La era de los controles?

Un entorno de nube y mobile, el duro misterio de saber donde estn nuestros datos Las necesidades del Negocio han ido trasladando a la industria de la informacin diversas "ideas" que la han impulsado en una forma cada vez ms abrupta a brindar soluciones que aporten mayor velocidad de respuesta en el tratamiento de los datos y mayor disponibilidad de los mismos. Tener las respuestas y la informacin en todo momento y al alcance de las manos tienen sus costos asociados... y sus riesgos. Desde los aos 90 escuchamos hablar, y en algunos casos los hemos contratado, sobre servicios de housing, hosting, colocation, etc., adems de incrementar en las Organizaciones el uso de notebooks y PDAs en la tarea habitual tanto de reas tecnolgicas como administrativas. Esta tendencia que devino en el Cloud Computing, sumado al hecho de contar con medios mviles cada vez ms sofisticados para procesar o accesar informacin, ha creado nuevas brechas de seguridad y por sobre todo nuevas expectativas de negocio que hacen crecer an ms la tecnologa, la dependencia de las empresas y las personas hacia estos servicios o herramientas de procesamiento. Cual es la puja entonces? Considero que actualmente nos encontramos entre la definicin de "La era de la nube" o la "Era de los controles". Para aquellos que trabajamos en este entorno y quienes los consumen, podrn ver que tanto desde el aspecto regulatorio como de su propio marco de control del Negocio han crecido sustancialmente las presiones sobre la registracin y control del procesamiento de la informacin. Cul es el cuidado y porque estamos llegando a esto? No necesariamente cuando se piensa en servicio se entiende que debe llevar una parte de aseguramiento en cada proceso del servicio. El objetivo principal buscado es informacin disponible y de rpido procesamiento, dos pautas que atentan drsticamente contra la Confidencialidad y la Integridad de los datos que tratamos, que como sabemos no solo son del Negocio sino que en su gran mayora "nos los prestan"... Como es el caso de los datos personales. Personalmente el concepto que trato de difundir es la diferencia entre seguridad y aseguramiento basado en las siguientes definiciones: Seguridad Aseguramiento Conjunto de medidas y acciones que se aceptan para proteger los datos contra determinados riesgos a que est expuesto. Establecer las medidas necesarias para que los datos sean procesados en forma segura y accedidos por las personas necesarias, se conviertan en informacin til para el Negocio y su transformacin se realice bajo mtodos de control y registracin que aseguren su Confidencialidad, Integridad y Disponibilidad. 1

2013 CYBSEC

Como trato de indicarles, los datos ingresados a los sistemas de procesamiento de una Organizacin se integran y convierten en informacin necesaria para cada uno de sus procesos de Negocio mediante las distintas transformaciones a las que se ve expuesta dependiendo de la qumica aplicada para cada uno de ellos. Por lo tanto el secreto que se propone descubrir en este nuevo paradigma, que no es tan nuevo, es el desarrollar servicios y procesos que traten la informacin convirtindola en sabidura e inteligencia para el Negocio de las Empresas, y esto implica el establecer procesos asegurados que no solo entreguen la informacin rpidamente sino tambin con la calidad necesaria para que la respuesta al Negocio sea segura. Cuntas veces nos preguntamos de que depende el xito? Hacemos una lista de componentes necesarios para el xito de nuestro Negocio, en base al tratamiento de la informacin? El aseguramiento de sus procesos de tratamiento Est incluido como un factor necesario para el xito? En alguna oportunidad mencion que esto lo podemos lograr identificando 4 dominios claros sobre los cuales invertiremos nuestros recursos: Gobierno + Gestin de Riesgos + Educacin + Cumplimiento. En la medida en que utilicemos ms servicios tercerizados para el alojamiento de datos o involucremos mayor cantidad de herramientas mobile a nuestra Organizacin para el tratamiento de los mismos, mayor es la necesidad en implementar controles. Esto quiere decir que, para el caso de servicios Cloud por ejemplo, cualquier requisito relacionado con el marco de proteccin establecido por diferentes normativas y regulaciones conlleva a la necesidad de visualizar en donde debemos aplicar cada uno de los 4 dominios que nos ayudaran a controlar el servicio, donde podemos identificar principalmente que el GOBIERNO debe ser compartido al igual que el CUMPLIMIENTO para todos los componentes. De igual forma, y como ya est aplicndose en la mayora de las Organizaciones, los sectores de Seguridad Informtica o Seguridad de la Informacin, imparten el marco normativo y estndares de configuracin de seguridad que las reas de soporte tecnolgico implementan en los diferentes equipos mobile. Por ello, ya se trate de un proveedor interno como de un proveedor externo, vamos a poder ver como parte de la Gestin Operativa de componentes y servicios de tratamiento de informacin va a ir migrando en su mayora hacia una Gestin de Control. Cuando nos proponen establecer controles debemos poder entender que no necesariamente deben cambiar los procesos, pero lo que si puede cambiar es la forma de registrarlos. Esto ayuda a poder identificar los puntos de control sin necesidad de cambiar un proceso, evitando entorpecer la operatoria general causando prdida de tiempo.

