Revista LAN & WAN - Redes de computadores, networking y telecomunicaciones, LAN, WAN. Seguridad Informática, auditoría y certificación. Cursos y seminarios, consultoría.
Site hosted by Angelfire.com: Build your free website today!
* * * PREGUNTAS Y RESPUESTAS * * *

NORMAS DE SEGURIDAD DE LA INFORMACION
Además de este material y para conocer más de esta problemática, consulte el Abstract correspondiente en la sección de Artículos preparada por el Ing. Carlos Ormella Meyer. Conozca también detalles del curso sobre Gestión y Auditoría de Seguridad de la Información .

P: ¿Cuáles son las Normas de Seguridad?
R: Básicamente son dos: la ISO 27002 (anteriormente ISO 17799) y la ISO 27001.

P: ¿Qué es la ISO 27002?
R: La ISO 27002 es una guía de buenas prácticas de seguridad de la información que presenta una extensa serie de controles de seguridad. Es la única norma que no sólo cubre la problemática de la seguridad IT sino que hace una aproximación holística a la seguridad de la información corporativa, abarcando todas las funcionalidades de una organización en cuanto a la seguridad de la información que maneja. Este concepto marca la diferencia con el de seguridad informática que, en la práctica, se vino convirtiendo en equivalente de seguridad de sistemas IT, mientras que la norma considera también los riesgos organizacionales, operacionales y físicos de una empresa, con todo lo que esto implica.

P: ¿Es certificable la ISO 27002?
R: Definitivamente no. La ISO 27002 sólo hace recomendaciones sobre el uso de 133 controles de seguridad diferentes aplicados en 11 áreas de control. No establece requisitos cuyo cumplimiento pudiere certificarse.

P: ¿Por qué ha habido cierta confusión en el tema de la certificación?
R: En gran parte se debe a los errores de algunas traducciones. El original en inglés de la ISO 27002 usa la expresión verbal “should”, un término presente en otras normas ISO y también del IETF y del IEEE, que por convención expresa una forma condicional a modo de recomendación y no de imposición, lo que hace precisamente que no sea certificable.

P: Si la ISO 27002 no es certificable, ¿cuál es su utilidad?
R: La ISO 27002 ofrece el detalle de los controles de seguridad recomendados y que en la práctica se seleccionan en base a una valuación de riesgos. La ISO 17799:2000 original era prácticamente igual a la Primera Parte de la norma BS 7799, o sea la BS 7799-1. Esta norma británica tiene una Segunda Parte, BS 7799-2, que usa la expresión verbal “shall”, otro término habitual en normas como las mencionadas antes, en este caso para expresar mandato u obligación, lo que permite su auditoría y certificación. Y en 2005 se liberó la ISO 27001 tomada en su mayor parte de la BS 7799-2 pero con las modificaciones introducidas en la 27002:2005.

P: ¿Pero entonces, hay que trabajar con las dos normas al mismo tiempo?
R: Efectivamente. La ISO 27001 muestra cómo aplicar los controles seleccionados de la ISO 27002, estableciendo los requisitos para construir un Sistema de Gestión de Seguridad de la Información (SGSI, o ISMS por sus siglas en inglés) que efectivamente se puede auditar y certificar.
Mientras varios miles de empresas en todo el mundo están en proceso de certificación actualmente bajo la ISO 27001, para principios de Noviembre de 2009 se habían emitido más de 5.800 certificaciones correspondientes a organizaciones de 79 países diferentes.

P: ¿Además de su capacidad de ser certificable, qué otras características tiene la ISO 27001?
R: El SGSI de la ISO 27001 responde a la aplicación del ciclo Deming o modelo PDCA (Plan-Do-Check-Act) de mejora continua también presente en otras normas. La aplicación del proceso PDCA en el SGSI conforma el paradigma de gestión de riesgos que guía la estrategia del Corporate Governance, incluyendo la gestión de riesgos de negocios.
De hecho, bajo el esquema común del modelo PDCA, la ISO 27001 ofrece un interesante alineamiento con otras normas también de sistemas de gestión como la ISO 9001 de Calidad y la ISO 14001 de Medio Ambiente, con el consiguiente beneficio de reducción de esfuerzos y costos en una implementación semiintegrada.
Así las cosas, el cumplimiento de esta norma constituye el aseguramiento idóneo para:
• Las empresas que buscan una posición con ventaja competitiva en el mercado y/o realizan operaciones de e-commerce B2B.
• Los bancos que necesitan reducir el peso de los riesgos operacionales que introduce el Nuevo Acuerdo de Capitales Basilea II, limitando así las mayores exigencias de capital para sus operaciones.
• Las empresas que cotizan en la bolsa de New York al proporcionarles el soporte adecuado que requiere la aplicación de la ley Sarbanes-Oxley en cuanto a seguridad.

P: ¿Cuál es el proceso de implementación de la norma ISO 27001?
R: A muy grandes rasgos se arranca con la determinación del Alcance del proyecto (si es completo, o un servicio, o un área, etc.) y una Política General. Una valuación de riesgos –cuya metodología no establece la ISO 27001 sino la ISO 27005- y una auditoría basada en un análisis gap contra los controles de la norma ISO 27002, permiten establecer los controles que deben implementarse. En algunos casos el cumplimiento de dichos controles, y la correspondiente reducción de los respectivos riesgos, se logra por medio de normas de uso, controles de seguridad y procedimientos. Los puntos más críticos, en cambio, requieren mitigantes de mayor fortaleza bajo la forma de contramedidas o salvaguardas especiales. El tratamiento dado a los controles queda estipulado en una Declaración de Aplicabilidad, SoA, que se anexa junto con el Alcance de la implementación para la certificación posterior.

