editores de Texto
      • Bases de datos de escritorio programadas a medida
      • Software empaquetado local o sin licencias
  • Confidencialidad de la Información y valoración del Riesgo
    • Parte de la información de los juicios es de carácter pública
    • No hay un criterio en común
    • La mayoría coincide en la confidencialidad
    • Aparecen los Estudios Externos gestionando
    • La valoración del Riesgo y su peso en la organización está en manos de cada Entidad
  • Análisis de brechas de seguridad y auditoria
    • Puntos de la comunicación BCRA 4609 que aplican a la problemática del área legal
    • Análisis de los problemas comunes
    • Mitigación y corrección de brechas
  • Análisis de brechas Norma / Interpretación Sección 2. Organización funcional y gestión de tecnología informática y sistemas. 2.2. Políticas y procedimientos. “ El Directorio, o autoridad equivalente, debe procurar y observar la existencia de políticas y procedimientos para administrar el riesgo relacionado a los sistemas de información y la tecnología informática. (…) Los procedimientos son documentos escritos que describen de manera secuencial la forma de ejecutar una actividad para lograr un objetivo determinado, dentro de un alcance establecido. En dichos documentos se enuncian procesos operativos, se definen responsabilidades, se establecen los documentos (planillas, informes, registros) a emitir y controlar, y se detallan los controles necesarios, definiendo dónde y cuándo éstos deben realizarse. Tanto las políticas como los procedimientos deben estar claramente escritos , formalmente comunicados, mantenerse actualizados, establecer la asignación de responsabilidades, y ser la base de la coordinación y realización de las tareas, como así también el instrumento que permita el entrenamiento sobre las actividades vinculadas a la administración y/o procesamiento de datos, sistemas o tecnologías relacionadas de la entidad. (…)” Situaciones Comunes En general no hemos encontrado procedimientos escritos sobre la gestión legal en Departamentos Legales. La complejidad de los procesos legales y de la justicia, hace que se requiera conocimiento específico, que en general dista del “core” del negocio de la entidades financieras. Mitigación Al implementar un sistema de gestión corporativo , la primer etapa de un proyecto debería ser el relevamiento y documentación de los procesos del área . Los relevamientos y documentación resultante pueden ser realizada con los lineamientos, metodologías y estándares de la entidad, como ser BPM, etc.
  • Análisis de brechas Norma / Interpretación
    • Sección 2. Organización funcional y gestión de tecnología informática y sistemas.
    • 2.5. Gestión de Tecnología Informática y Sistemas
    • 2.5.3. Segregación de funciones.
    • “ El área de Tecnología Informática y Sistemas deberá presentar una clara delimitación de tareas entre los sectores que estén bajo su dependencia.”
    • De el presente punto, y con relación al Usuario Final , se desprende del cuadro (2.5.4) de segregación de funciones:
    • Clasificación NO (la entidad debe tomar medidas de segregación de tareas).
    • Análisis Funcional / Programación
    • Administración de Bases de Datos
    • Mesa de Ayuda
    • Definición e implementación de políticas, perfiles y accesos.
    • Clasificación X (no deberían caer en el mismo sector, en todo caso implementar medidas de control compensatorio.
    • Administración de Resguardos
    Situaciones Comunes Al estar trabajando con herramientas por fuera de los sistemas controlados, el usuario final se responsabiliza de las tareas de análisis y programación, administración de los datos, mesa de ayuda de los otros usuarios. En estos casos no existen las políticas de seguridad, perfiles y accesos, ya que se trata de archivos de uso común y no de bases de datos. Los resguardos en la mayoría de los casos no se realizan en forma sistemática. Mitigación Se requiere la implementación de un sistema corporativo y la intervención de todas las áreas de Sistemas en el proceso (OyM, Seguridad, Operaciones).
  • Análisis de brechas Norma / Interpretación
    • Sección 3. Protección de activos de información.
    • 3.1. Gestión de la seguridad.
    • 3.1.4. Política de protección.
    • 3.1.4.2. Estándares de acceso, de identificación y autenticación, y reglas de seguridad.
    • Se deben implementar métodos de identificación y autenticación para controlar el acceso lógico a los sistemas y servicios informáticos, los que dependerán de la criticidad y el valor de los datos a proteger, debiéndose considerar:
    • el cambio obligatorio de las contraseñas de acceso en el primer inicio de sesión;
    • 8 (ocho) caracteres de longitud para las claves provistas a todo sistema informático de la entidad;
    • el control de la composición de las contraseñas (por ejemplo: caracteres alfabéticos, numéricos, especiales, mayúsculas y minúsculas);
    • el registro histórico de las últimas 12 (doce) contraseñas utilizadas, evitando ser reutilizadas;
    • (…)
    • 3.1.4.4. Registros de seguridad y pistas de auditoría.
    • Con el objeto de reducir a un nivel aceptable los riesgos internos y externos de accesos no autorizados, pérdidas y daños a la información, se deben implementar adecuadamente:
    • registros operativos de las actividades de los usuarios, las tareas realizadas y las funciones utilizadas;
    • (…)
    Situaciones Comunes Los requerimientos funcionales citados no son posibles de implementar en herramientas informales. Mitigación Se requiere la implementación y parametrización de sistemas que contemplen desde el diseño los requerimientos de Seguridad Lógica.
  • Análisis de brechas Norma / Interpretación Sección 4. Continuidad del procesamiento electrónico de datos. 4.2. Análisis de impacto. 4.3. Instalaciones alternativas de procesamiento de datos. 4.4. Plan de continuidad del procesamiento de datos. 4.6. Pruebas de continuidad del procesamiento de datos. Se requieren planes y acciones de contingencia que en general cuentan con altos costos de implementación y mantenimiento. Situaciones Comunes Las situaciones encontradas no permiten la realización de un plan de contingencias adecuado. Mitigación Los sistemas web de gestión centralizada, simplifican y reducen los costos de contingencia, ya que se minimiza la cantidad de componentes del sistema, reduciéndolo a Servidores y Comunicaciones.
