Ser “Compliance” o pagar más

Ciberseguridad en el teletrabajo 

Los nuevos proyectos que requieren de la tecnología como servicio son aquellos que están más fácilmente a merced de los errores de “visión” dependiendo del perfil de quién los lidere y de quienes compongan el equipo de proyecto, ya que para satisfacer las necesidades del negocio desde las áreas tecnológicas surgen diversas "ideas" que la impulsan en una forma cada vez más abrupta a brindar soluciones que aporten mayor velocidad de respuesta en el tratamiento de los datos y mayor disponibilidad de los mismos. Y tener las respuestas y la información en todo momento y al alcance de las manos tiene sus costos asociados... y sus riesgos.

¿Cuál es el cuidado entonces y porque estamos llegando a esto? Tanto desde el negocio como desde las áreas tecnológicas no necesariamente cuando piensan en recibir y brindar “servicio” entienden que el mismo debe llevar una parte de aseguramiento. El objetivo principal buscado es “información disponible y de rápido procesamiento”, dos pautas que atentan drásticamente contra la confidencialidad y la integridad de los datos que tratamos, que como sabemos no solo son del negocio, sino que en su gran mayoría nos los confían... Como es el caso de los datos personales, tarjetas de crédito/débito, bancarios o salud.

¿Cuántas veces nos preguntamos de que depende el éxito? ¿Hacemos una lista de componentes necesarios para el éxito de cada proyecto del negocio, en base al tratamiento de la información? El aseguramiento de los procesos de tratamiento de los datos en cada proyecto ¿Está incluido como un factor necesario para el éxito?

Para desarrollar este concepto pensemos en un proyecto que lleve adelante nuestra empresa, como por ejemplo el de transferencia de dinero el cual para llevarse adelante necesita de los siguientes componentes:

  • Hardware y Software que conforman la infraestructura aplicativa
  • El software aplicativo
  • Telecomunicaciones
  • Proveedor de servicios financieros y comunicación para la transferencia de dinero
  • Datos personales, bancarios y financieros de los clientes

 

Primeramente, y teniendo en cuenta el tipo de datos a tratar y que formaran parte del proceso de negocio, es conveniente consultar con el sector legal como abordar lo referente a la contratación de o los proveedores ya que se debe tener en cuenta que la responsabilidad y control por sobre el tratamiento de datos no es delegable.

Con esto nos referimos a que, si bien el ingreso de datos se realiza a través de sistemas informáticos de nuestra empresa, al intervenir un tercero en el proceso es importante saber que el tercerizar parte de la gestión requiere implementar tareas de control y monitorización del servicio contratado, por ello debe invertirse en controles ya que nuestra empresa es responsable por los datos, y debe velar por ellos durante todo el proceso del servicio ofrecido a sus Clientes.

A este respecto, tengamos en cuenta que diferentes leyes que regulan el tratamiento de datos determinan que las personas naturales y las personas jurídicas tales como las emisoras y operadoras de tarjetas de crédito; las empresas de transferencia y transporte de valores y dinero están obligadas a informar sobre los actos, transacciones u operaciones sospechosas que adviertan en el ejercicio de sus actividades; esto determina que también somos responsables del tratamiento de datos cuando contrate servicios en los que comparte información personal con terceros (filiatoria y sensible) y por ello deberá velar porque el proveedor de servicios cumpla las regulaciones que le apliquen a nuestra empresa, por ejemplo SOX, la legislación de protección de datos personales (Ley de Habeas Data) de nuestro país o región y transacción con tarjetas de pago (PCI).