P: ¿Y cómo es el tema de la nueva serie ISO 27000?
R: Con la nueva serie ISO 27000 se busca dar un carácter autoconsistente e integral al conjunto de normas de seguridad de la información. Esta serie se puede decir que está encabezada por la ISO 27001 que, como se dijo, es la que estipula los requisitos del sistema de gestión de seguridad de la información. Algunas normas de esta serie ya han sido publicadas, además de las básicas ISO 27002 y 27001. Otras están en camino a serlo. Entre todas ellas a continuación se mencionan las principales.
• La ISO 27004, publicada en octubre de 2008, estipula un modelo de atributos de objetos de seguridad, su cuantificación a modo de indicadores, y las métricas y formas de medición correspondientes.
• La ISO 27005, publicada a mediados de 2008, se refiere a la valuación y gestión de riesgos. En parte se basa en la ISO 13335. Igualmente ha tomado varios temas relacionados con el ciclo de vida de la gestión de riesgos conforme la nueva norma británica BS 7799-3. También reconoce el formato y diagrama de flujo de la norma australiana de riesgos AS/NZS 4360.
• La ISO 27011, publicada en diciembre de 2008, trata como extensión de la ISO 27002, la gestión de seguridad en telecomunicaciones.
• La ISO 27034, en el último draft, trata de la seguridad en las aplicaciones.
• La ISO 27799, publicada a mediados de 2008, es otra extensión de la ISO 27002 en este caso para cubrir los aspectos referidos a la información personal de salud.
.
© 2011 - Carlos Ormella Meyer

Para conocer más de esta problemática, puede contactarse con LAN & WAN, incluso para recabar servicios de asesoría y consultoría por parte del Ing. Carlos Ormella Meyer.
RIESGOS Y SEGURIDAD DE LA INFORMACIÓN © 2011

P: ¿De qué trata la norma ISO 27005?
R: La norma ISO 27005 de Gestión de Riesgos establece una serie de recomendaciones para la Gestión de Riesgos de Seguridad de la Información, necesarias por ejemplo para construir un Sistema de Gestión de Seguridad de la Información (SGSI) efectivo que involucra un proceso continuo.

P: ¿Cuáles son esas recomendaciones?
R: A grandes rasgos se refieren al contexto, valuación de riesgos, tratamiento de los mismos y su aceptación.

P: ¿Qué se puede decir del contexto?
R: El contexto de trabajo considera especialmente lo referido al propósito y criterios de la gestión de riesgos. En primer lugar corresponde aclarar que la ISO 27005 no es para uso exclusivo en Seguridad de la Información, sino que también puede dar soporte, entre otros, a un Plan de Continuidad de Negocios (BCP), o un Plan de Gestión de Incidentes (IRP), así como incluso para cumplir posibles imposiciones legales.
Adicionalmente, dentro del contexto que se comenta hay que establecer los criterios básicos para la evaluación y aceptación de riesgos, es decir, la consideración de los niveles de riesgo resultantes en función de los procesos y actividades de la empresa.

P: ¿Y siguiendo con la valuación de riesgos?
R: La valuación de riesgos consiste en la identificación y estimación de los riesgos, seguidas por la evaluación de los mismos conforme posibles umbrales y formas de consideración de los mismos.

P: ¿Y ahora viene la última parte?
R: Efectivamente. Una vez evaluados los riesgos deberán ser tratados adecuadamente sea para reducirlos, aceptarlos, evitarlos o transferirlos. Finalmente habrá que tomar las decisiones en cuanto a la aceptación o no de los resultados del tratamiento de riesgos.

P: ¿Eso es todo?
R: Hay que agregar que la aceptación de los riesgos deberá comunicarse adecuadamente así como monitorearse y revisarse cuando sea necesario dentro del proceso continuo del PDCA. Por lo demás en todo este proceso se destaca el tema de la estimación de riesgos ya mencionado.

P: ¿Qué se puede decir sobre la estimación de riesgos?
R: Uno de los aspectos más destacados lo constituye la estimación de los riesgos que puede realizarse con dos metodologías: cuantitativa (en valores monetarios) o cualitativa (bajo la forma de cierta cantidad de niveles). A su vez, en el análisis mismo se pueden usar dos aproximaciones: por las acciones o pérdidas y por las entidades que conforman el riesgo mismo.

P: ¿Qué se puede decir del método de estimación por las pérdidas?
R: El método por Pérdidas es el más conocido y se lo calcula multiplicando el impacto que un incidente puede causar en un activo de información por la probabilidad de ocurrencia de dicho incidente a lo largo de un año. El impacto en cuestión puede ser menor que el valor del activo afectado con un límite dado por dicho valor.
Para poder usar la variante cuantitativa, es decir donde se fijen valores monetarios, se necesita conocer el historial completo de todos los hechos similares ocurridos durante un tiempo considerable ponderados precisamente en las pérdidas en dinero, directas o indirectas.
Debido a las limitaciones que pueden aparecer en la práctica es usual “mapear” los posibles valores monetarios a niveles cualitativos descriptivos o bien identificables con números sucesivos desde 0 o 1 hasta el máximo que se considere.

P: ¿Y el método de las entidades?
R: El método de las Entidades, considera los Activos de información, las debilidades o Vulnerabilidades que puedan ofrecer, y las Amenazas que pueden aprovechar dichas vulnerabilidades para causar un daño en dichos activos. Este método sólo puede realizarse en forma cualitativa de nuevo asignando niveles con valores numéricos sucesivos.

© 2011 - Carlos Ormella Meyer

Para conocer más de esta problemática, puede contactarse con LAN & WAN, incluso para recabar servicios de asesoría y consultoría por parte del Ing. Carlos Ormella Meyer.

METRICAS DE SEGURIDAD DE LA INFORMACIÓN © 2011

P:¿Qué son las métricas?
R: Métricas de seguridad es la expresión usual con referencia a las Mediciones para la Gestión de Seguridad de la Información tratadas por la norma ISO 27004.

