Revista LAN & WAN - Redes de computadores, networking y telecomunicaciones, LAN, WAN. Seguridad de la Información, auditoría y certificación. Cursos y seminarios, consultoría.

REVISTA LAN & WAN LAN & WAN® ha sido el medio de información, formación y orientación para especialistas y directivos en las más nuevas tecnologías de redes, telecomunicaciones, seguridad y auditoría de la información, y su holística con los negocios.

CURSOS Y SEMINARIOS

PREGUNTAS Y RESPUESTAS

• ISO 17799

• Continuidad de Negocios

• Bancos, Basilea II y Riesgos Operacionales

• Sarbanes-Oxley y Seguridad de la Información

• ROSI, Retorno Sobre la Inversión de Seguridad

• Protección de Datos Personales

• Firma Digital y Factura Electrónica

• Seguridad de Voz y Datos en WLANs

• Riesgos y Sistemas de Gestión

• Sarbanes-Oxley vs. Turnbull

• Redes Inalámbricas

SERVICIOS DE CONSULTORIA

CURSOS Y SEMINARIOS A cargo del Ing. Carlos Ormella Meyer
• Estos cursos pueden ser organizados por empresas y también dados in-company en los países de habla hispana.
• El detalle de estos cursos puede consultarse en la sección TEMARIOS así como solicitar mayor información a CURSOS.

• SARBANES-OXLEY y SEGURIDAD DE LA INFORMACION – Taller de Iniciación. ¡Nuevo y Unico! Riesgos y controles de seguridad para dar conformidad a la Sección 404 de la ley Sarbanes-Oxley: 27 de Septiembre de 2007, Usuaria

• CONTINUIDAD DE NEGOCIOS – Taller de Iniciación. ¡Nuevo y Unico! Pasos y detalles de un Plan de Continuidad y planes asociados: 6 de Septiembre de 2007, Usuaria

• VPNs, Redes Privadas Virtuales: ¡Actualizado! 29 y 30 de Agosto de 2007, Usuaria

• WLANs, Seguridad de Voz y Datos. ¡Especial!: 16 de Agosto de 2007, Usuaria

• VOZ SOBRE IP EN REDES CABLEADAS E INALMABRICAS – Taller de Factibilidad. ¡Nuevo y Unico! Sistemas, calidad de servicio y seguridad: 18 y 19 de Julio de 2007, Usuaria

• FIRMA DIGITAL Y FACTURA ELECTRONICA. ¡Actualizado! Con revisión de los sistemas de e-commerce: 12 de Julio de 2007, Usuaria

• GESTION Y AUDITORIA DE SEGURIDAD DE LA INFORMACION – Taller de evaluación de riesgos y controles. ¡Nuevo y Unico! Cómo se implementan prácticamente las normas de Seguridad en base a una experiencia real: 27 y 28 de Junio de 2007, Usuaria

• CONTINUIDAD DE NEGOCIOS – Taller de Iniciación. ¡Nuevo y Unico! Pasos y detalles de un Plan de Continuidad y planes asociados. Caracas, Venezuela: 15 de Junio de 2007

• GESTION Y AUDITORIA DE SEGURIDAD DE LA INFORMACION – Taller de evaluación de riesgos y controles. ¡Nuevo y Unico! Cómo se implementan prácticamente las normas de Seguridad. Caracas, Venezuela: 12 y 13 de Junio de 2007

• ROSI, EL ROI DE LA SEGURIDAD EMPRESARIAL. ¡Nuevo y Unico! Cómo justificar prácticamente un proyecto de Seguridad con práctica de valuación de riesgos y simulación Monte Carlo: 16 de Mayo de 2007, Usuaria

• Medidas de Seguridad para cumplir con la Disposición No. 11/2006 de Protección de Datos Personales: Charla de Introducción: 12 de Diciembre de 2006, Usuaria

• SARBANES-OXLEY y SEGURIDAD DE LA INFORMACION – Taller de Iniciación. ¡Nuevo y Unico! Riesgos y controles de seguridad para dar conformidad a la Sección 404 de la ley Sarbanes-Oxley: 06 de Diciembre de 2006, Usuaria

• SARBANES-OXLEY y SEGURIDAD DE LA INFORMACION – Taller de Iniciación. ¡Nuevo y Unico! Riesgos y controles de seguridad para dar conformidad a la Sección 404 de la ley Sarbanes-Oxley: 19 de Octubre de 2006, Usuaria

• De las Estrategias Corporativas a la seguridad de la información - Escenarios de aplicaciones de seguridad. Charla con acceso libre y sin cargo, previa inscripción, organizada por el Departamento de Ingeniería en Sistemas de la Información de la UTN, Regional Rosario: 12 de Octubre de 2006, 19 horas, Extensión Universitaria

• CONTINUIDAD DE NEGOCIOS – Taller de Iniciación. ¡Nuevo y Unico! Pasos y detalles de un Plan de Continuidad y planes asociados: 5 de Octubre de 2006, Usuaria

• ROSI, EL ROI DE LA SEGURIDAD EMPRESARIAL. ¡Nuevo y Unico! Cómo justificar prácticamente un proyecto de Seguridad con práctica de valuación de riesgos y simulación Monte Carlo: 21 de Septiembre de 2006, Usuaria

• GESTION Y AUDITORIA DE SEGURIDAD DE LA INFORMACION – Taller de evaluación de riesgos y controles. ¡Nuevo y Unico! Cómo se implementan prácticamente las normas de Seguridad en base a una experiencia real: 13 y 14 de Septiembre de 2006, Usuaria

• ESTRATEGIAS CORPORATIVAS y SEGURIDAD DE LA INFORMACION, en el ámbito del Congreso Usuaria 2006: 16 de Agosto de 2006, Congreso Usuaria 2006.

