Seguridad de la Informacin Auditora de Sistemas

Respuestas al cumplimiento
Cada vez ms complejas?
Las regulaciones globales y locales estn creciendo en
volumen y en complejidad, y como resultado, la demanda de
responsabilidad legal se ha intensificado, a la vez que la
administracin de los costos asociados a la gestin de riesgo
y cumplimiento contina siendo un reto.

Por ello deben establecerse pautas para la integracin de capacidades de gobierno, aseguramiento y gestin del
desempeo, riesgo y cumplimiento que integren estos esfuerzos de una manera conjunta, y que luego se
representarn a travs de las polticas y normas organizacionales, que formaran un marco normativo como medio
de comunicacin en el cual se establecen las reglas y controles reflejados en los diferentes procedimientos de la
organizacin, para asegurar el cumplimiento de leyes y regulaciones del negocio apoyando a la confidencialidad,
integridad y disponibilidad de la informacin previniendo y manejando los riesgos de seguridad en diversas
circunstancias. Tengamos en cuenta que las pautas establecidas deben representarse en un programa que defina
el objetivo, direccin, principios y reglas bsicas para la gestin del cumplimiento y la seguridad.
En el mundo actual, no hay forma de asegurarnos contra el robo o el fraude si no podemos controlar o gobernar
los procesos de negocio desde la tecnologa que les brinda servicios y a su vez, si no capacitamos y
concientizamos a las personas que los gestionan. Toda persona que intervenga en los diferentes procesos de
negocio y a su vez utilice los servicios informticos que ofrece la organizacin, debe conocer el marco normativo
que regula las actividades de la organizacin, teniendo en cuenta que su desconocimiento no lo exonera de
responsabilidad, ante cualquier eventualidad que involucre a la organizacin y a la seguridad de la informacin.
El objetivo de un programa de cumplimiento es el crear una mejor imagen de mercado y
reducir los daos tangibles o intangibles ocasionados por los potenciales riesgos; esto
determina que las necesidades de cumplimiento se centren en dar respuesta a la gestin
riesgos, el control de los procesos y el control de accesos a la informacin y a los sistemas,
siendo cada una de estos puntos mdulos fundamentales para el entorno de GRC
(Governance, Risk & Compliance) de cualquier organizacin, y el medio para dar respuesta
puede ser representado, por ejemplo, a travs de la gestin de seguridad de la informacin
alineada con los objetivos comerciales de la organizacin para asegurar su negocio.
Tomando como gua este sistema de gestin, se tiene la posibilidad de cubrir una respuesta tanto a
requerimientos legales o de industria (SOX, PCI-DSS, LFPDP, BCRA, SBIF, SBS, etc.) como el demostrar la adopcin
de prcticas comunes desde la visin de seguridad de la informacin (ISO9001, ISO27001, ITIL, COBIT, ISO20000,
etc.) y las prcticas internas o la interaccin con diferentes funciones y terceros. Los retos de cumplimiento han

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

Debe la estrategia de cumplimiento de una empresa ser parte de la estrategia de seguridad? Debe ser
independiente o estar ms cerca del rea legal? Cmo elige mejorar el cumplimiento en su empresa? En una
organizacin la gestin de cumplimiento puede tornarse compleja y difcil de realizar, no solo por razones tcnicas
sino tambin por razones organizativas y funcionales. Coordinar todos los esfuerzos encaminados a asegurar un
entorno de cumplimiento corporativo requiere de un adecuado control que integre los esfuerzos de toda la
organizacin, empleando mecanismos reguladores de las funciones y actividades desarrolladas por cada uno de
sus empleados.