P: ¿Y qué dice la ISO 27004?
R: Esta norma establece un modelo aplicable a las métricas para medir la eficiencia y progreso del Sistema de Gestión de Seguridad de la Información (SGSI) y la efectividad de los controles implementados a partir de las normas ISO 27001 e ISO 27002 de Seguridad de la Información.

P: ¿Y cómo se mide eso?
R: Una herramienta efectiva para la gestión del desempeño de las medidas de seguridad es el Balanced Scorecard (BSC). El BSC es un modelo de gestión que traslada la estrategia en objetivos estratégicos interrelacionados y una herramienta que muestra el progreso hacia las metas estratégicas.

P: ¿Y qué características tiene ese modelo?
R: El BSC enfoca el negocio por medio de cuatro Perspectivas (Finanzas, Clientes, Procesos Internos, y Aprendizaje y Crecimiento) produciendo una propuesta de valor que balancea indicadores financieros con indicadores no financieros o intangibles.

P: ¿Y cómo se produce esa propuesta?
R: Siguiendo el proceso relacionado con las dos partes del BSC: Mapa Estratégico y Tablero de Control o de Comando.

P: ¿Qué es el Mapa Estratégico?
R: El Mapa Estratégico toma forma estableciendo diferentes Objetivos Estratégicos para cada una de las cuatro Perspectivas, de modo tal que los objetivos guarden relaciones causa-efecto.

P: ¿Y el Tablero de Control o Comando?
R: El Tablero de Control o Comando es la parte más conocida del BSC. Consiste en una tabla donde para cada Perspectiva se establecen los Objetivos Estratégicos, las Iniciativas para poderlos cumplir y los Indicadores con que se irá midiendo su evolución en diferentes hitos o Metas temporales conforme se proyecte.

P: ¿Indicadores es lo mismo que Métricas?
R: No exactamente. Ocurre que en realidad el término Métricas suele usarse con un sentido general; sin embargo es conveniente distinguir tres tipos de parámetros:
a) Medidas: Lo que realmente se mide.
b) Métrica: Resultado de relacionar diferentes Medidas. Muchas veces resulta un porcentaje.
c) Indicador: Evaluación de una o más Métricas. Puede constituir también un porcentaje.

P: ¿Y qué se hace con lo que se va midiendo según las Metas establecidas?
R: Es común que los valores medidos en las diferentes Metas temporales se comparen con los valores proyectados estableciendo así un nivel de logro o cumplimiento. Estos resultados pueden semaforizarse para destacarlos y facilitar la toma de decisiones de corrección que pudieren necesitarse incorporar.

P: ¿En qué consiste la semaforización?
R: Se puede usar la coloración automática de las celdas de resultados conforme ciertos umbrales que indiquen límites o rango, por ejemplo rojo, amarillo y verde para conformidad baja, media y alta respectivamente.

P: ¿Y todo esto se puede aplicar a la Seguridad de la Información?
R: Sí, efectivamente. La operativización de la estrategia traslada los Objetivos Estratégicos o de primer nivel a Objetivos Operacionales en las diferentes áreas de una organización. De esta manera se puede preparar un Tablero de Comando por ejemplo a nivel de Seguridad de la Información, donde los Objetivos operacionales pueden resultar ser sencillamente los Objetivos de Control de la norma ISO 27002 y las Iniciativas, los Controles de la misma norma.
.
© 2011 - Carlos Ormella Meyer

Para conocer más de esta problemática, puede contactarse con LAN & WAN, incluso para recabar servicios de asesoría y consultoría por parte del Ing. Carlos Ormella Meyer.
PROTECCION DE DATOS PERSONALES © 2012

P: ¿Qué regulaciones existen en Argentina respecto a la Protección de Datos Personales?
R: Los requisitos básicos se encuentran en la Ley No. 25.326 sancionada el 4 de Octubre de 2000 y que fuera reglamentada por el Decreto 1.558/2001. Este decreto, entre otros temas, creó la Dirección Nacional de Protección de Datos Personales (DNPDP) como el órgano de control correspondiente.

P: ¿A qué se refieren los requisitos impuestos por dicha ley?
R: La ley define, entre otros puntos:
a) Datos personales: toda información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables. En la práctica esto incluye no sólo al personal de una empresa sino a los proveedores y clientes.
b) Bases de datos: concepto genérico que incluye las propias de ese nombre, así como bancos de datos y todo archivo o registro que maneje información como la mencionada en el inciso anterior.
c) Formación y tratamiento de las bases de datos personales.

P: ¿Qué implica dicha formación y tratamiento de las bases de datos?
R: En primer lugar la DNPDP estableció la obligatoriedad de la inscripción de dichas bases de datos con fecha de vencimiento al 31 de marzo de 2006, seguida de renovaciones anuales. En cuanto a la formación y tratamiento, la DNPDP ha puesto en vigencia dos Disposiciones.
Una es la Disposición 11/2006 que se refiere a las medidas de seguridad a adoptar para la protección de las bases de datos.
La otra es la Disposición 3/2012 que enumera los requisitos derivados de la ley cuyo cumplimiento se verifica en las inspecciones que realiza la DNPDP. Esta Disposición anula una directiva similar anterior, la Nro. 5/2008.

P: ¿Qué establece la Disposición 11/2006?
R: En esta disposición en primer lugar se establecen tres niveles de seguridad, Básico, Medio y Crítico, en función del tipo de datos personales de las bases de datos en cuestión, donde el concepto de base de datos se extiende también a archivos y registros, incluso no informatizados, como por ejemplo en papel. La Disposición detalla también las medidas de seguridad correspondientes para cada nivel.

P: ¿Cuál es la relación entre niveles y tipos de datos personales?
R: El nivel Básico se aplica a las bases de datos personales en general que manejen empresas públicas y privadas; es el que más se extiende a una gran cantidad de empresas y organizaciones.
El nivel Medio corresponde a las empresas privadas de servicios públicos, así como también a las entidades públicas/privadas que deban guardan secreto por otras disposiciones regulatorias, como es el caso de los bancos y entidades financieras.
Finalmente el nivel Crítico se refiere a las organizaciones cuyas bases de datos guarden datos sensibles como los de salud, afiliación sindical, convicciones religiosas, opiniones políticas, etc.