Teniendo en cuenta los aspectos legales, y yendo a los más técnicos de nuestro proyecto, debemos componer una guía que nos permita definir la infraestructura y su configuración adecuada para de esta forma dimensionar convenientemente no solo el costo sino los pasos de control y revisión sobre el proyecto. Esta guía debe contemplar la asociación entre las necesidades de cumplimento y la respuesta técnica aplicada a dar soporte tecnológico al proceso de negocio, contemplando entre otros estos puntos principales:

  • En todos los casos, y sobre todo si hacen falta también los datos de tarjeta, debe revisarse que el sistema esté preparado para disociar la información del tarjetahabiente, así como el número PAN
  • Los datos del cliente requeridos para registrar la operación de la transacción de envíos, de acuerdo con lo especificado por las diferentes leyes de lavado de dinero para la obligación de crear y mantener registros de las operaciones.
  • De igual forma, contemplar las variantes de datos a ingresar según el monto de las operaciones
  • Contemplar los plazos mínimos de guarda de los registros de las operaciones y su integridad, los que pueden ser requeridos por las unidades de análisis financiero

 

Entonces se deben asumir también como riesgos del negocio aquellos que estén asociados a un impacto en la integridad y confidencialidad de los datos, la imagen de nuestra empresa y factibles de penalidades regulatorias como, por ejemplo:

  • Exposición de la confidencialidad de la información por falta de disociación de datos o fuga de información
  • Error en la integridad de la información por fallas en la conversión de datos al interfasearlos con los aplicativos del Proveedor
  • Error en la integridad de la información por fallas en la operación del Proveedor
  • Falla en la generación o imposibilidad de recuperar registros requeridos por el marco regulatorio
  • Mayores costos por el rediseño del proceso, del software desarrollado, dimensionamiento deficiente del hardware, horas hombre adicionales y aplicación productiva fuera de línea.

 

Visto de esta forma, y considerando algunos de los requisitos legales y regulatorios, incluyo algunos de los puntos a tener en cuenta en la planificación del proyecto para evitar desvíos, demoras o mayores costos en una etapa posterior, o sea cuando nuestra aplicación ya esté en producción y el proceso en plena actividad:

  • Resguardar y asegurar todos los registros obtenidos de aquellos equipos donde se procese información regulatoria
  • Los sistemas que integren el proceso deben ser periódicamente auditados para asegurar la conformidad con los procedimientos y políticas de nuestra empresa.
  • El acceso a los sistemas que contengan datos confidenciales debe ser adecuadamente asignado a aquellos perfiles que por sus funciones los requieran, y debidamente protegido según nuestras normas.
  • Los terceros deben notificarnos de todos los cambios de personal que este afectado a nuestro servicio.
  • Los controles de confidencialidad, integridad y disponibilidad serán específicamente definidos en contratos con terceros. Los controles abarcarán todos los riesgos de protección de información lógica, personal y física apropiados, basada en los niveles de riesgo que establezcamos. Además los controles considerarán todos los requisitos regulatorios e imperantes establecidos por la ley.
  • Los acuerdos contractuales deben concedernos el derecho de auditar los sistemas relevantes de terceros y/o los terceros se comprometerán a tener auditorías periódicas e independientes, cuyo resultado tendremos el derecho a revisar.
  • Se deben firmar convenios de confidencialidad con terceros con los que se intercambie información.
  • Las terceras partes deben cumplir con lo dispuesto por nuestra política y normas para la destrucción y disposición final de la información
  • Contar con documentación respaldatoria de los sistemas de comunicaciones con proveedores críticos donde se transfiera información sensible del negocio.
  • Aprobar toda nueva conexión previamente a integrarse en el ambiente productivo
  • Las conexiones con terceros deben restringirse a los equipos centrales de proceso, aplicaciones y archivos específicos
  • El acceso de cualquier dispositivo o sistema a nuestra red debe cumplir previamente con nuestro estándar de configuración de seguridad y se debe verificar su cumplimiento periódicamente.