2013 CYBSEC

Plan Estratgico de la Empresa

Marca

PLAN DE NEGOCIO

Reputacin

Plan Estratgico de Seguridad

Poder visualizar las diferentes situaciones bajo el concepto Cliente Proveedor desde el Negocio, permite a las Organizaciones establecer un balance entre los esfuerzos y los recursos cuando se trata de sectores internos. Pensemos esto como una intencin de compartir esfuerzos y que en lugar de tener reas asociadas al costo, estas en realidad forman parte del Plan de Negocios ya que proveen aseguramiento a cada uno de los procesos que hacen a la Organizacin.

El aseguramiento de la informacin aporta a la calidad de servicios o productos que comercialice la Organizacin, y en consecuencia mejoran los resultados esperados. La nica forma de asegurarnos estos resultados es mediante la monitorizacin y control de cada uno de los procesos claves del Negocio. Qu significa controlar? Identificar cules son los objetivos de control Saber con qu herramientas nativas o alternativas contamos Formalizarlas, agregndolas a nuestros procedimientos normativos Identificar herramientas que puedan registrar controles sin implementar Tengamos en cuenta que en la tercerizacin la responsabilidad no se transfiere, se comparte. Por ello cada vez que pensemos en delegar parte o toda la operatoria a nuestro cargo, tambin estaremos delegando a quien nos brinde el servicio nuestro conocimiento, cultura por sobre la operacin delegada y principalmente una operacin asociada a requisitos regulatorios y del Negocio que nuestro proveedor debe cumplir tanto como nosotros. El vnculo solidario en la necesidad de cumplimiento en nuestra relacin de Cliente con el Proveedor no es ms que reemplazar nuestros procesos y manuales de operacin por procesos y registros de control. Los avances tecnolgicos y las herramientas de comunicacin tambin han servido como impulsores tangenciales para el crecimiento de la necesidad de los controles. La tecnologa actual nos va dejando cada vez ms herramientas que posibilitan a los usuarios manejar informacin fuera de entornos

2013 CYBSEC

controlados. Y la velocidad tecnolgica no siempre va acompaada de la concientizacin en materia de Seguridad de la Informacin. Las notebooks, netbooks, tablets y sobre todo telfonos mviles se han convertido en repositorios de informacin que puede ser muy valiosa o muy costosa para nuestra Empresa. Lo cierto es que, para cada proceso de Seguridad de la Informacin, se debe considerar la seguridad de los dispositivos mviles de forma integral, pensando en qu debemos hacer si desaparece un dispositivo y minimizando la exposicin de informacin confidencial, sensible o interna. Las regulaciones legales actuales sobre la proteccin de datos personales, as como marcos regulatorios como PCI-DDS o la Comunicacin A 4609 del B.C.R.A., son el motivo para no pensar que solo se trata de la informacin que perdemos. Quedar expuesto legalmente puede ser un impacto significativo para cualquier Organizacin. Como todo es cultura, principal y fundamentalmente debe hacerse una campaa de concientizacin al usuario en el uso profesional del dispositivo, sobre todo teniendo en cuenta que por hbitos y costumbres los dispositivos porttiles se transforman en equipos de uso personal de los usuarios, quienes habitualmente tienen otorgados permisos de administrador sobre el equipo confiado. Lo ms difcil de los controles no es implementarlos, sino impulsarlos. Efectuar los controles necesarios sobre el Negocio benefician al Negocio y a su entorno operativo, lo aseguran en sus resultados de calidad y econmicos y le permiten establecer un entorno confiable y medible que le asegure tambin su permanencia en el tiempo. Por ello, el primer precursor de los controles debera de ser El Negocio, ya que es su aliado necesario para la tecnologa y regulaciones que corren, no importa cul sea su industria. Conclusin Aplicar controles en la justa medida de la Organizacin facilita el delegar la operacin, sobre todo si consideramos esta opcin para mejorar el enfoque en el Negocio, adems de reducir la carga en el cumplimiento al tener predefinidos los registros surgidos de los controles y una mitigacin de riesgos efectiva como resultado de establecer un monitoreo peridico.
Fabin Descalzo Gerente de Governace, Risk & Compliance (GRC) Cybsec S.A. Security Systems

2013 CYBSEC

Fabin Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., certificado ITIL v3-2011 y auditor ISO 20000, con 20 aos de trayectoria en Seguridad de la Informacin. Posee amplia experiencia en la implementacin y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compaas de primer nivel de diferentes reas de negocio en la optimizacin y cumplimiento de la seguridad en sistemas de informacin, Gobierno de TI/SI y Continuidad del Negocio. Actualmente es responsable de servicios y soluciones en las reas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento del Negocio.

CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la Informacin. Su rea de servicios cubre Amrica y Europa y ms de 400 clientes acreditan la trayectoria empresaria. Para ms informacin: www.cybsec.com.

2013 CYBSEC