P: ¿Y en cuanto a las medidas de seguridad de cada nivel?
R: Para cada nivel se ha establecido una serie de medidas de seguridad tomando como base las del nivel Básico, ya que dichas medidas son acumulativas. De esta manera, para el nivel Medio hay que satisfacer todas las medidas del nivel Básico más otras específicas del nivel Medio. Lo mismo ocurre con el nivel Crítico respecto del nivel Medio. Para cada nivel se establecieron diferentes plazos para su cumplimiento.

P: ¿Cuáles son los plazos en cuestión?
R: La disposición establece los plazos para implementar las medidas de seguridad y preparar el correspondiente Documento de Seguridad de Datos Personales, como soporte del cumplimiento de la Disposición. Para el nivel Básico la puesta en vigencia venció el 22 de Septiembre de 2007, para el nivel Medio lo fue el 3 de Septiembre de 2009, mientras que para el nivel Crítico el plazo venció el 3 de Septiembre de 2010.

P: ¿Cómo se implementan las medidas de seguridad?
R: Las medidas de seguridad establecidas por la Disposición son totalmente mapeables a los controles de las normas de seguridad ISO 27002 (anteriormente 17799) y la ISO 27001. Definidos los controles necesarios, se implementan bajo los términos de la ISO 27001. De hecho todo un proyecto de protección de datos personales puede tomarse como un proyecto de seguridad bajo dichas normas, de modo tal que el Alcance que pide la ISO 27001 se refiera al cumplimiento de la Ley y Disposición comentadas.

P: ¿Y en cuanto a la Disposición 3/2012?
R: Esta Disposición se refiere básicamente a los puntos a inspeccionar por parte de la DNPDP con respecto al cumplimiento de los requisitos correspondientes. Esta Disposición incluye dos Anexos referidos al Formulario de Inspección y al Instructivo correspondiente para conocimiento y uso por parte de los inspectores de la DNPDP.

P: ¿En qué consiste dicha Inspección y el Instructivo para la misma?
R: Estos documentos incluyen 19 temas de relevancia. Algunos de los más destacados se refieran a Política de Privacidad, Calidad/Recolección/Cesión de Datos, Confidencialidad, Medidas de seguridad (conforme lo establecido por la Disposición 11/2006), Actividades de publicidad directa, Transferencia internacional, Tratamiento de datos por cuenta de terceros, Derechos del titular de datos, y Capacitación. También se consideran casos especiales como el de los Establecimientos sanitarios y médicos, las Investigaciones clínicas, farmacológicas y farmacogenéticas, y las Empresas de informes crediticios.

© 2012 - Carlos Ormella Meyer

Para conocer más de esta problemática, puede contactarse con LAN & WAN, incluso para recabar servicios de asesoría y consultoría por parte del Ing. Carlos Ormella Meyer.
SARBANES-OXLEY Y SEGURIDAD DE LA INFORMACION © 2009
Además de este material y para conocer más de esta problemática, conozca detalles del curso sobre Sarbanes-Oxley y Seguridad de la Información .

P: ¿A qué se refiere la Ley Sarbanes-Oxley?
R: Sarbanes-Oxley (SOX) es una ley americana que busca evitar los escándalos financieros y quiebras producidos a principios de la década. Alcanza en principio a todas las empresas que cotizan en la bolsa. Pero de hecho se extiende a las oficinas que puedan tener en el exterior, así como a las empresas que se encuentren en la cadena de valor, especialmente las que le provean servicios de outsourcing.

P: ¿Cuáles son los aspectos más trascendentes de esta ley?
R: Aunque varias secciones de la ley se destacan por su importancia e implicancias, la más mencionada es la Sección 404, Valuación Gerencial de los Controles Internos referidos a los reportes financieros. Esta sección tiene dos partes: (a) y (b). En la primera, se establece la responsabilidad por parte de la gerencia del establecimiento y mantenimiento de un sistema adecuado de controles internos, que debe ser valuado al fin de cada año fiscal en cuanto a su efectividad. La segunda parte indica que una auditoría externa debe testimoniar e informar la exactitud de la valuación anterior.

P: ¿Cómo se cumple con los requisitos de la Sección 404?
R: En primer lugar tenemos la SEC, es decir la Comisión Nacional de Valores americana, que ha emitido las Reglas Finales 33-8238 que, entre otras cosas, regula la implementación de la Sección 404 (a). Además, está la PCAOB (Supervisión de la Contabilidad de las Compañías Cotizantes), creada por la ley y que depende de la SEC. La PCAOB ha emitido la Norma de Auditoría No. 2 (AS 2) que básicamente regula el reporte realizado por los auditores externos bajo las disposiciones de la Sección 404 (b).

P: ¿Y qué son y cómo se tratan los controles internos?
R: Los controles internos, como concepto general, son los métodos y procedimientos que se usan para salvaguardar los activos, y asegurar que los mismos se usen conforme los objetivos de la empresa. Los controles internos se establecen en base a una valuación y gestión de riesgo de las operaciones comerciales. En el caso de Sarbanes-Oxley, los controles internos son los procesos para un aseguramiento razonable de la confiabilidad de los reportes financieros.

P: ¿Qué relación tiene la Seguridad de la Información con Sarbanes-Oxley?
R: En general el aspecto de seguridad ha sido visto más dentro de un esquema, incompleto, de sistemas IT. En realidad, la ISO 17799 es un compendio de controles de buenas prácticas no limitado a las cuestiones técnicas, sino con alcance plenamente corporativo. Además, si bien esta norma se ha vuelto una suerte de metáfora de la Seguridad de la Información, debe considerarse junto con la ISO 27001 que establece los requisitos y condiciones de implementación del sistema de gestión correspondiente.