 

Debido a ello debe tenerse en cuenta la aplicación de lo expresado en el siguiente gráfico:

La infraestructura tecnológica que brinda soporte y servicio al proceso de negocio debe estar diseñada para asegurar el cumplimiento de los siguientes puntos esenciales:

  • Régimen de los datos. Desarrollar un entorno de confidencialidad que asegure lo no disposición de los datos ni hacer uso de los mismos para ningún fin que no esté expresamente asociado al servicio que se preste y, en caso de que se trate de datos personales, con el consentimiento del titular de los datos.
  • Cumplimiento de legislación de protección de datos. Asegurar que la operación del servicio cumpla con todos los aspectos relacionados con la retención información, registros de auditoría y destrucción de información de acuerdo con la jurisdicción aplicable al territorio en el que se localizan los centros de procesamiento de datos.
  • Seguridad en el acceso. Garantizar que la información solo será accesible por personal autorizado de nuestra empresa, y a quien nosotros determinemos con los perfiles de acceso correspondientes.
  • Integridad y conservación. Disponer de los mecanismos de recuperación ante desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información.
  • Disponibilidad. Garantizar una elevada disponibilidad del servicio, así como comprometerse a organizar las paradas programadas para mantenimiento con la suficiente antelación.
  • Portabilidad y eliminación de los datos. Establecer los mecanismos y procesos necesarios para la eliminación de los datos a la terminación del servicio, obligación tanto propia como de los terceros contratados.

 

RECOMENDACIONES ADICIONALES

  • Desarrollar una matriz de control para realizar seguimiento de las actividades de responsabilidad compartida entre el proveedor y nuestra empresa
  • Asegurar la intervención interdisciplinaria de diferentes sectores de la Organización para todos los proyectos (Legales, Tecnología, Seguridad Informática, Desarrollo, Facilities, etc.)
  • Ejecutar los controles y gestión de riesgos en forma continua
  • Mitigar los riesgos a través de contratos y SLAs orientados a los Controles y Gestión de Riesgo
  • Si decide derivar la operación o parte de ella en un proveedor, robustecer la seguridad en base a sus capacidades, y así reducir la carga de cumplimiento al compartirla con el proveedor

 

BDO puede ayudarlo a Ser “Compliance”, ya que contamos con un amplio conocimiento e integramos nuestros equipos de trabajo con las diferentes “visiones” necesarias para llevar adelante proyectos que asocian los objetivos de negocio, el cumplimiento y la tecnología; con nuestra experiencia aportamos una mejor gestión de los proyectos basados en el cumplimiento, mayor rentabilidad en las soluciones tecnológicas aplicadas al negocio y el aporte a asegurar también servicios tecnológicos de calidad.





🙌 Formá parte del Grupo Linkedin “𝐁𝐃𝐎 𝐀𝐑𝐆𝐄𝐍𝐓𝐈𝐍𝐀 - 𝐀𝐒𝐄𝐆𝐔𝐑𝐀𝐌𝐈𝐄𝐍𝐓𝐎 𝐃𝐄 𝐏𝐑𝐎𝐂𝐄𝐒𝐎𝐒 𝐈𝐍𝐅𝐎𝐑𝐌𝐀́𝐓𝐈𝐂𝐎𝐒” 🔗  https://www.linkedin.com/groups/12188431/ donde se comparte información para prevenir, proteger y educar.


Fabián Descalzo

Fabián Descalzo | ITILv3:2011, ISO27001LA, ISO20000LA, COBIT 5

Director y DPO de BDO Argentina, a cargo del Departamento de Aseguramiento de Procesos Informáticos (API).

Posee 30 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio

Docente del Diplomado Universitario en Accounting Tech en la Universidad Argentina de la Empresa – UADE del módulo BIG DATA Y SERVICIOS EN LA NUBE, Docente del módulo 27001 de las Diplomaturas de “IT Governance, Uso eficiente de Frameworks” y “Gobierno y Gestión de Servicios de TI” del Instituto Tecnológico Buenos Aires (ITBA), Docente del Módulo de Auditoría de IT de la Diplomatura en Delitos Informáticos para EDI en la Universidad Nacional de Río Negro y Docente en Sistemas de Gestión IT, Seguridad de la Información y Auditoría IT para TÜV Rheinland. Miembro del Comité Directivo de ISACA Buenos Aires Chapter, Miembro del Comité Directivo del “Cyber Security for Critical Assets LATAM” para Qatalys Global sección Infraestructura Crítica, Miembro del Comité Científico del IEEE (Institute of Electrical and Electronics Engineers).


No hay comentarios.

Imágenes del tema de enot-poloskun. Con tecnología de Blogger.