Seguridad y legalidad

Cuando el acceso a la información es nuestro mayor riesgo

OpiniónCon solo conocer algunas de las estadísticas sobre riesgos por falta de cumplimiento regulatorio y controles que facilitan el fraude, nos daremos cuenta que gran parte de la solución está centrada en una adecuada gestión de accesos a la información.

Según el reporte anual de Kroll Global, consultora internacional radicada en Buenos Aires, a nivel mundial 75% de las empresas analizadas experimentó un incidente de fraude el último año, y en Argentina creció en 2015 a un ritmo de 20% respecto del año anterior con fraude realizado por personal interno en 81% de los casos. Si tenemos en cuenta estas estadísticas, y que las causas que acaparan 59% del mayor riesgo de fraude son la alta rotación del personal, la mayor tercerización operativa y el aumento de colaboración entre compañías (por ejemplo, asociaciones estratégicas) veremos claramente que el foco de riesgo se encuentra en el control de permisos y privilegios de acceso a la información y su procesamiento, tanto a nivel lógico como físico.

Las fallas en la ejecución de bajas de accesos (identidades y credenciales lógicas, tarjetas de proximidad, etc.), permisos inadecuados que se heredan por cambio de puesto y errores al otorgar más privilegios de los necesarios, son algunos de los problemas que suelen facilitar la ocurrencia de fraudes, con un impacto negativo y directo en el negocio. Por ello, cada acción tomada desde las áreas de seguridad de la información en favor del cumplimiento no solo no es un costo, sino que es un servicio en favor de la calidad y aseguramiento de los objetivos del negocio planteados desde las diferentes áreas de la compañía.

Como digo siempre, la seguridad debe ser planteada como un servicio, y la definición de sus objetivos debe estar alineada con los del negocio, analizando las necesidades de aseguramiento en su participación en la operación diaria. De esta forma podremos establecer una relación directa entre la INVERSIÓN aplicada a la seguridad y los RESULTADOS (ganancias/rentabilidad) al minimizar los riesgos que puedan impactar en forma directa a su economía e imagen de mercado, para lo que debe implementarse la prestación de servicios en forma permanente, tales como controles de TI, auditorías de seguridad de la información, control de gestión con terceras partes, revisión funcional y certificación de identidades, entre otros. Estos servicios brindarán al negocio un ambiente de prevención que evitará mayores costos en producción y multas, y como poco a poco vamos cambiando el concepto, podemos decir que ya se está aplicando “más allá del manual” en la mayoría de las compañías; el secreto es la concientización en toda la organización, además del entendimiento y apoyo directivo.

Además de lo arriba mencionado, el aumento de la necesidad de cumplimiento regulatorio y normativo para las organizaciones ha multiplicado sus riesgos de incumplimiento legal, lo que ha desembocado en una mayor actividad en objetivos de control definidos bajo el marco normativo, tomando como referencia diferentes normativas nacionales e internacionales. La compañía toma esos objetivos de control, de los cuales surgen las medidas de seguridad que adopta y adecúa a su organización para la protección de la información más sensible o las aplicaciones más críticas para cada área de negocio.

Fig 1 - Fabián Descalzo

Leyes de privacidad y protección de datos en el mundo

Fuente: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1951416

.

Estos objetivos de control y su implantación deben conocerlos desde el inicio todos los usuarios y participar en el cumplimiento de la acción política de la empresa formando parte responsable de la estrategia de la seguridad de la información. Así se asegura desde todas las áreas que se proporciona un sistema de control adecuado para el acceso a la información y a los sistemas de procesamiento. Los usuarios de cada área de negocio deben saber que, de acuerdo con los objetivos de control definidos, las medidas de seguridad adecuadas al contexto de la compañía tienen que cumplirse para asegurar confidencialidad, integridad y disponibilidad y, por ende, el cumplimiento regulatorio.

Es prioritario tener en cuenta que los usuarios aportan la documentación referente a los objetos de información basándose en su experiencia y conocimientos. Esto permite establecer programas adecuados que disminuyen la potencialidad de eventos negativos y su mantenimiento organizado. La información ofrecida desde las áreas usuarias ayuda a establecer y documentar medidas preventivas y a obtener un plan metodológico integral de la seguridad de la información orientado a responder a las necesidades de cumplimiento de la organización, que incluye:

  1. Identificación del riesgo potencial y de exposición por objetivo de control.
  2. Identificación de la información, estableciendo su importancia de acuerdo con su nivel de confidencialidad, integridad y disponibilidad necesaria.
  3. Análisis de procesos del área, que incluye el mapa de interacción con otras áreas y terceras partes.
  4. Identificación y validación de los recursos humanos y sus necesidades de permisos y privilegios de acceso de acuerdo con su rol y funciones otorgadas.

.

