Ser Compliance... o pagar más caro
Cuando pensar en el cumplimiento nos ahorra dolores de cabeza, y dinero.
Como siempre, aplicar actividades de aseguramiento en cada uno de nuestros proyectos nos permite alcanzar los objetivos de calidad y cumplimiento esperado por las Organizaciones.
Cada vez que desde las áreas de negocio se buscan o se presentan nuevas oportunidades comerciales hay otros costos asociados a su factibilidad que normalmente no son tenidos en cuenta por quienes deciden llevar adelante este análisis, y habitualmente esto sucede por no convocar adecuadamente a quienes pueden colaborar con su aporte a que el nuevo proyecto no solo sea exitoso sino que no tenga costos ocultos a futuro que afecten al negocio.
Los nuevos proyectos que requieren de la tecnología como servicio son aquellos que están más fácilmente a merced de los errores de “visión” dependiendo del perfil de quién los lidere y de quienes compongan el equipo de proyecto, ya que para satisfacer las necesidades del negocio desde las áreas tecnológicas surgen diversas "ideas" que la impulsan en una forma cada vez más abrupta a brindar soluciones que aporten mayor velocidad de respuesta en el tratamiento de los datos y mayor disponibilidad de los mismos. Y tener las respuestas y la información en todo momento y al alcance de las manos tiene sus costos asociados... y sus riesgos.
¿Cuál es el cuidado entonces y porque estamos llegando a esto? Tanto desde el negocio como desde las áreas tecnológicas no necesariamente cuando piensan en recibir y brindar “servicio” entienden que el mismo debe llevar una parte de aseguramiento. El objetivo principal buscado es “información disponible y de rápido procesamiento”, dos pautas que atentan drásticamente contra la confidencialidad y la integridad de los datos que tratamos, que como sabemos no solo son del negocio sino que en su gran mayoría nos los confían... Como es el caso de los datos personales, tarjetas de crédito/débito, bancarios o salud.
¿Cuántas veces nos preguntamos de que depende el éxito? ¿Hacemos una lista de componentes necesarios para el éxito de cada proyecto del negocio, en base al tratamiento de la información? El aseguramiento de los procesos de tratamiento de los datos en cada proyecto ¿Está incluido como un factor necesario para el éxito?
Para desarrollar este concepto pensemos en un proyecto que lleve adelante nuestra empresa, como por ejemplo el de transferencia de dinero el cual para llevarse adelante necesita de los siguientes componentes:
Hardware y Software que conforman la infraestructura aplicativa
El software aplicativo
Telecomunicaciones
Proveedor de servicios financieros y comunicación para la transferencia de dinero
Datos personales, bancarios y financieros de los clientes
Primeramente, y teniendo en cuenta el tipo de datos a tratar y que formaran parte del proceso de negocio, es conveniente consultar con el sector legal como abordar lo referente a la contratación de o los proveedores ya que se debe tener en cuenta que la responsabilidad y control por sobre el tratamiento de datos no es delegable.
Con esto nos referimos a que si bien el ingreso de datos se realiza a través de sistemas informáticos de nuestra empresa, al intervenir un tercero en el proceso es importante saber que el tercerizar parte de la gestión requiere implementar tareas de control y monitorización del servicio contratado, por ello debe invertirse en controles ya que nuestra empresa es responsable por los datos, y debe velar por ellos durante todo el proceso del servicio ofrecido a sus Clientes.
A este respecto, tengamos en cuenta que diferentes leyes que regulan el tratamiento de datos determinan que las personas naturales y las personas jurídicas tales como las emisoras y operadoras de tarjetas de crédito; las empresas de transferencia y transporte de valores y dinero están obligadas a informar sobre los actos, transacciones u operaciones sospechosas que adviertan en el ejercicio de sus actividades; esto determina que también somos responsables del tratamiento de datos cuando contrate servicios en los que comparte información personal con terceros (filiatoria y sensible) y por ello deberá velar porque el proveedor de servicios cumpla las regulaciones que le apliquen a nuestra empresa, por ejemplo SOx, la legislación de protección de datos personales (Ley de Habeas Data) de nuestro país o región y transacción con tarjetas de pago (PCI).
Teniendo en cuenta los aspectos legales, y yendo a los más técnicos de nuestro proyecto, debemos componer una guía que nos permita definir la infraestructura y su configuración adecuada para de esta forma dimensionar convenientemente no solo el costo sino los pasos de control y revisión sobre el proyecto. Esta guía debe contemplar la asociación entre las necesidades de cumplimento y la respuesta técnica aplicada a dar soporte tecnológico al proceso de negocio, contemplando entre otros estos puntos principales:
En todos los casos, y sobre todo si hacen falta también los datos de tarjeta, debe revisarse que el sistema esté preparado para disociar la información del tarjeta-habiente así como el número PAN
Los datos del cliente requeridos para registrar la operación de la transacción de envíos, de acuerdo a lo especificado por las diferentes leyes de lavado de dinero para la obligación de crear y mantener registros de las operaciones.