• GESTION Y AUDITORIA DE SEGURIDAD DE LA INFORMACION – Taller de evaluación de riesgos y controles. ¡Nuevo y Unico! Cómo se implementan prácticamente las normas de Seguridad. Caracas, Venezuela: 26 y 27 de Junio de 2006

• WLANs, Seguridad de Voz y Datos. ¡Especial!: 8 de Junio de 2006, Usuaria

• FIRMA DIGITAL Y FACTURA ELECTRONICA. ¡Actualizado! Con revisión de los sistemas de e-commerce: 11 de Mayo de 2006, Usuaria

• ROSI, El ROI de la Seguridad de la Información. Charla de introducción con acceso libre y sin cargo, previa inscripción, organizada por la carrera de Ingeniería de Comunicaciones de la Universidad Argentina de la Empresa: 11 de abril de 2006, 17 horas, UADE

• GESTION Y AUDITORIA DE SEGURIDAD DE LA INFORMACION – Taller de evaluación de riesgos y controles. ¡Nuevo y Unico! Cómo se implementan prácticamente las normas de Seguridad: 05 y 06 de Abril de 2006, Usuaria

• ROSI, EL ROI DE LA SEGURIDAD EMPRESARIAL: ¡Nuevo y Unico! Cómo justificar prácticamente un proyecto de Seguridad con práctica de valuación de riesgos y simulación Monte Carlo: 30 de Marzo de 2006, Usuaria

•ROSI, Retorno Sobre la Inversión de Seguridad, en el ámbito del Segundo Congreso Argentino de Seguridad de la Información: 15 de Marzo de 2006, Segurinfo 2006. Esta presentación puede bajarse dando click al título.

• ROSI, EL ROI DE LA SEGURIDAD EMPRESARIAL: ¡Nuevo y Unico! Cómo justificar prácticamente un proyecto de Seguridad con práctica de valuación de riesgos y simulación Monte Carlo: 14 de Diciembre de 2005, Usuaria

• FIRMA DIGITAL Y FACTURA ELECTRONICA ¡Actualizado! Con revisión de los sistemas de e-commerce: 01 de Diciembre de 2005, Usuaria

• FIRMA DIGITAL Y FACTURA ELECTRONICA ¡Actualizado! Con revisión de los sistemas de e-commerce: Córdoba: 25 de Noviembre de 2005.

• ROSI, El ROI de la Seguridad de la Información: Desayuno de trabajo en Caracas, Venezuela

• GESTION Y AUDITORIA DE SEGURIDAD DE LA INFORMACION – Taller de evaluación de riesgos y controles. ¡Nuevo y Unico! Cómo se implementan prácticamente las normas de Seguridad. Caracas, Venezuela: 25 y 26 de Octubre de 2005

• ROSI, El ROI de la Seguridad de la Información: Desayuno de trabajo en la Universidad de Lima, Perú: 22 de Octubre de 2005

• GESTION Y AUDITORIA DE SEGURIDAD DE LA INFORMACION – Taller de evaluación de riesgos y controles. ¡Nuevo y Unico! Cómo se implementan prácticamente las normas de Seguridad. Lima, Perú: 20, 21 y 22 de Octubre de 2005

• ROSI, El ROI de la Seguridad de la Información: Desayuno de trabajo en Lima, Perú: 20 de Octubre de 2005

• FIRMA Y FACTURA DIGITAL: ¡NUEVO! Rosario: 13 de Octubre de 2005

• SEGURIDAD EN WLANs, LANs Inalámbricas: SIMTEL 2005, UADE: 4 de Octubre de 2005, Simtel 2005

• GESTION Y AUDITORIA DE SEGURIDAD DE LA INFORMACION: ¡NUEVO Y UNICO! Auditoría y Workshop de aplicación de las normas: 24 y 25 de Agosto de 2005, Usuaria

• WLANs, LANs INALAMBRICAS: ¡ESPECIAL!: 11 de Agosto de 2005, Usuaria

• SEGURIDAD EN REDES INTERNET ¡RENOVADO! Con revisión de las Tops 20 vulnerabilidades de Windows y Unix/Linux, y verificación de vulnerabilidades críticas: 3 y 4 de Agosto de 2005, Usuaria

• GESTION DE SEGURIDAD DE LA INFORMACION: ¡NUEVO Y UNICO! Auditoría y Workshop de aplicación de las normas, Rosario: 22 y 23 de Junio de 2005

• GESTION DE SEGURIDAD DE LA INFORMACION, Norma ISO 17799 – Una Experiencia de Implementación, , Rosario: 12 de Mayo de 2005.

• VPNs, Redes Privadas Virtuales: 4 y 5 de Mayo de 2005, Usuaria

• AUDITORIA DE SEGURIDAD DE LA INFORMACION: ¡NUEVO! Completamente renovado, actualizado con la nueva BS 7799-2:2002, implementación certificable de la guía de buenas prácticas de seguridad ISO 17799: 21 de Abril de 2005, Usuaria

• GESTION DE SEGURIDAD DE LA INFORMACION, ISO 17799 – Una Experiencia de Implementación, en el ámbito del Primer Congreso Argentino de Seguridad de la Información: 15 de Marzo de 2005, Segurinfo 2005. Esta presentación puede bajarse dando click al título.