La certeza sobre la información de respaldo y pruebas objetivas brindadas por los usuarios para el control y desarrollo de las actividades de cumplimiento y seguridad de la información aportarán un sólido desarrollo del plan de negocios de la organización, por ello se requiere trabajar en equipo e incrementar la conciencia de la necesidad de proteger la información y  entrenarlos en la utilización de la misma para que lleven a cabo sus funciones en forma segura, minimizando la ocurrencia de errores y pérdidas orientadas al fraude.

De igual forma, establecer como primer paso una segregación de funciones a través de la matriz SoD (segregation of duties) puede resultar una forma lógica de iniciar la tarea de detección de conflictos de funciones y riesgos financieros. Consideramos en este análisis que, si bien los procesos de negocios de las empresas son similares, no en todas son iguales. Hay distintos factores que pueden hacer que nos encontremos con algunas dificultades que requieran mayor creatividad para resolver la segregación de funciones:

  1. Nómina del personal en los diferentes sectores que intervienen en el proceso.
  2. Diseño de la herramienta de software para gestionar y procesar la información.
  3. Diseño del módulo de ABC de usuarios, con las definiciones de roles y perfiles para el acceso y procesamiento de la información.

.

Estos son algunos de los puntos sobre los cuales es fundamental requerir un aporte esencial desde diferentes áreas de la compañía:

  1. Recursos Humanos, a través de una definición concreta y documentada de las funciones de la nómina asignada a sectores administrativos
  2. Áreas de negocio, responsables de mantener un proceso documentado y gestionado acorde a los recursos existentes
  3. Desarrollo/Tecnología/Seguridad, responsables de acompañar, asesorar y representar tecnológicamente lo indicado por el negocio, asegurando un proceso acorde a las necesidades de gestión y seguridad de acceso a la información
  4. Auditoría y Control Interno, asesorando en lo referente a control y registro, con el fin de crear una visión única para la revisión de funciones

.

Toda actividad asociada al aseguramiento organizacional y cumplimiento debe pensarse desde la necesidad de generar un ámbito colaborativo entre las diferentes áreas que participan en una o más de sus etapas de ciclo de vida. Cada área debe puntualizar sus condiciones funcionales:

  • El negocio, asegurar la disponibilidad del proceso
  • Áreas tecnológicas y de seguridad de la información, asegurar la necesidad de integridad y confidencialidad de la información
  • Auditoría o control interno, asegurar las respuestas necesarias para documentar el cumplimiento de normativas internas o regulatorias

.

SoD debe proveer estas condiciones de disponibilidad, confidencialidad e integridad mediante una definición clara y actualizada de funciones y roles o perfiles, y su relación e identificación de procesos de control establecidos sobre seguridad y perfiles. El acceso indebido a la información, para robo/fraude o por utilización inadecuada hace que en los tiempos que corren debamos estar más atentos y mejor preparados en relación a la protección de datos.

Por ello, cada empresa, basada en su industria y en el tipo de información que posee y administra, debe tener en cuenta que las actuales regulaciones están orientadas a normar el tratamiento de los datos con base en el principal riesgo, que es la alteración de la integridad o que se viole su confidencialidad. Si bien es creciente, aún nos falta proponer desde distintas áreas de las empresas mayor participación respecto de actividades relacionadas con la seguridad de la información, lo cual agrava el problema de los riesgos que tienen que ver principalmente con la integridad y confidencialidad de los datos y que, por su carácter transitivo, también puede afectar la disponibilidad de los mismos si los ataques internos o externos impactan negativamente en sus sistemas informáticos o procesos de gestión administrativa.

Pensar en seguridad no solo es cumplir los objetivos incluidos en la “protección”, sino establecer un entorno seguro con la visión de gobierno, riesgo y cumplimiento desde cualquier sector de la organización. Bajo estos aspectos es necesario ser claro y concreto en las acciones que implementemos en pos del cumplimiento, para certificar a la organización el inicio o continuación de un camino de integración que le permita mejorar la imagen, confianza y competitividad empresarial con respecto al negocio y analizar riesgos, establecer objetivos y metas que logren aumentar el nivel de confianza en la seguridad para los sistemas de información.

.

[email protected]

 

Fabián Descalzo

Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento en Cybsec Security Systems S.A., certificado en Dirección de Seguridad de la Información (Universidad CAECE), instructor certificado ITIL Fundation v3-2011 (EXIN) y auditor interno ISO 20000 (LSQA-Latu). Con amplia experiencia en la implementación y cumplimiento de leyes y normativas nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, gobierno de TI y gobierno de seguridad de la información. Columnista especializado en áreas de gobierno, seguridad y auditoría, informática en salud y compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community y Magazcitum; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter. Profesor del módulo 27001 del curso de IT Governance, Uso eficiente de Frameworks y la Diplomatura en Gobierno y Gestión de Servicios de IT del Instituto Tecnológico Buenos Aires (ITBA). 

Tags:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*