Seguridad y legalidad
Cuando el acceso a la información es nuestro mayor riesgo
Con solo conocer algunas de las estadísticas sobre riesgos por falta de cumplimiento regulatorio y controles que facilitan el fraude, nos daremos cuenta que gran parte de la solución está centrada en una adecuada gestión de accesos a la información.
Según el reporte anual de Kroll Global, consultora internacional radicada en Buenos Aires, el 75 por ciento de las empresas analizadas experimentó un incidente de fraude el último año a nivel mundial y en la Argentina creció en 2015 a un ritmo del 20 por ciento respecto del año anterior, de los cuales el 81 por ciento de los casos de fraude fue realizado por empleados internos. Si tenemos en cuenta estas estadísticas, y que las causas que acaparan el 59 por ciento del mayor riesgo de fraude son la alta rotación del personal, la mayor tercerización operativa y el aumento de colaboración entre compañías (por ejemplo, asociaciones estratégicas) veremos claramente que el foco de riesgo se encuentra en el control de permisos y privilegios de acceso a la información y su procesamiento, tanto a nivel lógico como físico.
Las fallas en la ejecución de bajas de accesos (identidades y credenciales lógicas, tarjetas de proximidad, etc.), permisos inadecuados que son heredados por cambio de puesto, error de concepto de otorgar más privilegios de los necesarios, son algunos de los problemas que suelen facilitar la ocurrencia de fraudes con un impacto negativo y directo en el negocio. Por ello, cada acción tomada desde las áreas de seguridad de la información en favor del cumplimiento no solo no es un costo sino que es un servicio en favor de la calidad y aseguramiento de los objetivos del negocio planteados desde las diferentes áreas de la compañía.
Como digo siempre, la seguridad debe ser planteada como un servicio y la definición de sus objetivos debe estar alineada con los del negocio analizando las necesidades de aseguramiento en su participación en la operación diaria. De esta forma podremos establecer una relación directa entre la INVERSIÓN aplicada a la seguridad y los RESULTADOS (GANANCIAS/RENTABILIDAD) al minimizar los riesgos que puedan impactar en forma directa a su economía e imagen de mercado, para lo que deben implementarse servicios prestados en forma permanente, tales como controles de TI, auditorías de seguridad de la información, control de gestión con terceras partes, revisión funcional y certificación de identidades, entre otros. Estos servicios brindaran al Negocio un ambiente de prevención que evitará mayores costos en producción y multas regulatorias, y como de a poco vamos cambiando el concepto, podemos decir que ya se está aplicando «más allá del manual» en la mayoría de las compañías; el secreto es la concientización en toda la organización, y el entendimiento y apoyo directivo.
Adicionalmente a lo arriba mencionado, el aumento de la necesidad de cumplimiento regulatorio y normativo para las organizaciones ha multiplicado sus riesgos de incumplimiento legal, lo que ha desembocado en una mayor actividad en objetivos de control definidos bajo el marco normativo tomando como referencia diferentes normativas nacionales e internacionales. La compañía toma esos objetivos de control, de los cuales surgen las medidas de seguridad que adopta y adecúa a su organización para la protección de la información más sensible o las aplicaciones más críticas para cada área de negocio.
Leyes de privacidad y protección de datos en el mundo
Fuente: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1951416
Estos objetivos de control y su implantación deben ser conocidos desde el inicio por los usuarios en sus diferentes niveles, participando en el cumplimiento de la acción política de la empresa y formando parte responsable de la estrategia de la seguridad de la información. Así se asegura desde todas las áreas de negocio que se proporciona un sistema de control adecuado para el acceso a la información y a los sistemas de procesamiento. Los usuarios de cada área de negocio deben saber que, de acuerdo a los objetivos de control definidos, las medidas de seguridad adecuadas al contexto de la compañía tienen que cumplirse para asegurar confidencialidad, integridad y disponibilidad, y por ende el cumplimiento regulatorio.
Se debe tener en cuenta que los usuarios aportan la documentación referente a los objetos de información basándose en su experiencia y conocimientos. Esto permite establecer programas adecuados que disminuyen la potencialidad de eventos negativos y el mantenimiento organizado de los mismos. La Información ofrecida desde las áreas usuarias ayuda a establecer y documentar medidas preventivas y obtener un plan metodológico integral de la seguridad de la información orientado a responder a las necesidades de cumplimiento de la organización, que incluye:
- Identificación del riesgo potencial y de exposición por objetivo de control
- Identificación de la información, estableciendo su importancia de acuerdo a su nivel de confidencialidad, integridad y disponibilidad necesaria
- Análisis de procesos del área, que incluyen el mapa de interacción con otras áreas y terceras partes
- Identificación y validación de los recursos humanos y sus necesidades de permisos y privilegios de acceso de acuerdo a su rol y funciones otorgadas.