• WLANs, LANs Inalámbricas: - ¡Especial!: 24 de Febrero de 2005, Usuaria

• Seguridad en Redes Internet - Renovado con revisión de las Tops 20 vulnerabilidades de Windows y Unix/Linux, y verificación de vulnerabilidades críticas: 24 y 25 de Noviembre de 2004, Usuaria
• Auditoría de Seguridad Informática - ¡Nuevo!: Completamente renovado, actualizado con la nueva BS 7799-2:2002, implementación certificable de la guía de buenas prácticas de seguridad ISO 17799: 21 de Octubre de 2004, Usuaria
• Wireless para Informáticos: - ¡Nuevo!: 7 de Octubre de 2004, Usuaria
• VPNs, Redes Privadas Virtuales: 22 y 23 de Septiembre de 2004, Usuaria
• Wireless para Informáticos: - ¡Nuevo!: 18 de Septiembre de 2004, Instituto IDEC, Cipolletti, Río Negro
• Seguridad en Redes Informáticas: 7 y 8 de Septiembre de 2004, Axis Group
• Redes Wireless y Celulares: - ¡Nuevo!: 26 de Agosto de 2004, Axis Group
• Firma Digital y Sistemas de Certificados Digitales: 19 de Agosto de 2004, Usuaria
• VPNs, Redes Privadas Virtuales: 11 y 12 de Agosto de 2004, Usuaria
• Seguridad en Redes Internet - Ampliado con escaneado y demostración: 14 y 15 de Julio de 2004, Usuaria
• Wireless para Informáticos: - ¡Nuevo!: 7 de Julio de 2004, Usuaria
• Auditoría de Seguridad Informática - ¡Nuevo!: Completamente renovado, actualizado con la nueva BS 7799-2:2002, implementación certificable de la guía de buenas prácticas de seguridad ISO 17799: 1 de Julio de 2004, Usuaria
• Fundamentos de Seguridad Informática: 22 de Abril de 2004, Axis Group
• Wireless para Informáticos: - ¡Nuevo!: 15 de Abril de 2004, Usuaria
• Auditoría de Seguridad Informática - ¡Nuevo!: Completamente renovado, actualizado con la nueva BS 7799-2:2002, implementación certificable de la guía de buenas prácticas de seguridad ISO 17799: 31 de Marzo de 2004, Usuaria
• Firma Digital y Sistemas de Certificados Digitales: 25 de Marzo de 2004, Usuaria
• Riesgos y Sistemas de Gestión Corporativos: 23 de Marzo de 2004, Axis Group

• Seguridad en Redes Informáticas: 10 y 11 de Diciembre de 2003, Axis Group
• Riesgos y Sistemas de Gestión Corporativos: 27 de Noviembre de 2003, Axis Group
• VoIP - Telefonía IP: 19 de Noviembre de 2003, Usuaria
• Introducción a las Telecomunicaciones: 5 y 6 de Noviembre de 2003, Usuaria
• Seguridad en Redes Internet - Ampliado con escaneado y demostración: 8 y 9 de Octubre de 2003, Usuaria
• Firma Digital y Sistemas de Certificados Digitales: 27 de Agosto de 2003, Usuaria
• VPNs, Redes Privadas Virtuales: 13 y 14 de Agosto de 2003, Usuaria
• Auditoría de Seguridad Informática - Completamente renovado, actualizado con la nueva BS 7799-2:2002. Aunque la ISO 17799 no es certificable en forma separada, se trata de conocer con qué normas y herramientas se puede complementar esta guía de buenas prácticas: 25 de Junio de 2003, Usuaria
• Fundamentos de Seguridad en Redes e Internet: 4 de Junio de 2003, Usuaria
• Riesgos y Sistemas de Gestión Corporativos: - La Ley Sarbanes-Oxley y el Reporte Turnbull, sinergias de la gestión de riesgos de negocios y de seguridad informática, armonización con las ISO 9001 y 14001: 28 de Mayo de 2003, Usuaria

Listado de Cursos y Seminarios
• ¡Nuevo y Unico, con Taller de valuación de riesgos y controles!: Gestión de Seguridad de la Información
• ¡Nuevo y Unico: Cómo justificar prácticamente un proyecto de Seguridad!: ROSI, El ROI de la Seguridad de la Información
• ¡Actualizado!: Firma Digital y Factura Electrónica
• ¡Especial!: WLANs, Seguridad de Voz y Datos
• ¡Renovado con revisión de las Tops 20 vulnerabilidades de Windows y Unix/Linux, y verificación de vulnerabilidades críticas!: Seguridad en Redes Internet
• VPNs, Redes Privadas Virtuales
• ¡Nuevo!: Riesgos y Sistemas de Gestión Corporativos
• WLANs, LANs Inalámbricas
• Actualizado con la nueva BS 7799-2:2002!: Auditoría de Seguridad de la Información
• ¡Nuevo!: Fundamentos de Seguridad en Redes e Internet
• ¡Nuevo!: Wireless para Informáticos
• Introducción a las Telecomunicaciones
• ¡Nuevo!: Redes de Comunicaciones para No Informáticos
• VoIP - Telefonía IP
• Tecnologías de Banda Ancha para Acceso a Internet
• Hacia la 3G de Móviles
• La Evolución hacia el IPv6
• WANs - Redes de Amplio Alcance
• LANs - Conceptos Básicos de Redes Locales

• Estos cursos pueden ser organizados por empresas y también dados in-company en Argentina y otros países de habla hispana.
• Se puede consultar el detalle del material que contienen todos estos cursos en TEMARIOS así como solicitar mayor información a CURSOS.

PREGUNTAS Y RESPUESTAS
Preguntas y Respuestas: ISO 17799 © 2006 Además de este material y para conocer más de esta problemática, pida sin cargo a LAN & WAN la nota actualizada Gestión y Auditoría de Seguridad de la Información, preparada por el Ing. Carlos Ormella Meyer. Conozca también detalles del seminario sobre este tema.