P: ¿Cuáles serían concretamente dichas implicancias?
R: En primer lugar, la Sección 404 (a) se mapea en dos capítulos de la ISO 27001 referidos a la revisión y responsabilidad gerencial. Además, los controles generales tradicionales de un sistema de control interno se mapean en seis de las once áreas que trata la ISO 17799. Por otra parte, la ISO 27001 es el mecanismo más idóneo para auditar la seguridad de los proveedores de servicios.

P: ¿Cómo se definiría en definitiva el soporte de las normas de seguridad a la ley Sarbanes-Oxley?
R: El proceso de selección de controles de seguridad implica un análisis gap respecto de una valuación de riesgos de seguridad que enfoca principalmente los aspectos de confidencialidad, integridad, disponibilidad y confiabilidad necesarios para asegurar la exactitud de los reportes financieros que pide esta ley. Este aspecto, así como el mapeado referido antes, dan a Sarbanes-Oxley un soporte completo en cuanto a seguridad de la información, encuadrado en el paradigma del Corporate Governance.

Además de este material y para conocer más de esta problemática, conozca detalles del curso sobre Sarbanes-Oxley y Seguridad de la Información .

ROSI, RETORNO SOBRE LA INVERSION EN SEGURIDAD © 2009
Además de este material y para conocer más de esta problemática, consulte el Abstract correspondiente en la sección de Artículos preparada por el Ing. Carlos Ormella Meyer. Conozca también detalles del curso sobre ROSI, el ROI de la Seguridad de la Información.

P: ¿Qué es ROSI?
R: ROSI es el Retorno Sobre la Inversión de Seguridad, derivado del conocido indicador financiero ROI, Retorno Sobre la Inversión.

P: ¿Entonces puede decirse que ROSI es un ROI especializado?
R: Efectivamente. ROSI busca justificar la inversión en seguridad de la información en términos monetarios. Para ello se tiene presente que los efectos de una implementación de seguridad en general no surgen en forma directa como beneficios económicos para una empresa, sino en todo caso como una reducción en las pérdidas que producen incidentes de seguridad como ataques, fallas o errores. ROSI puede tomarse como el componente financiero del caso de negocio de un proyecto de seguridad, con lo cual es más simple “llegar” a niveles de decisión gerenciales no precisamente técnicos.

P: ¿Cómo se maneja ROSI?
R: El esquema de trabajo de ROSI parte de considerar que cada incidente produce pérdidas que se pueden estimar. Para ello se hacen cálculos del escenario original frente a cada incidente, y del que resultaría de aplicar salvaguardas o contramedidas para mitigarlo adecuadamente. La diferencia entre ambos resultados es el valor o beneficio de dichas salvaguardas. Entonces ROSI (análogamente al ROI) es igual a la relación entre el retorno y el costo de las contramedidas (la inversión en el ROI). El retorno -o ganancia incremental- resulta ser el valor (beneficio en el ROI) menos el costo de dichas contramedidas. Un ROSI aceptable debe ser positivo, lo que resulta cuando el valor es mayor que el costo.

P: ¿Cómo se calculan las pérdidas por ataques o fallas?
R: Generalmente se trabaja con la métrica de gestión de riesgos conocida como ALE. Para ello se estiman los valores probables del impacto monetario y de la frecuencia anual de ocurrencia para cada tipo de incidente, de modo tal que el producto de ambas variables resulta ser el ALE correspondiente.
Este modelo se aplica al estado de seguridad original sin tratar y al tratado con salvaguardas adecuadas, para determinar así lo que permiten ahorrar dichas salvaguardas, o sea el valor de las mismas.
Debido a las suposiciones y valores fijos que involucra el ALE, el ROSI total obtenido guarda un margen importante de incertidumbre que dificulta el análisis y la aprobación de un proyecto de esta naturaleza.

P: ¿Qué hacer entonces?
R: Una forma adecuada de producir estimados cuantitativos razonables consiste en aplicar probabilidades y estadística más la simulación Monte Carlo. Esta simulación es un método de producir múltiples muestras de los resultados a partir de números generados aleatoria e independientemente una y otra vez, que se aplican en cada caso a las variables de entrada en base a la distribución estadística que las caracterice.

P: ¿Cómo se aplica en este caso la simulación Monte Carlo?
R: Primero se establecen los tipos de distribución estadística de ambas variables, generalmente una distribución triangular para los impactos y una uniforme para las frecuencias de ocurrencia.
Además, en lugar de fijar una serie de valores discretos para las variables, se establecen rangos cada uno con su mínimo y máximo, así como adicionalmente el valor más probable para la distribución triangular.
La simulación Monte Carlo, por su parte, trabajará dentro de los rangos de cada variable de entrada así como con la distribución estadística correspondiente.
Los resultados se presentan como un histograma de las distribuciones de frecuencias de probabilidades para los diferentes rangos de la variable de salida, así como las frecuencias acumuladas correspondientes. Al finalizar el proceso se podría decir, por ejemplo, que con un alto porcentaje de certidumbre el valor de las salvaguardas estará entre un mínimo y máximo aceptablemente acotados.
Finalmente, como ya se dijo, el retorno será igual a la diferencia de dicho valor y el costo de las salvaguardas, mientras que ROSI se determina dividiendo dicho retorno por el costo de las mismas.

Además de este material y para conocer más de esta problemática, consulte el Abstract correspondiente en la sección de Artículos preparada por el Ing. Carlos Ormella Meyer. Conozca también detalles del curso sobre ROSI, el ROI de la Seguridad de la Información.

CONTINUIDAD DE NEGOCIOS © 2011

P: ¿Qué es la Continuidad de Negocios?
R: La Continuidad de Negocios, BC, es el proceso que involucra las actividades críticas que se requieren para asegurar que una organización pueda sobrevivir a un incidente que provoque una interrupción de los procesos normales de negocios.