Seguridad de la Informacin Auditora de Sistemas

llevado a un incremento del espectro de responsabilidades, que abarcan aspectos relacionados con la
administracin de riesgos, la administracin de cumplimiento y seguridad de la informacin, continuidad del
negocio y la proteccin de datos. Este incremento de responsabilidades ha llevado a lo largo del tiempo a integrar
dentro de las organizaciones reas especficas para su gestin, siendo el CSO o CISO (Chief Security Officer o Chief
Information Security Officer) el responsable de supervisar el cumplimiento de los objetivos del sistema de gestin
de seguridad y, al mismo tiempo, de establecer nuevas metas.
Debemos tener en cuenta que, para una buena comprensin de las
pautas establecidas por la organizacin, la normativa debe ser
organizada de manera sencilla para que pueda ser interpretada por
cualquier persona que ostente un cargo de empleado o terceros con un
contrato de trabajo por servicios en la organizacin, con conocimientos
informticos o sin ellos. Las polticas deben ser creadas segn el
contexto de aplicacin, organizadas por niveles de seguridad y siguiendo
un entorno de desarrollo, sobre la problemtica de la compaa o previniendo futuras rupturas en la seguridad y
el cumplimiento, aplicada sobre sus diferentes recursos o activos de informacin.

1. Revisar y proponer a la Direccin para su consideracin y posterior aprobacin, las polticas de seguridad
de la informacin y las funciones generales en materia de seguridad de la informacin que fueran
convenientes y apropiadas para la organizacin.
2. Monitorear cambios significativos en los riesgos que afectan a los recursos de la informacin de la
organizacin frente a posibles amenazas, sean internas o externas.
3. Tomar conocimiento y supervisar la investigacin y monitoreo de los incidentes, relativos a la seguridad,
que se produzcan en el mbito de la organizacin.
4. Aprobar las principales iniciativas para incrementar la seguridad de la informacin, de acuerdo a las
competencias y responsabilidades asignadas a cada sector, as como acordar y aprobar metodologas y
procesos especficos relativos a la seguridad de la informacin
5. Evaluar y coordinar la implementacin de controles especficos de seguridad de la informacin para los
sistemas o servicios de esta organizacin, sean preexistente o nuevos.
6. Promover la difusin y apoyo a la seguridad de la informacin dentro de la organizacin, como as
coordinar el proceso de administracin de la continuidad del negocio.
Teniendo en cuenta las necesidades de cumplimiento, el programa definido
para la gestin de la seguridad de la informacin, debe tomar como
lineamientos principales cuatro dominios relacionados con el Gobierno
Corporativo:

Seguridad Organizacional
Estableciendo el marco formal de seguridad que debe sustentar la organizacin, incluyendo servicios o
contrataciones externas a la infraestructura de seguridad, Integrando el recurso humano con la
tecnologa, denotando responsabilidades y actividades complementarias como respuesta ante situaciones
anmalas a la seguridad.

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

Dentro de la prctica de la seguridad de la informacin, los objetivos para controles individuales de seguridad o
grupos de controles deben ser propuestos por el Comit de Seguridad y aprobados por la Direccin en la
declaracin de aplicabilidad; los cuales son revisados al menos una vez al ao. El Comit de Seguridad de la
Informacin debe estar destinado a garantizar el apoyo manifiesto de la Direccin a las iniciativas de seguridad,
siendo sus principales funciones:

Seguridad Lgica
Estableciendo e integrando los mecanismos y procedimientos, que permitan monitorear el acceso a los
activos de informacin, que incluyen los procedimientos de administracin de usuarios, definicin de
responsabilidades, perfiles de seguridad, control de acceso a las aplicaciones y documentacin sobre
sistemas, que van desde el control de cambios en la configuracin de los equipos, manejo de incidentes,
seleccin y aceptacin de sistemas, hasta el control de software malicioso.

Seguridad Fsica
Identificando los lmites mnimos que se deben cumplir en cuanto a permetros de seguridad, de forma
que se puedan establecer controles en el manejo de equipos, transferencia de informacin y control de
los accesos a las distintas reas con base en la importancia de los activos.

Seguridad Legal
Integrando los requerimientos de seguridad que deben cumplir todos los empleados, socios y terceros
que interactan en procesos de negocio y la informacin de la compaa, bajo la reglamentacin de la
normativa interna de polticas y manuales de procedimientos de la organizacin en cuanto al recurso
humano, sanciones aplicables ante faltas cometidas, as como cuestiones relacionadas con la legislacin
del pas y contrataciones externas.