P: ¿Qué es la ISO 17799?
R: La ISO 17799 es una guía de buenas prácticas de seguridad de la información que presenta una extensa serie de controles de seguridad. Es la única norma que no sólo cubre la problemática de la seguridad IT sino que hace una aproximación holística a la seguridad de la información corporativa, abarcando todas las funcionalidades de una organización en cuanto a la seguridad de la información que maneja. Este concepto marca la diferencia con el de seguridad informática que, en la práctica, se vino convirtiendo en equivalente de seguridad de sistemas IT, mientras que la norma considera también los riesgos organizacionales, operacionales y físicos de una empresa, con todo lo que esto implica.

P: ¿Es certificable la ISO 17799?
R: Definitivamente no. La ISO 17799 sólo hace recomendaciones sobre el uso de 133 controles de seguridad diferentes aplicados en 11 áreas de control. No establece requisitos cuyo cumplimiento pudiere certificarse.

P: ¿Por qué hay confusión en el tema de la certificación?
R: En gran parte se debe a los errores de traducción de la norma. El original en inglés de la ISO 17799 usa la expresión verbal “should”, un término presente en normas ISO y también del IETF y del IEEE, que por convención expresa una forma condicional a modo de recomendación y no de imposición, lo que hace precisamente que no sea certificable.

P: Si la ISO 17799 no es certificable, ¿cuál es su utilidad?
R: La ISO 17799 ofrece el detalle de los controles de seguridad recomendados y que en la práctica se seleccionan en base a una valuación de riesgos. La ISO 17799 es prácticamente igual a la Primera Parte de la norma BS 7799, o sea la BS 7799-1. Esta norma británica tiene una Segunda Parte, BS 7799-2, que usa la expresión verbal “shall”, otro término habitual en normas como las mencionadas antes, en este caso para expresar mandato u obligación, lo que permite su auditoría y certificación. Y justamente a fines de 2005 se liberó la ISO 27001, tomada en su mayor parte de la BS 7799-2.

P: ¿Pero entonces, hay que trabajar con las dos normas al mismo tiempo?
R: Efectivamente. La ISO 27001 muestra cómo aplicar los controles seleccionados de la ISO 17799, estableciendo los requisitos para construir un Sistema de Gestión de Seguridad de la Información (SGSI, o ISMS por sus siglas en inglés) que efectivamente se puede auditar y certificar.
Mientras varios miles de empresas en todo el mundo están en proceso de certificación, actualmente bajo la ISO 27001, a fines de Noviembre de 2006 ya se habían otorgado en total más de 3100 certificaciones correspondientes a organizaciones de 68 países diferentes.

P: ¿Además de su capacidad de ser certificable, qué otras características tiene la ISO 27001?
R: El SGSI de la ISO 27001 responde a la aplicación del ciclo Deming o modelo PDCA (Plan-Do-Check-Act) de mejora continua también presente en otras normas. La aplicación del proceso PDCA en el SGSI conforma el paradigma de gestión de riesgos que guía la estrategia del Corporate Governance, incluyendo la gestión de riesgos de negocios.
Además, bajo el esquema común del modelo PDCA, la ISO 27001 también ofrece un interesante alineamiento con otras normas también de sistemas de gestión, como la ISO 9001 de Calidad y la ISO 14001 de Medio Ambiente, con el consiguiente beneficio de reducción de esfuerzos y costos en una implementación semiintegrada.
Así las cosas, el cumplimiento de esta norma constituye el aseguramiento idóneo para:
• Las empresas que buscan una posición con ventaja competitiva en el mercado y/o realizan operaciones de e-commerce B2B.
• Los bancos que necesitan reducir el peso de los riesgos operacionales que introduce el Nuevo Acuerdo de Capitales Basilea II, limitando así las mayores exigencias de capital para sus operaciones.
• Las empresas que cotizan en la bolsa de New York al proporcionarles el soporte adecuado para la seguridad de la información que requiere la aplicación de la ley Sarbanes-Oxley.

P: ¿Cuál es el proceso de implementación de la norma ISO 27001?
R: A muy grandes rasgos se arranca con la determinación del Alcance del proyecto (si es completo, o un servicio, o un área, etc.) y una Política General. Una valuación de riesgos –cuya metodología no establece la ISO 27001- y una auditoría basada en un análisis gap contra los controles de la norma ISO 17799, permiten establecer los controles que deben implementarse. En algunos casos el cumplimiento de dichos controles, y la correspondiente reducción de los respectivos riesgos, se logra por medio de normas de aplicación, procedimientos y pautas. Los puntos más críticos, en cambio, requieren mitigantes de mayor fortaleza bajo la forma de contramedidas o salvaguardas especiales. El tratamiento dado a los controles queda estipulado en una Declaración de Aplicabilidad, SoA, que se anexa junto con el Alcance a la certificación posterior.

P: ¿La ISO 17799 ahora se llama ISO 27002?
R: La ISO 17799 será oficialmente llamada ISO 27002 en abril de 2007, pero mientras tanto es probable que se produzcan cambios con respecto a la versión actual que es de 2005.

P: ¿Y cómo es el tema de la nueva serie ISO 27000?
R: Con la nueva serie ISO 27000 se busca dar un carácter autoconsistente e integral al conjunto de normas de seguridad de la información. De esta serie oficialmente ya se mencionan seis normas, y se puede decir que está encabezada por la ISO 27001 que, como se dijo, es la que estipula los requisitos del sistema de gestión de seguridad de la información. Tres de las nuevas normas se perfilan de gran trascendencia.
La ISO 27005, actualmente en draft, se refiere a la valuación y gestión de riesgos. Está basada en parte de la ISO 13335, aunque es probable que también tome algunos temas de la nueva norma británica BS 7799-3 publicada en marzo de 2006.
La ISO 27003, también en preparación, estipulará las métricas y mediciones para la gestión de seguridad.
La ISO 27006, anunciada a mediados de 2006, establece los requerimientos, que podrían certificarse, para los proveedores de sitios y servicios de recuperación de desastres.

