top of page

Seguridad y Compliance sobre Sitios WEB

Adicionalmente a las necesidades de cumplimiento regulatorio, también hay una necesidad directamente relacionada con la operación y administración de los sistemas, esto se traduce en que debemos asegurar tanto la infraestructura de IT como el software de aplicación para que puedan ser administrados en forma apropiada.




Infografía de identificación de necesidades de control en servicios WEB (Aplicación, Infraestructura, Gobierno, Riesgo y Cumplimiento). Principales componentes : • Ambiente de datos e información (Color celeste) • Desarrollo, Administración y Operación del Front-end (Color rojo) • Arquitectura, Administración y Operación del Back-end (Color violeta) • Administración del Riesgo, Control operativo y Control regulatorio (Color naranja)


Esto sucede en cualquier ambiente, inclusive en aquellos asociados a los servicios web. En alguna oportunidad mencioné los 4 dominios claramente identificados sobre los cuales debemos invertir nuestros recursos: Gobierno + Gestión de Riesgos + Educación + Cumplimiento. En la medida en que utilicemos más servicios tercerizados para el alojamiento de datos, arrendamiento de infraestructura IT o software (IaaS, SaaS) o involucremos mayor cantidad de herramientas mobile a nuestra Organización para el tratamiento de los mismos, mayor es la necesidad en implementar controles.


Esto quiere decir que, para el caso de servicios Cloud o Hosting por ejemplo, cualquier requisito relacionado con el marco de protección establecido por diferentes normativas y regulaciones conlleva a la necesidad de visualizar en donde debemos aplicar cada uno de los 4 dominios que nos ayudaran a controlar el servicio, donde podemos identificar principalmente que el GOBIERNO debe ser compartido al igual que el CUMPLIMIENTO para todos los componentes.


De igual forma, y como ya está aplicándose en la mayoría de las Organizaciones, los sectores de Seguridad Informática o Seguridad de la Información, imparten el marco normativo y estándares de configuración de seguridad que las áreas de soporte tecnológico implementan en los diferentes equipos mobile.


Por ello, ya se trate de un proveedor interno como de un proveedor externo, vamos a poder ver como parte de la Gestión Operativa de componentes y servicios de tratamiento de información va a ir migrando en su mayoría hacia una Gestión de Control.


Cuando nos proponen establecer controles debemos poder entender que no necesariamente deben cambiar los procesos, pero lo que si puede cambiar es la forma de registrarlos. Esto ayuda a poder identificar los puntos de control sin necesidad de cambiar un proceso, evitando entorpecer la operatoria general causando pérdida de tiempo.

Lo que este modelo nos permite es establecer una diferencia entre Seguridad y Aseguramiento, cuyas definiciones son:

  • Seguridad. Conjunto de medidas y acciones que se aceptan para proteger los datos contra determinados riesgos a que está expuesto.

  • Aseguramiento. Establecer las medidas necesarias para que los datos sean procesados en forma segura y accedidos por las personas necesarias, se conviertan en información útil para el Negocio y su transformación se realice bajo métodos de control y registración que aseguren su Confidencialidad, Integridad y Disponibilidad.

Espero les sea de utilidad,

Abrazo, Fabián


Sobre Fabián

ISACA Member ID: 319287 - Posee 28 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio.

Docente del módulo 27001 de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del ITBA; Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Arg, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro.

Miembro del Comité Directivo para Qatalys Global, Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Comité Organizador ADACSI/ISACA. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.

CERTIFICACIONES:

  • COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)

  • Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)

  • ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)

  • Dirección de seguridad de la información (Universidad CAECE)

  • ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)

  • ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)

  • Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)

  • Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)

Más de Fabián en la WEB

http://fabiandescalzo.wix.com/seguridadinformacion

https://www.linkedin.com/in/fabiandescalzo

http://www.slideshare.net/fabiandescalzo

https://twitter.com/fabiandescalzo

Sigueme
  • Etiqueta de Twitter
  • LinkedIn Sticker
bottom of page