P: ¿Cuáles son estas actividades?
R: Estas actividades resultan en primer lugar de identificar los procedimientos que sostengan las operaciones esenciales de negocios mientras se recupera de una interrupción. Esto requiere realizar un análisis de impacto en los negocios de dichas interrupciones.

P: ¿En qué consiste dicho análisis de impacto?
R: El Análisis de Impacto en los Negocios, BIA, es el medio de valuar sistemáticamente los impactos potenciales que resulten de diferentes tipos de interrupciones provocados por desastres naturales como inundaciones e incendios, daños accidentales como fallas de suministro eléctrico, aire acondicionado, etc., así como también ataques intencionados como robos, vandalismo, etc.

P: ¿Y a partir de esos impactos, cómo se plantea la problemática de la Continuidad de Negocios?
R: Por medio de un Plan de Continuidad de Negocios, BCP, teniendo en cuenta que el desafío clave en su preparación no es la tecnología que sustenta las operaciones de una empresa, sino todos los aspectos de negocios y las estrategias correspondientes que hacen al cumplimiento de sus objetivos. En realidad el BCP se encuadra dentro de un marco mayor dado por la Gestión de Continuidad de Negocios, BCM.

P: ¿Cómo está constituido el BCM?
R: El BCM es un proceso de gestión holístico que identifica los impactos potenciales que amenazan a una empresa y que provee un marco de trabajo para una mayor resiliencia con capacidad de respuestas efectivas que salvaguarden los intereses de los accionistas, reputación, marca y actividades que crean valor.

P: ¿Y cómo se logra todo eso?
R: En primer lugar el BCM hoy día está normado por la BS 25999 que tiene dos partes. La BS 25999-1 es un Código de Prácticas que recomienda el proceso a seguir para una adecuada gestión de la continuidad de negocios. La BS 25999-2, por su parte, especifica las actividades necesarias para satisfacer los objetivos de negocios en el contexto de dicha gestión.

P: ¿En qué consiste el proceso al que se refiere la BS 25999-1?
R: La BS 25999-1 identifica siete elementos en el ciclo de vida BCM: Política del BCM, Gestión del Programa, Reconocimiento de la organización, Estrategias, Respuesta, Ejercitación y mantenimiento, y Embebido del BCM en la cultura corporativa. En la sección de Reconocimiento aparece el BIA, mientras que en la de Respuestas uno de los planes de gestión es el BCP (junto con otros planes como los de tratamiento de incidentes y recuperación). Además, la BS 25999-1 introduce en el proceso de Reconocimiento la Valuación de Riesgos frente a los incidentes que puedan provocar la interrupción de las actividades de una organización.

P: ¿Y en cuanto a la BS 25999-2?
R: La BS 25999-2 establece cómo construir y operar un Sistema de Gestión de Continuidad de Negocios, SGCN, bajo el modelo PDCA de mejora continua, común a otras normas como la ISO 9001 de Calidad, ISO 14001 de Medio Ambiente y la ISO 27001 de Seguridad de la Información. El SGCN es entonces auditable y certificable, de manera similar a las otras normas mencionadas.

P: Lo de valuación de riesgos de la BS 25999-1 y la mención de la ISO 27001 parecen asociar la Continuidad de Negocios con la Seguridad de la Información.
R: Efectivamente, hay una relación en una serie de temas ya que algunas interrupciones en los procesos de negocios se pueden deber a problemas de seguridad. Puesto que la valuación de riesgos mencionada conduce al establecimiento de controles preventivos para mitigar tales riesgos y en definitiva la gestión de los mismos, tenemos una problemática similar debida a posibles ataques y daños en el contexto de seguridad, dentro del espectro más amplio de riesgos que maneja la BS 25999.
.
© 2011 - Carlos Ormella Meyer

Para conocer más de esta problemática, puede contactarse con LAN & WAN, incluso para recabar servicios de asesoría y consultoría por parte del Ing. Carlos Ormella Meyer.
FIRMA DIGITAL Y FACTURA ELECTRONICA © 2009
Además de este material y para conocer más de esta problemática, conozca detalles del curso sobre Firma Digital y Factura Electrónica.

P: ¿Qué es la Firma Digital?
R: La Firma Digital es un pequeño archivo electrónico cuyo contenido depende de dos factores: del firmante o emisor de un documento o mensaje, y del texto del mismo. La Firma Digital no incluye dicho texto aunque generalmente viene anexada al documento o mensaje.

P: ¿Pero entonces, una persona no tiene su propia Firma Digital?
R: Exactamente, no la tiene. Es que a diferencia de una firma manuscrita, la Firma Digital no puede verse en realidad como propiedad de una persona. Efectivamente, la misma persona firmando digitalmente diferentes documentos dará lugar a sendas Firmas Digitales todas diferentes.

P: ¿Hay alguna otra diferencia con respecto a la firma manuscrita?
R: Es similar en otras características aunque con mayores precisiones. La Firma Digital cumple dos funciones. Una es autenticar la identidad del autor del documento o mensaje. La otra función es proveer un mecanismo para verificar la integridad de dicho documento, es decir, que no haya sido modificado en lo más mínimo. La Firma Digital se basa en los Certificados Digitales que se emiten a partir de un sistema de criptografía de dos claves -pública y privada- para cada usuario, de modo que cuando se encripta con una de ellas sólo se puede desencriptar con la otra clave.

P: ¿Qué es el Certificado Digital?
R: El Certificado Digital es un pequeño archivo electrónico emitido por una organización de certificación al efecto. Un Certificado Digital sí pertenece a un determinado usuario, incluyendo algunos datos identificatorios del mismo, así como su clave pública que será usada por otros usuarios para los intercambios de información encriptada. La clave privada que “hace juego” con la clave pública queda siempre bajo el control y uso por parte del usuario propietario del Certificado Digital.