Además de este material y para conocer más de esta problemática, pida sin cargo a LAN & WAN la nota actualizada Gestión y Auditoría de Seguridad de la Información, preparada por el Ing. Carlos Ormella Meyer. Conozca también detalles del seminario sobre este tema.

Preguntas y Respuestas: Protección de Datos Personales © 2006 Para conocer más de esta problemática, puede contactarse con LAN & WAN, incluso para recabar servicios de asesoría y consultoría por parte del Ing. Carlos Ormella Meyer.

P: ¿Qué regulaciones existen en Argentina respecto a la Protección de Datos Personales?
R: Los requisitos básicos se encuentran en la Ley No. 25.326 sancionada el 4 de Octubre de 2000 y que fuera reglamentada por el Decreto 1.558/2001. Esta ley tiene similitudes a otras de diferentes países.

P: ¿A qué se refieren los requisitos impuestos por dicha ley?
R: La ley define la formación y tratamiento de las bases de datos personales, estableciendo la obligatoriedad de su inscripción con fecha de vencimiento al 31 de marzo de 2006.

P: ¿Qué implica dicho tratamiento de las bases de datos?
R: Básicamente hay que establecer medidas de seguridad para dar cumplimiento a los términos de la ley. Dicha protección acaba de ser normada por medio de la Disposición No. 11/2006 de la Dirección Nacional de Protección de Datos Personales.

P: ¿Qué establece dicha Disposición?
R: En primer lugar se establecen tres niveles: BASICO, MEDIO y CRITICO, en función del tipo de datos personales de las bases de datos en cuestión, donde el concepto de base de datos se extiende también a archivos y registros, incluso no informatizados. Luego detalla las medidas de seguridad correspondientes para cada nivel.

P: ¿Cuál es la relación entre niveles y tipos de datos personales?
R: El nivel Básico se aplica a las bases de datos personales en general que manejen empresas públicas y privadas; es el que más se extiende a una gran cantidad de empresas.
El nivel Medio corresponde a las empresas privadas de servicios públicos, así como también a las entidades públicas/privadas que deban guardan secreto por otras disposiciones regulatorias, como es el caso de los bancos y entidades financieras.
Finalmente el nivel Crítico se refiere a las organizaciones cuyas bases de datos guarden datos sensibles como los de salud, afiliación sindical, convicciones religiosas, opiniones políticas, etc.

P: ¿Y en cuanto a las medidas de seguridad de cada nivel?
R: Para cada nivel se ha establecido una serie de medidas de seguridad tomando como base las del nivel Básico, ya que dichas medidas son acumulativas. De esta manera, para el nivel Medio hay que satisfacer todas las medidas del nivel Básico más otras específicas del nivel Medio. Lo mismo ocurre con el nivel Crítico respecto del nivel Medio. Para cada nivel se establecieron diferentes plazos para su cumplimiento.

P: ¿Cuáles son los plazos en cuestión?
R: La disposición establece los plazos para implementar las medidas de seguridad y preparar el correspondiente Documento de Seguridad de Datos Personales, como soporte del cumplimiento de la Disposición. Dichos plazos, tomados a partir del 22 de Septiembre de 2006, son de uno, dos y tres años para los niveles Básico, Medio y Crítico respectivamente.

P: ¿Cómo se implementan las medidas de seguridad?
R: Las medidas de seguridad establecidas por la Disposición son totalmente mapeables a los controles de las normas de seguridad ISO 27002 (anteriormente 17799) y la ISO 27001. Una de las medidas del nivel Básico, por ejemplo, se refiere al Control de Acceso de usuarios. Este requisito se mapea en cuatro controles que detalla la ISO 17799 y que se implementan luego bajo los términos de la ISO 27001. De hecho todo un proyecto de protección de datos personales puede tomarse como un proyecto de seguridad bajo dichas normas, de modo tal que el Alcance que pide la ISO 27001 se refiera al cumplimiento de la Ley y Disposición comentadas.

Para conocer más de esta problemática, puede contactarse con LAN & WAN, incluso para recabar servicios de asesoría y consultoría por parte del Ing. Carlos Ormella Meyer.

Preguntas y Respuestas: Sarbanes-Oxley y Seguridad de la Información © 2006 Además de este material y para conocer más de esta problemática, pida sin cargo a LAN & WAN la nota Sarbanes-Oxley y Seguridad de la Información, preparada por el Ing. Carlos Ormella Meyer. Conozca también detalles del seminario sobre este tema.

P: ¿A qué se refiere la Ley Sarbanes-Oxley?
R: Sarbanes-Oxley (SOX) es una ley americana que busca evitar los escándalos financieros y quiebras producidos a principios de la década. Alcanza en principio a todas las empresas que cotizan en la bolsa. Pero de hecho se extiende a las oficinas que puedan tener en el exterior, así como a las empresas que se encuentren en la cadena de valor, especialmente las que le provean servicios de outsourcing.

P: ¿Cuáles son los aspectos más trascendentes de esta ley?
R: Aunque varias secciones de la ley se destacan por su importancia e implicancias, la más mencionada es la Sección 404, Valuación Gerencial de los Controles Internos referidos a los reportes financieros. Esta sección tiene dos partes: (a) y (b). En la primera, se establece la responsabilidad por parte de la gerencia del establecimiento y mantenimiento de un sistema adecuado de controles internos, que debe ser valuado al fin de cada año fiscal en cuanto a su efectividad. La segunda parte indica que una auditoría externa debe testimoniar e informar la exactitud de la valuación anterior.