Para la prctica de estos cuatro dominios, y segn lo mencionamos en prrafos anteriores, se debe establecer una
metodologa para determinar el proceso para la administracin de riesgos, asegurando cubrir las siguientes
etapas que llevan a completar su tratamiento:
Identificacin de los procesos de Negocio y servicios de TI y seguridad que lo soportan
Identificacin de riesgos de Negocio y servicios de TI y SI que lo soportan
Anlisis de riesgos de Negocio y servicios de TI y SI que lo soportan
Evaluacin de riesgos de Negocio y servicios de TI y SI que lo soportan
Tratamiento de riesgos de Negocio y servicios de TI y SI que lo soportan
Documentacin, control y revisin
Los diferentes riesgos al cumplimiento deben ser evaluados sobre
cada conjunto de actividades o procesos definidos, teniendo en
cuenta su interrelacin de forma ordenada y consecutiva para
identificar los factores de riesgo que puedan involucrar a una o ms
unidades de negocio. Estos factores de riesgo pueden involucrar
aspectos de cumplimiento al producirse un evento determinado que
influya negativamente en el normal funcionamiento y operacin de
los procesos de TI de la organizacin, afectando de esta forma tanto a
la privacidad o disponibilidad de datos como a la integridad que
puede conllevar a hechos delictivos, ya sea por robo o fraudes. La
organizacin debe considerar dentro de la definicin de Riesgos de TI aquellos eventos relacionados con los
sistemas de informacin y con la infraestructura de TI propia y de terceros que soporta el funcionamiento de
dichos sistemas, y con cualquier otro recurso relacionado empleado por la funcin de TI de la organizacin para
brindar sus servicios. De la misma forma, deben tenerse en cuenta los riesgos resultantes de la falta de
adecuacin o fallas en los procesos internos, de la actuacin del personal o bien de aquellos que sean producto de
eventos externos.

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

Seguridad de la Informacin Auditora de Sistemas

Seguridad de la Informacin Auditora de Sistemas

Adicionalmente a esto, las reas de legales de las organizaciones, deben

estar en conocimiento no solo de las actualizaciones legislativas y
regulatorias, sino tambin de las necesidades de gobierno sobre las
tecnologas actuales y nuevas que pueden influir negativamente en el
cumplimiento de las organizaciones. Las reas tecnolgicas, de seguridad y
riesgos deben conformarse como un ncleo consultivo que, en conjunto
con las reas legales y de control interno, permitan establecer un blindaje
equilibrado a las organizaciones. Revise cualquier industria y encontrar
que su entorno regulador se encuentra en un proceso constante de
cambio, provocando alertas de cumplimiento a las cuales debe darse
respuesta constante y en lnea.
Establecer controles e identificar riesgos nos permite determinar un seguimiento de las actividades ms
importantes dentro del programa de cumplimiento que son relevantes para cada funcin en la organizacin, y
obtener datos procesables con los que se pueden medir y remediar las brechas rpidamente y de manera
eficiente. Tener estos datos significativos a su alcance no slo ayuda a comprender el nivel actual de madurez de
cumplimiento, sino que tambin ayuda a tomar decisiones acerca de la priorizacin para su tratamiento. Es
necesario que establezca una metodologa de medicin en funcin de datos que representen el nivel de
cumplimiento interno, representados en un proceso que refleje en forma peridica el alineamiento a las polticas
internas de la organizacin y sus desvos.
Tambin puede hacerse mediante encuestas internas a usuarios finales, con preguntas referentes a puntos vitales
de las normas, para evaluar el nivel de conocimiento como instancia previa a evaluar el cumplimiento en los
procesos. Respecto de los indicadores, los mismos deben ser dinmicos en funcin de nuevas regulaciones o
cambios en los procesos (lo que los hacen variables en el tiempo); adems que tambin se pueden establecer