P: ¿La Firma Digital produce documentos confidenciales ya que usa encripción?
R: No, la Firma Digital no proporciona privacidad o confidencialidad en los documentos o mensajes firmados digitalmente. Si dichos documentos o mensajes deben guardar privacidad deberán ser sujetos a un proceso de encriptado adicional al proceso básico de la Firma Digital.

P: ¿Qué es la Factura Electrónica?
R: Físicamente la Factura Electrónica es un archivo electrónico que contiene todos los datos de una factura tradicional firmados digitalmente en su conjunto por la organización que lo emite. Al estar controlada por la autoridad tributaria de un país, es suficiente desde el punto de vista del control impositivo, con lo que no se requieren copias impresas en papel.

P: ¿Qué posibilidades ofrece la Factura Electrónica?
R: Con la factura electrónica se gana agilidad y flexibilidad, facilidad en su localización así como reducción de costos, incluso de almacenamiento. Además, con el mismo soporte de la Firma Digital, se puede trabajar no sólo con facturas sino con una cantidad de papeles de negocio (órdenes de compra, notas de entrega o remitos, notas de pago, etc.) involucrados en las transacciones comerciales tipo B2B y B2C de comercio electrónico.

P: ¿Cómo se manejan todas esas transacciones?
R: Hay diferentes aproximaciones de e-commerce desde sistemas legados EDI, pasando por las versiones EDI por Internet hasta el más promisorio y económico ebXML basado en el lenguaje XML.

Además de este material y para conocer más de esta problemática, conozca detalles del curso sobre Firma Digital y Factura Electrónica.

SEGURIDAD DE VOZ Y DATOS EN WLANs © 2009
Además de este material y para conocer más de esta problemática, conozca detalles del curso sobre WLANs, Seguridad de Voz y Datos.

P: ¿Por qué es tan importante la seguridad en una LAN Inalámbrica?
R: Por el carácter del medio usado, es decir la transmisión de señales de radio. Esto es muy diferente a un sistema cableado donde podría decirse que los datos atraviesan exclusivamente un cable en todo caso de extremo a extremo, más allá de los cuales ya no hay datos que se puedan recuperar. En una transmisión por radio, en cambio, las señales se van amortiguando progresivamente con la distancia pero no desaparecen bruscamente a partir de cierto punto. Esta situación facilita la captación indebida de señales más allá del ambiente de trabajo aunque en su cercanía.

P: ¿Qué tipos de ataques son más frecuentes en una LAN Inalámbrica?
R: En una LAN Inalámbrica o WLAN, los ataques pueden ser activos y pasivos. Los pasivos generalmente ocurren bajo la forma de escucha furtiva es una forma del clásico sniffing de las redes cableadas. Los ataques activos generalmente son de tres tipos diferentes: falsificación de identidad de un usuario legítimo, modificación de mensajes, y negación de servicios o DoS. Una forma combinada de estos ataques es el envenamiento del Caché ARP por el cual el atacante intercepta e incluso puede alterar los mensajes entre usuarios legítimos.

P: ¿Cuál es la solución para estos escenarios?
R: Las WLANs también conocidas como Wi-FI, incluyen el protocolo WEP para la autenticación y encripción de datos. Pero el WEP tiene varias limitaciones en cuanto a seguridad. Además, no viene habilitado por default, por lo que muchas instalaciones inadvertidamente trabajan con mensajes en claro.

P: ¿Cómo se enfrentan las limitaciones del WEP?
R: En este caso hay que considerar dos áreas básicamente separadas: autenticación de los usuarios que se comunican y encripción de la información que se transmite.

P: ¿Cómo se resuelven las cuestiones de autenticación?
R: Se pueden usar algunas extensiones dentro de un mecanismo de transporte normalizado por el protocolo EAP, e incluso mejorar sustancialmente el sistema con un servidor de autenticación bajo el esquema del protocolo 802.1x. Este protocolo mantiene desconectada la conexión a un puerto de la LAN cableada hasta que se conforme la autenticación.

P: ¿Y en cuanto a los problemas de encripción del WEP?
R: Hay dos maneras. Una, de carácter temporal, consiste en el agregado al WEP original de una actualización por software con un protocolo mejorado llamado TKIP. La otra manera es por medio de la eliminación total del WEP y la introducción de un sistema más confiable basado en el nuevo protocolo AES, sucesor del DES. En este caso se requieren características especiales en el hardware, algo que no soportan todas las tarjetas actuales, por lo que se requiere su cambio.

P: ¿Cuál es la problemática de seguridad en el manejo de la voz en una WLAN?
R: La transmisión de la voz a través de una red Wi-Fi deriva del sistema de VoIP por redes cableadas. En estos casos, la forma original de transmitir voz consiste en paquetes RTP para poder manejar en tiempo real la voz en claro digitalizada. El protocolo SRTP es la versión segura del RTP que incorpora confidencialidad encriptando el campo de voz del paquete, así como un mecanismo para comprobar la integridad del mensaje, es decir que no haya sido alterado en lo más mínimo.