P: ¿Cómo se cumple con los requisitos de la Sección 404?
R: En primer lugar tenemos la SEC, es decir la Comisión Nacional de Valores americana, que ha emitido las Reglas Finales 33-8238 que, entre otras cosas, regula la implementación de la Sección 404 (a). Además, está la PCAOB (Supervisión de la Contabilidad de las Compañías Cotizantes), creada por la ley y que depende de la SEC. La PCAOB ha emitido la Norma de Auditoría No. 2 (AS 2) que básicamente regula el reporte realizado por los auditores externos bajo las disposiciones de la Sección 404 (b).

P: ¿Y qué son y cómo se tratan los controles internos?
R: Los controles internos, como concepto general, son los métodos y procedimientos que se usan para salvaguardar los activos, y asegurar que los mismos se usen conforme los objetivos de la empresa. Los controles internos se establecen en base a una valuación y gestión de riesgo de las operaciones comerciales. En el caso de Sarbanes-Oxley, los controles internos son los procesos para un aseguramiento razonable de la confiabilidad de los reportes financieros.

P: ¿Qué relación tiene la Seguridad de la Información con Sarbanes-Oxley?
R: En general el aspecto de seguridad ha sido visto más dentro de un esquema, incompleto, de sistemas IT. En realidad, la ISO 17799 es un compendio de controles de buenas prácticas no limitado a las cuestiones técnicas, sino con alcance plenamente corporativo. Además, si bien esta norma se ha vuelto una suerte de metáfora de la Seguridad de la Información, debe considerarse junto con la ISO 27001 que establece los requisitos y condiciones de implementación del sistema de gestión correspondiente.

P: ¿Cuáles serían concretamente dichas implicancias?
R: En primer lugar, la Sección 404 (a) se mapea en dos capítulos de la ISO 27001 referidos a la revisión y responsabilidad gerencial. Además, los controles generales tradicionales de un sistema de control interno se mapean en seis de las once áreas que trata la ISO 17799. Por otra parte, la ISO 27001 es el mecanismo más idóneo para auditar la seguridad de los proveedores de servicios.

P: ¿Cómo se definiría en definitiva el soporte de las normas de seguridad a la ley Sarbanes-Oxley?
R: El proceso de selección de controles de seguridad implica un análisis gap respecto de una valuación de riesgos de seguridad que enfoca principalmente los aspectos de confidencialidad, integridad, disponibilidad y confiabilidad necesarios para asegurar la exactitud de los reportes financieros que pide esta ley. Este aspecto, así como el mapeado referido antes, dan a Sarbanes-Oxley un soporte completo en cuanto a seguridad de la información, encuadrado en el paradigma del Corporate Governance.

Además de este material y para conocer más de esta problemática, pida sin cargo a LAN & WAN la nota Sarbanes-Oxley y Seguridad de la Información, preparada por el Ing. Carlos Ormella Meyer. Conozca también detalles del seminario sobre este tema.

Preguntas y Respuestas: ROSI, Retorno Sobre la Inversión de Seguridad © 2006 Además de este material y para conocer más de esta problemática, pida sin cargo a LAN & WAN la nota ROSI, El ROI de la Seguridad, preparada por el Ing. Carlos Ormella Meyer. Conozca también detalles del seminario sobre este tema.

P: ¿Qué es ROSI?
R: ROSI es el Retorno Sobre la Inversión de Seguridad, derivado del conocido indicador financiero ROI, Retorno Sobre la Inversión.

P: ¿Entonces puede decirse que ROSI es un ROI especializado?
R: Efectivamente. ROSI busca justificar la inversión en seguridad de la información en términos monetarios. Para ello se tiene presente que los efectos de una implementación de seguridad en general no surgen en forma directa como beneficios económicos para una empresa, sino en todo caso como una reducción en las pérdidas que producen incidentes de seguridad como ataques, fallas o errores. ROSI puede tomarse como el componente financiero del caso de negocio de un proyecto de seguridad, con lo cual es más simple “llegar” a niveles de decisión gerenciales no precisamente técnicos.

P: ¿Cómo se maneja ROSI?
R: El esquema de trabajo de ROSI parte de considerar que cada incidente produce pérdidas que se pueden estimar. Para ello se hacen cálculos del escenario original frente a cada incidente, y del que resultaría de aplicar salvaguardas o contramedidas para mitigarlo adecuadamente. La diferencia entre ambos resultados es el valor o beneficio de dichas salvaguardas. Entonces ROSI (análogamente al ROI) es igual a la relación entre el retorno y el costo de las contramedidas (la inversión en el ROI). El retorno -o ganancia incremental- resulta ser el valor (beneficio en el ROI) menos el costo de dichas contramedidas. Un ROSI aceptable debe ser positivo, lo que resulta cuando el valor es mayor que el costo.

P: ¿Cómo se calculan las pérdidas por ataques o fallas?
R: Generalmente se trabaja con la métrica de gestión de riesgos conocida como ALE. Para ello se estiman los valores probables del impacto monetario y de la frecuencia anual de ocurrencia para cada tipo de incidente, de modo tal que el producto de ambas variables resulta ser el ALE correspondiente.
Este modelo se aplica al estado de seguridad original sin tratar y al tratado con salvaguardas adecuadas, para determinar así lo que permiten ahorrar dichas salvaguardas, o sea el valor de las mismas.
Debido a las suposiciones y valores fijos que involucra el ALE, el ROSI total obtenido guarda un margen importante de incertidumbre que dificulta el análisis y la aprobación de un proyecto de esta naturaleza.

P: ¿Qué hacer entonces?
R: Una forma adecuada de producir estimados cuantitativos razonables consiste en aplicar probabilidades y estadística más la simulación Monte Carlo. Esta simulación es un método de producir múltiples muestras de los resultados a partir de números generados aleatoria e independientemente una y otra vez, que se aplican en cada caso a las variables de entrada en base a la distribución estadística que las caracterice.