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

La organizacin debe considerar estos riesgos como componentes importantes a tener en cuenta en su programa
de cumplimiento. Por lo tanto, independientemente de las normas y procedimientos especficos para la
administracin de riesgos, se debe aplicar un esquema en el cual las salidas del proceso de administracin de
riesgos se integren con el conjunto de la documentacin de los procesos de negocio, con el fin de poder disponer
de documentacin acerca del perfil de riesgos operativos que enfrenta la organizacin en forma integrada y
completa. El enfoque utilizado para identificar riesgos y factores debe incluir, entre otros, lo siguiente:
Juicios basados en la experiencia y conocimiento de la organizacin y de los procesos y funciones de TI
con los cuales est involucrado
Observaciones formuladas en informes de Auditora Interna, Auditora Externa, y otras auditoras a las
que est sometida la organizacin.
Resultados de estudios de vulnerabilidad llevados a cabo por la organizacin, ya sea en forma interna
como mediante la contratacin de terceros especializados.
Conocimiento de incidentes registrados en el rea, conocimiento de incidentes ocurridos en otras
organizaciones del sector, aporte de las reas usuarias
Nuevos proyectos encarados por la organizacin, mediante los cuales se afecte a procesos de negocio o a
la infraestructura de TI, los sistemas de informacin, o cualquier recurso relacionado.
Cambios organizacionales, tales como reestructuracin de reas tecnolgicas o funcionales, o la
tercerizacin de actividades vinculadas con la administracin y/o procesamiento de los sistemas de
informacin o cualquier tipo de tratamiento de informacin de la organizacin.
Clasificacin de activos: En la clasificacin de activos de informacin se define la criticidad de los activos
en base a su disponibilidad, confidencialidad e integridad. Esta informacin es de gran utilidad a la hora
de identificar riesgos de cumplimiento en relacin a los activos crticos.

Seguridad de la Informacin Auditora de Sistemas

distintos niveles de indicadores en funcin del nivel de madurez de la organizacin, lo que tambin hace que
puedan variar en el tiempo teniendo en cuenta el crecimiento futuro en el nivel de cumplimiento de la misma.
Conclusin: Adopte una gua que responda a sus necesidades de cumplimiento, y desde el conocimiento de sus
procesos no solo identifique aspectos legales o regulatorios, sino que tambin contemple los diferentes procesos
secundarios o de servicios que pueden afectar al cumplimiento en los procesos principales, como por ejemplo la
tecnologa y la seguridad de la informacin.

Gerente de Servicios y Soluciones en el rea de Gobierno, Riesgo y Cumplimiento (GRC) en Cybsec by

Deloitte, con amplia experiencia en la implementacin y cumplimiento de Leyes y Normativas Nacionales e
Internacionales en compaas de primer nivel de diferentes reas de negocio en la optimizacin y
cumplimiento de la seguridad en sistemas de informacin, Gobierno de Seguridad de la Informacin y
Tecnologas de la Informacin..
Es certificado en Direccin de Seguridad de la Informacin (Universidad CAECE), IRCA ISMS Auditor, Lead
Auditor ISO/IEC 27001, instructor certificado ITIL Fundation v3-2011 (EXIN) y auditor ISO 20000 (LSQALatu), profesor del mdulo 27001 del curso de TI Governance, Uso eficiente de Frameworks, y de la
Diplomatura en Gobierno y Gestin de Servicios de TI del Instituto Tecnolgico Buenos Aires (ITBA),
profesor en Sistemas de Gestin TI y Seguridad de la Informacin para entidades certificadoras y Auditor
ISO 20000 / ISO 27001 para TV Rheinland Argentina.
Columnista especializado en reas de Gobierno, Seguridad y Auditora, Informtica en Salud y Compliance
en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informtico, CXOCommunity y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias
Informticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.
Miembro del Comit Acadmico E-GISART de ISACA Buenos Aires Chapter, del Comit Directivo del Cyber
Security for Critical Assets LATAM Summit para Qatalys Global seccin Infraestructura Crtica (Gobiernos y
empresas de Amrica Latina en el sector de la energa, qumica, petrleo y gas), del Comit Cientfico
ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), y del Comit Organizador
CYBERSECURITY de ISACA Buenos Aires Chapter.

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

Fabin Descalzo
fabiandescalzo@yahoo.com.ar