De igual forma, contemplar las variantes de datos a ingresar según el monto de las operaciones
Contemplar los plazos mínimos de guarda de los registros de las operaciones y su integridad, los que pueden ser requeridos por las unidades de análisis financiero
Entonces se deben asumir también como riesgos del negocio aquellos que estén asociados a un impacto en la integridad y confidencialidad de los datos, la imagen de nuestra empresa y factibles de penalidades regulatorias como por ejemplo:
Exposición de la confidencialidad de la información por falta de disociación de datos o fuga de información
Error en la integridad de la información por fallas en la conversión de datos al interfasearlos con los aplicativos del Proveedor
Error en la integridad de la información por fallas en la operación del Proveedor
Falla en la generación o imposibilidad de recuperar registros requeridos por el marco regulatorio
Mayores costos por el rediseño del proceso, del software desarrollado, dimensionamiento deficiente del hardware, horas hombre adicionales y aplicación productiva fuera de línea.
Visto de esta forma, y considerando algunos de los requisitos legales y regulatorios, incluyo algunos de los puntos a tener en cuenta en la planificación del proyecto para evitar desvíos, demoras o mayores costos en una etapa posterior, o sea cuando nuestra aplicación ya esté en producción y el proceso en plena actividad:
Resguardar y asegurar todos los registros obtenidos de aquellos equipos donde se procese información regulatoria
Los sistemas que integren el proceso deben ser periódicamente auditados para asegurar la conformidad con los procedimientos y políticas de nuestra empresa.
El acceso a los sistemas que contengan datos confidenciales, debe ser adecuadamente asignado a aquellos perfiles que por sus funciones los requieran, y debidamente protegido según nuestras normas.
Los terceros deben notificarnos de todos los cambios de personal que este afectado a nuestro servicio.
Los controles de confidencialidad, integridad y disponibilidad serán específicamente definidos en contratos con terceros. Los controles abarcarán todos los riesgos de protección de información lógica, personal y física apropiados, basada en los niveles de riesgo que establezcamos. Además los controles considerarán todos los requisitos regulatorios e imperantes establecidos por la ley.
Los acuerdos contractuales deben concedernos el derecho de auditar los sistemas relevantes de terceros y/o los terceros se comprometerán a tener auditorías periódicas e independientes, cuyo resultado tendremos el derecho a revisar.
Se deben firmar convenios de confidencialidad con terceros con los que se intercambie información.
Las terceras partes deben cumplir con lo dispuesto por nuestra política y normas para la destrucción y disposición final de la información
Contar con documentación respaldatoria de los sistemas de comunicaciones con proveedores críticos donde se transfiera información sensible del negocio.
Aprobar toda nueva conexión previamente a integrarse en el ambiente productivo
Las conexiones con terceros debe restringirse a los equipos centrales de proceso, aplicaciones y archivos específicos
El acceso de cualquier dispositivo o sistema a nuestra red debe cumplir previamente con nuestro estándar de configuración de seguridad y se debe verificar su cumplimiento periódicamente.
Debido a ello debe tenerse en cuenta la aplicación de lo expresado en la representación gráfica.
La infraestructura tecnológica que brinda soporte y servicio al proceso de negocio debe estar diseñada para asegurar el cumplimiento de los siguientes puntos esenciales:
Régimen de los datos. Desarrollar un entorno de confidencialidad que asegure lo no disposición de los datos ni hacer uso de los mismos para ningún fin que no esté expresamente asociado al servicio que se preste y, en caso que se trate de datos personales, con el consentimiento del titular de los datos.
Cumplimiento de legislación de protección de datos. Asegurar que la operación del servicio cumpla con todos los aspectos relacionados con la retención información, registros de auditoría y destrucción de información de acuerdo a la jurisdicción aplicable al territorio en el que se localizan los centros de procesamiento de datos.
Seguridad en el acceso. Garantizar que la información solo será accesible por personal autorizado de nuestra empresa, y a quien nosotros determinemos con los perfiles de acceso correspondientes.
Integridad y conservación. Disponer de los mecanismos de recuperación ante desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información.
Disponibilidad. Garantizar una elevada disponibilidad del servicio, así como comprometerse a organizar las paradas programadas para mantenimiento con la suficiente antelación.
Portabilidad y eliminación de los datos. Establecer los mecanismos y procesos necesarios para la eliminación de los datos a la terminación del servicio, obligación tanto propia como de los terceros contratados.
RECOMENDACIONES ADICIONALES
Desarrollar una matriz de control para realizar seguimiento de las actividades de responsabilidad compartida entre el proveedor y nuestra empresa
Asegurar la intervención interdisciplinaria de diferentes sectores de la Organización para todos los proyectos (Legales, Tecnología, Seguridad Informática, Desarrollo, Facilities, etc.)
Ejecutar los controles y gestión de riesgos en forma continua
Mitigar los riesgos a través de contratos y SLAs orientados a los Controles y Gestión de Riesgo
Si decide derivar la operación o parte de ella en un proveedor, robustecer la seguridad en base a sus capacidades, y así reducir la carga de cumplimiento al compartirla con el proveedor
Ser “Compliance” entonces requiere de un amplio conocimiento que solo conseguiremos integrando un equipo de trabajo con las diferentes “visiones” de nuestra empresa, que con su experiencia aportarán una mejor gestión de los proyectos basados en el cumplimiento, mayor rentabilidad en las soluciones tecnológicas aplicadas al negocio y asegurar también un servicio de calidad.
Fabián Descalzo
Certificado en Dirección de Seguridad de la Información (Universidad CAECE)
Analista de Seguridad Informática - Auditoria y Control de Información
ITIL V3 Certified - ISO 20000 Internal Audit Certified