P: ¿Cómo se aplica en este caso la simulación Monte Carlo?
R: Primero se establecen los tipos de distribución estadística de ambas variables, generalmente una distribución triangular para los impactos y una uniforme para las frecuencias de ocurrencia.
Además, en lugar de fijar una serie de valores discretos para las variables, se establecen rangos cada uno con su mínimo y máximo, así como adicionalmente el valor más probable para la distribución triangular.
La simulación Monte Carlo, por su parte, trabajará dentro de los rangos de cada variable de entrada así como con la distribución estadística correspondiente.
Los resultados se presentan como un histograma de las distribuciones de frecuencias de probabilidades para los diferentes rangos de la variable de salida, así como las frecuencias acumuladas correspondientes. Al finalizar el proceso se podría decir, por ejemplo, que con un alto porcentaje de certidumbre el valor de las salvaguardas estará entre un mínimo y máximo aceptablemente acotados.
Finalmente, como ya se dijo, el retorno será igual a la diferencia de dicho valor y el costo de las salvaguardas, mientras que ROSI se determina dividiendo dicho retorno por el costo de las mismas.

Además de este material y para conocer más de esta problemática, pida sin cargo a LAN & WAN la nota ROSI, El ROI de la Seguridad, preparada por el Ing. Carlos Ormella Meyer. Conozca también detalles del seminario sobre este tema.

Preguntas y Respuestas: CONTINUIDAD DE NEGOCIOS © 2006 Además de este material y para conocer más de esta problemática, pida sin cargo a LAN & WAN la nota Continuidad de Negocios, preparada por el Ing. Carlos Ormella Meyer.

P: ¿Qué es la Continuidad de Negocios?
R: La Continuidad de Negocios, BC, es el proceso que involucra las actividades que se requieren para asegurar que una organización pueda sobrevivir a un incidente que provoque una interrupción de los procesos normales de negocios.

P: ¿Cuáles son estas actividades?
R: Estas actividades resultan en primer lugar de identificar los procedimientos que sostengan las operaciones esenciales de negocios mientras se recupera de una interrupción. Esto requiere realizar un análisis de impacto en los negocios de dichas interrupciones.

P: ¿En qué consiste dicho análisis de impacto?
R: El Análisis de Impacto en los Negocios, BIA, es el medio de valuar sistemáticamente los impactos potenciales que resulten de diferentes incidentes o desastres.

P: ¿Y a partir de esos impactos, cómo se plantea la problemática de la Continuidad de Negocios?
R: Por medio de un Plan de Continuidad de Negocios, BCP, teniendo en cuenta que el desafío clave en su preparación no es la tecnología que sustenta las operaciones de una empresa, sino todos los aspectos de negocios y las estrategias correspondientes que hacen al cumplimiento de sus objetivos.
Estas estrategias se refieren a la Prevención, Respuestas a Incidentes, Reanudación de los procesos críticos de negocios incluso en un sitio alternativo, y Restauración/Reconstitución de las actividades normales.

P: ¿Y cómo se desarrolla un Plan de Continuidad de Negocios?
R: A partir del BIA se realiza una valuación de riesgos de los diferentes procesos o funciones. En algunos casos se podrán identificar controles preventivos para mitigar tales riesgos de modo que, análisis de costo/beneficio mediante, sean preferibles a acciones posteriores de recuperación luego de interrupciones. En este punto, la norma ISO 17799 y su complemento de implementación BS 7799-2 (hoy ISO 27001) constituyen la herramienta idónea para considerar los riesgos de seguridad y los mitigantes para reducir los impactos determinados con el BIA del BCP.
Para los procesos o funciones mitigados o no, se establece su gestión, documentando las estrategias y procedimientos para mantener, reanudar y recuperar las funciones y procesos críticos de negocios con las correspondientes y necesarias prioridades.
Finalmente se establece un sistema de pruebas y actualización del BCP.

P: ¿Hay alguna otra relación entre un BCP y la norma de seguridad ISO 17799, además del tratamiento de riesgos de seguridad y sus mitigantes?
R: La ISO 17799 no sólo es útil para dicho tratamiento, sino que además tiene un capítulo específico para la propia Gestión de Continuidad de Negocios, en el que establece la inclusión de la seguridad de la información en el proceso de continuidad de negocios, el plan mismo o proceso de desarrollo, y los criterios unificados para la estructura del BCP y la de los demás planes que lo componen.

P: ¿Cuáles son esos otros planes?
R: Además del BCP propiamente dicho, algunos documentos adicionales son:
• Plan de Recuperación de Desastres (DRP).
• Plan de Reanudación/Recuperación de Negocios (BRP).
• Planes de Contingencia, aplicables generalmente a los sistemas IT involucrados.

Además de este material y para conocer más de esta problemática, pida sin cargo a LAN & WAN la nota Continuidad de Negocios, preparada por el Ing. Carlos Ormella Meyer.

Preguntas y Respuestas: FIRMA DIGITAL Y FACTURA ELECTRONICA © 2006 Además de este material y para conocer más de esta problemática, pida sin cargo a LAN & WAN la nota Firma Digital y Factura Electrónica, preparada por el Ing. Carlos Ormella Meyer. Conozca también detalles del seminario sobre este tema.

P: ¿Qué es la Firma Digital?
R: La Firma Digital es un pequeño archivo electrónico cuyo contenido depende de dos factores: del firmante o emisor de un documento o mensaje, y del texto del mismo. La Firma Digital no incluye dicho texto aunque generalmente viene anexada al documento o mensaje.