Además de este material y para conocer más de esta problemática, conozca detalles del curso sobre WLANs, Seguridad de Voz y Datos.
Comparación Características: SARBANES-OXLEY vs. TURNBULL © 2009
CaracterísticasSarbanes-Oxley (SOX)Turnbull Report/Implementing Turnbull
Controles InternosSólo FinancierosFinancieros, Operacionales y de Cumplimiento
Gestión de RiesgoNo, sólo aplicando ERM/COSOSi, y además, con prioridades
MaduraciónEs de 2002. Se promulgó un poco de apuro por los escándalos de Enron y WorldCom. Resulta difícil y costosa de llevar a la práctica (ver Implementación). Es de 1999 pero detrás hay casi 10 años de estudios, ya que responde al Código Combinado (1998) y una serie de reportes anteriores asociados con escándalos financieros similares a los de USA, pero que ocurrieron en Inglaterra a fines de los 80.
ImplementaciónComplicada. La SEC viene haciendo aclaraciones y concesiones.Tradicional, con las complejidades que puede tener la operatoria de una empresa. La SEC aceptó aplicar Turnbull para dar cumplimiento a la Sección 404 (a) de Sarbanes-Oxley.
Mantenimiento del cumplimientoSin metodología especial. Simplemente repetible con cada ejercicio. El sistema de gestión de riesgos de negocios de Turnbull, sigue el ciclo PDCA de mejoramiento continuo. Esto produce sinergia con el sistema de gestión de riesgos de seguridad de la información (ISO 27001), y de aquí un alineamiento con otros sistemas de gestión: calidad (ISO 9001), ambiental (ISO 14001) e Higiene y Seguridad Ocupacional (OHSAS 18001).
Visión pública externaSi una empresa quiebra fraudulentamente sólo gana el estado con las multas a los responsables. Cuida al inversor, a los accionistas de cualquier nivel incluso a los que cotizan en bolsa. Los controles operacionales permiten visualizar el comportamiento de una empresa antes que pueda irse a la quiebra. Esto es útil no sólo para los shareholders sino para el resto de los stakeholders (uno de los Principios OECD del Corporate Governance).
Menciones de la palabra “risk”556/367
Menciones de “risk management”1, pero hablando de los recursos de la SEC.6/107
Menciones de la palabra “security”29 veces pero con el significado dado a la palabra en la sección 3a) de la ley Securities Exchange de 1934.1/1
Menciones de “information security”NingunaNinguna/Ninguna
Ante la falta de referencias específicas ¿por qué se implica a la Seguridad de la Información?Porque aunque los funcionarios responsables no “dibujen” los números financieros, en algunos casos para no ser multados y/o ir presos, podría pasar que “alguien” (empleado hostil, hacker) modificara información electrónica que llevara a presentar resultados no reales, con lo cual igualmente los directivos serían multados y/o irían presos. Esta posibilidad es la que obliga a buscar un nivel adecuado de seguridad de la información. Porque en los riesgos operacionales siempre están presentes los riesgos de seguridad de la información, sobre todo en un banco donde prácticamente todas las transacciones son electrónicas. Además, la confiabilidad es básicamente lo opuesto a la presencia de los riesgos operacionales. Y a mayor seguridad, mayor confiabilidad.

BANCOS, BASILEA II Y RIESGOS OPERACIONALES © 2009

P: ¿Qué es Basilea II?
R: El nuevo Acuerdo de Capitales Basilea II (Basel II Capital Accord) es un conjunto de directivas para establecer los requisitos del capital de reserva mínimo para las organizaciones bancarias. Fue preparado por el Comité Basilea en Supervisión Bancaria -un grupo de bancos centrales y autoridades de supervisión de los países del G10- que ya había desarrollado la primera versión en 1988.

P: ¿En qué difieren estas versiones?
R: Originalmente las reservas de capital por parte de los bancos sólo se calculaban en base a los riesgos crediticios y los riesgos de mercado. Basel II requiere, además, que los bancos realicen una valuación en profundidad de los riesgos operacionales.

P: ¿Qué son los Riesgos Operacionales y en qué consiste su valuación?
R: En el contexto de Basilea II los riesgos operacionales son los riesgos de pérdidas debidos a procesos, personal y sistemas internos inadecuados o defectuosos, así como eventos externos. Su valuación se apoya en las “Sound Practices” del Banco Internacional de Pagos (BIS), que incluyen 10 Principios para una adecuada Gestión y Supervisión de los Riesgos Operacionales.

P: ¿En qué consiste dicha gestión de riesgos operacionales?
R: Basel II implica en primer lugar identificar las áreas de negocios donde los tipos de eventos mencionados puedan afectar y dañar las funcionalidades operacionales de las mismas. Determinados los riesgos correspondientes, corresponde establecer la mejor manera de tratar los mismos y obtener beneficios para la institución dentro del marco de Basilea II.

P: ¿Cuáles son concretamente los beneficios que se pueden obtener?
R: El cálculo del Capital Regulador –es decir inmovilizado para hacer frente a las contingencias consideradas por Basilea II- incluye, además de las previsiones por riesgos crediticios y de mercado, las propias por Riesgos Operacionales. Entonces, si se reducen dichos riesgos también lo serán esas previsiones, con beneficios tales como poder realizar inversiones lucrativas sin aumentar los recursos propios. En cambio, de no aplicar una gestión adecuada, probablemente el banco tendría que reducir sus inversiones o bien aumentar su capital para poder mantener la conformidad con Basilea II.

P: ¿Y cómo se reducen los riesgos operacionales?
R: En la práctica todo lo relacionado con seguridad está presente en el concepto de riesgos operacionales. Cuanto más madura una organización, tanto más importante es la contribución de la seguridad de la información en la confiabilidad total, y confiabilidad es justamente la inversa del riesgo operacional. Todo esto es consistente con la implementación de las mejores prácticas de una estrategia de seguridad de la información, lo cual de hecho está en la misma esencia de la seguridad holística tal como la trata la ISO 27002 (anteriormente 17799) complementada por la ISO 27001.

P: ¿Cómo se relacionan estas normas de seguridad de la información con el tratamiento de los riesgos operacionales?
R: Una parte importante de los Principios de los riesgos operacionales de Basel II pueden satisfacerse por medio de un mapeado a los controles de la ISO 27002 para su implementación conforme con la ISO 27001. Esta norma, incluso, satisface los requerimientos más amplios del Corporate Governance y los Principios de la OECD, así como las Guías de Seguridad de la Información de esta organización.

Todos los cursos relacionados con estas Preguntas y Respuestas pueden ser organizados por empresas de eventos o bien dados in company.
Para mayor información:


Home Cursos Artículos Resúmenes Documentación