La certeza sobre la información de respaldo y pruebas objetivas brindadas por los usuarios para el control y desarrollo de las actividades de cumplimiento y seguridad de la información aportarán un sólido desarrollo para el plan de negocios de la organización, por ello debemos trabajar en equipo e incrementar la conciencia de la necesidad de proteger la información y a entrenarlos en la utilización de la misma para que puedan llevar a cabo sus funciones en forma segura, minimizando la ocurrencia de errores y pérdidas orientadas al fraude.
De igual forma, establecer una segregación de funciones a través de la matriz SoD (Segregation of Duties) como primer paso que puede resultar una forma lógica de iniciar la tarea de detección de conflictos de funciones y riesgos financieros. Consideramos en este análisis que si bien los procesos de negocios de las empresas son similares, no en todas son iguales. Hay distintos factores que pueden hacer que nos encontremos con algunas dificultades que requieran de mayor esfuerzo en nuestra creatividad al querer resolver la segregación de funciones:
- Nómina del personal en los diferentes sectores que intervienen en el proceso
- Diseño de la herramienta de software para gestionar y procesar la información
- Diseño del módulo de ABM de usuarios, con las definiciones de roles y perfiles para el acceso y procesamiento de la información.
Estos son algunos de los puntos sobre los cuales debemos requerir un aporte esencial desde diferentes áreas de la compañía:
- Recursos Humanos, a través de una definición concreta y documentada de los funciones de la nómina asignada a sectores administrativos
- Áreas de Negocio, responsables de mantener un proceso documentado y gestionado acorde a los recursos existentes
- Desarrollo/Tecnología/Seguridad, responsables de acompañar, asesorar y representar tecnológicamente lo indicado por el Negocio asegurando un proceso acorde a las necesidades de gestión y seguridad de acceso a la información
- Auditoría y Control Interno, asesorando en lo referente a control y registración con el fin de crear una visión única para la revisión de funciones.
Toda actividad asociada al aseguramiento organizacional y cumplimiento que se desee finalizar con éxito debe pensarse desde la necesidad de generar un ámbito colaborativo entre las diferentes áreas que participan en uno o más de sus etapas de ciclo de vida. Cada área debe pautar sus condiciones funcionales:
- El Negocio, asegurar la disponibilidad del proceso
- Áreas tecnológicas y de seguridad de la información, asegurar la necesidad de integridad y confidencialidad de la información
- Auditoría o control interno, asegurarse las respuestas necesarias para documentar el cumplimiento de normativas internas o regulatorias
SoD debe proveer estas condiciones de disponibilidad, confidencialidad e integridad a través de una definición clara y actualizada de funciones y roles o perfiles, su relación e identificación de procesos de control establecidos sobre seguridad y perfiles. El acceso indebido a la información, con motivos de robo o por utilización inadecuada, hace que en los tiempos que corren debamos estar más atentos y mejor preparados en relación a la protección de datos.
Por ello, cada empresa basada en su Industria y en el tipo de información que poseen y administran debe tener en cuenta que las actuales regulaciones están orientadas a normar el tratamiento de los datos basado en el principal riesgo que es la alteración de su integridad o que se viole su confidencialidad. Si bien es creciente, aún nos falta proponer desde distintas áreas de las empresas mayor participación respecto de actividades relacionadas con la seguridad de la información, lo cual agrava el problema de los riesgos relacionados principalmente con la integridad y confidencialidad de los datos y que, por carácter transitivo, también puede afectar a la disponibilidad de los mismos si los ataques internos o externos impactan negativamente en sus sistemas informáticos o procesos de gestión administrativa.
Pensar en seguridad no solo es cumplimentar objetivos relacionados con la “protección”, sino establecer un entorno seguro con la visión de gobierno, riesgo y cumplimiento desde cualquier sector de la organización. Bajo estos aspectos se debe ser claro y concreto en las acciones que implementemos en pos del cumplimiento, para certificar a la organización el inicio o continuación de un camino de integración que les permita mejorar la imagen, confianza y competitividad empresarial con respecto al negocio y analizar riesgos, establecer objetivos y metas que permitan aumentar el nivel de confianza en la seguridad para los sistemas de información.
Fabián Descalzo
Gerente de Governance, Risk & Compliance
Cybsec S.A. – Security Systems
Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento (GRC) en Cybsec Security Systems S.A., con amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI y Gobierno de Seguridad de la Información.
Miembro del Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers) y miembro del Comité Organizador CYBER 2015 de ADACSI/ISACA, certificado en Dirección de Seguridad de la Información (Universidad CAECE), instructor certificado ITIL Fundation v3-2011 (EXIN) y auditor ISO 20000 (LSQA-Latu).
Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.
Profesor del módulo 27001 del curso de IT Governance, Uso eficiente de Frameworks y la Diplomatura en Gobierno y Gestión de Servicios de IT del Instituto Tecnológico Buenos Aires (ITBA)
No se han encontrado comentarios