  • Análisis de brechas Norma / Interpretación Sección 5. Operaciones y procesamiento de datos. 5.4. Procedimientos de resguardos de información, sistemas productivos y sistemas de base. 5.6. Administración de las bases de datos . La norma reconoce a las Bases de Datos (DBMS) como el único medio de almacenamiento de información de la entidad. Situaciones Comunes Pocas veces se cuenta con sistemas que almacenen la información en Bases de Datos. Mitigación Los sistemas corporativos deberían trabajar con bases de datos.
  • Análisis de brechas Norma / Interpretación Sección 5. Operaciones y procesamiento de datos. 5.8. Control de cambios a los sistemas productivos. A fin de minimizar el riesgo de actualizaciones accidentales en el entorno productivo, ingresar programas no probados y evitar accesos no autorizados a los datos, las entidades financieras deben definir un adecuado esquema de separación entre sus ambientes informáticos de procesamiento (desarrollo, prueba y producción). Se deberá asegurar que los analistas y programadores de sistemas no tengan acceso al entorno productivo, ni los operadores accedan al ambiente ni a las herramientas utilizadas para el desarrollo y el mantenimiento de los sistemas de aplicación, de acuerdo con el cuadro del punto 2.5.4. sobre segregación de funciones. El proceso de actualización de nuevas versiones de sistemas deberá ser estrictamente controlado y realizado por personal que no tenga relación con el área de desarrollo y mantenimiento, mediante mecanismos que garanticen la correspondencia entre los programas "fuentes" y los programas "ejecutables". Asimismo, las nuevas versiones y las modificaciones de los programas aplicativos deben someterse a procedimientos formales de revisión, registro y aprobación, antes de la implementación definitiva en el ambiente de producción. En los casos de implementaciones de sistemas informáticos adquiridos, desarrollados o mantenidos por servicios externos, se deben registrar adecuadamente los cambios efectuados, verificando que todos los programas “fuentes” en custodia se correspondan con los programas “ejecutables”, antes de su puesta operativa en el ambiente de producción. Situaciones Comunes No se cuenta con sistemas corporativos ni con proveedores con capacidad de gestionar los procesos requeridos. Mitigación Se deben implementar los procesos en conjunto con el proveedor, para garantizar todos los requerimientos de pasaje a producción, resguardo y control de programas fuentes, etc.
  • Análisis de brechas Norma / Interpretación
    • Sección 5. Operaciones y procesamiento de datos.
    • 5.10. Manejo de incidentes.
    • Se deben considerar, como mínimo, las siguientes acciones:
    • advertir y registrar los síntomas del problema y los mensajes que aparecen en pantalla, fecha y hora del incidente;
    • dejar constancia de la comunicación a los sectores responsables de la resolución;
    • documentar las acciones realizadas, fecha y hora de la resolución.
    • Asimismo, deben implementarse adecuados procesos de respuesta para garantizar que las personas que comunican los incidentes sean notificadas de los resultados una vez tratados los mismos.
    Situaciones Comunes Los sistemas informales en general no son soportados por las Mesas de Ayuda de la entidad. Mitigación Se debe incorporar el Sistema a la Mesa de Ayuda, proveyéndola de la capacitación y documentación necesaria.
  • Análisis de brechas Norma / Interpretación Sección 8. Sistemas aplicativos de información. 8.2. Integridad y validez de la información. En los sistemas aplicativos de información se deben implementar controles automatizados que permitan minimizar errores en la entrada de datos, en su procesamiento y consolidación, en la ejecución de los procesos de actualización de archivos y bases, y en la salida de la información. Situaciones Comunes Estos controles no siempre son posibles de implementar en sistemas informales. Y aunque sea posible, la “informalidad” hace que no se terminen implementando. Mitigación Implementar un sistema corporativo controlado por Sistemas.
  • Análisis de brechas Norma / Interpretación Sección 8. Sistemas aplicativos de información. 8.3. Administración y registro de las operaciones. Las entidades financieras deben registrar y procesar sus operaciones en los sistemas aplicativos de información correspondientes. No deberá gestionarse ninguna operación en forma manual, en hojas de cálculo, herramientas de escritorio u otro software utilitario. Situaciones Comunes Se utilizan herramientas de escritorio y hojas de cálculo como única fuentes de información del área. Mitigación Implementar un sistema corporativo controlado por Sistemas.
  • Análisis de brechas Norma / Interpretación Sección 8. Sistemas aplicativos de información. 8.5. Documentación de los sistemas de información. 8.5.1. Estándares para el proceso de ingeniería del software. 8.5.2. Documentación técnica y manual de usuarios. Situaciones Comunes Los sistemas informales no cuentan con la documentación técnica requerida, ni se diseña siguiendo estándares. Mitigación Implementar un sistema corporativo controlado por Sistemas.
  • Resumen
    • Prevención de brechas de seguridad en el área Legal
    • No alcanza con implementar un nuevo sistema
    • Restricción a sistemas informales
    • Documentación de Procedimientos
    • Capacidad de integración con los procesos de IT
    • Arquitectura centralizada
    • Diseño de los módulos de seguridad
    • Incluir a los Estudios Externos
    • Introducción de la firma digital en los procesos del área
    • Podemos ayudarle
    • www.sisem.net
    • Productos
    • Casos de éxito
    • Downloads
    • Av. Julio A. Roca 590 2° Piso
    • Buenos Aires - Argentina
    • Tel:(54-11) 5032-6488
    ¿ Preguntas ?