P: ¿Pero entonces, una persona no tiene su propia Firma Digital?
R: Exactamente, no la tiene. Es que a diferencia de una firma manuscrita, la Firma Digital no puede verse en realidad como propiedad de una persona. Efectivamente, la misma persona firmando digitalmente diferentes documentos dará lugar a sendas Firmas Digitales todas diferentes.

P: ¿Hay alguna otra diferencia con respecto a la firma manuscrita?
R: Es similar en otras características aunque con mayores precisiones. La Firma Digital cumple dos funciones. Una es autenticar la identidad del autor del documento o mensaje. La otra función es proveer un mecanismo para verificar la integridad de dicho documento, es decir, que no haya sido modificado en lo más mínimo. La Firma Digital se basa en los Certificados Digitales que se emiten a partir de un sistema de criptografía de dos claves -pública y privada- para cada usuario, de modo que cuando se encripta con una de ellas sólo se puede desencriptar con la otra clave.

P: ¿Qué es el Certificado Digital?
R: El Certificado Digital es un pequeño archivo electrónico emitido por una organización de certificación al efecto. Un Certificado Digital sí pertenece a un determinado usuario, incluyendo algunos datos identificatorios del mismo, así como su clave pública que será usada por otros usuarios para los intercambios de información encriptada. La clave privada que “hace juego” con la clave pública queda siempre bajo el control y uso por parte del usuario propietario del Certificado Digital.

P: ¿La Firma Digital produce documentos confidenciales ya que usa encripción?
R: No, la Firma Digital no proporciona privacidad o confidencialidad en los documentos o mensajes firmados digitalmente. Si dichos documentos o mensajes deben guardar privacidad deberán ser sujetos a un proceso de encriptado adicional al proceso básico de la Firma Digital.

P: ¿Qué es la Factura Electrónica?
R: Físicamente la Factura Electrónica es un archivo electrónico que contiene todos los datos de una factura tradicional firmados digitalmente en su conjunto por la organización que lo emite. Al estar controlada por la autoridad tributaria de un país, es suficiente desde el punto de vista del control impositivo, con lo que no se requieren copias impresas en papel.

P: ¿Qué posibilidades ofrece la Factura Electrónica?
R: Con la factura electrónica se gana agilidad y flexibilidad, facilidad en su localización así como reducción de costos, incluso de almacenamiento. Además, con el mismo soporte de la Firma Digital, se puede trabajar no sólo con facturas sino con una cantidad de papeles de negocio (órdenes de compra, notas de entrega o remitos, notas de pago, etc.) involucrados en las transacciones comerciales tipo B2B y B2C de comercio electrónico.

P: ¿Cómo se manejan todas esas transacciones?
R: Hay diferentes aproximaciones de e-commerce desde sistemas legados EDI, pasando por las versiones EDI por Internet hasta el más promisorio y económico ebXML basado en el lenguaje XML.

Además de este material y para conocer más de esta problemática, pida sin cargo a LAN & WAN la nota Firma Digital y Factura Electrónica, preparada por el Ing. Carlos Ormella Meyer. Conozca también detalles del seminario sobre este tema.

Preguntas y Respuestas: SEGURIDAD DE VOZ Y DATOS EN WLANs © 2006 Además de este material y para conocer más de esta problemática, pida sin cargo a LAN & WAN la nota Seguridad de Voz y Datos en WLANs, preparada por el Ing. Carlos Ormella Meyer. Conozca también detalles del seminario sobre este tema.

P: ¿Por qué es tan importante la seguridad en una LAN Inalámbrica?
R: Por el carácter del medio usado, es decir la transmisión de señales de radio. Esto es muy diferente a un sistema cableado donde podría decirse que los datos atraviesan exclusivamente un cable en todo caso de extremo a extremo, más allá de los cuales ya no hay datos que se puedan recuperar. En una transmisión por radio, en cambio, las señales se van amortiguando progresivamente con la distancia pero no desaparecen bruscamente a partir de cierto punto. Esta situación facilita la captación indebida de señales más allá del ambiente de trabajo aunque en su cercanía.

P: ¿Qué tipos de ataques son más frecuentes en una LAN Inalámbrica?
R: En una LAN Inalámbrica o WLAN, los ataques pueden ser activos y pasivos. Los pasivos generalmente ocurren bajo la forma de escucha furtiva es una forma del clásico sniffing de las redes cableadas. Los ataques activos generalmente son de tres tipos diferentes: falsificación de identidad de un usuario legítimo, modificación de mensajes, y negación de servicios o DoS. Una forma combinada de estos ataques es el envenamiento del Caché ARP por el cual el atacante intercepta e incluso puede alterar los mensajes entre usuarios legítimos.

P: ¿Cuál es la solución para estos escenarios?
R: Las WLANs también conocidas como Wi-FI, incluyen el protocolo WEP para la autenticación y encripción de datos. Pero el WEP tiene varias limitaciones en cuanto a seguridad. Además, no viene habilitado por default, por lo que muchas instalaciones inadvertidamente trabajan con mensajes en claro.

P: ¿Cómo se enfrentan las limitaciones del WEP?
R: En este caso hay que considerar dos áreas básicamente separadas: autenticación de los usuarios que se comunican y encripción de la información que se transmite.

P: ¿Cómo se resuelven las cuestiones de autenticación?
R: Se pueden usar algunas extensiones dentro de un mecanismo de transporte normalizado por el protocolo EAP, e incluso mejorar sustancialmente el sistema con un servidor de autenticación bajo el esquema del protocolo 802.1x. Este protocolo mantiene desconectada la conexión a un puerto de la LAN cableada hasta que se conforme la autenticación.

P: ¿Y en cuanto a los problemas de encripción del WEP?
R: Hay dos maneras. Una, de carácter temporal, consiste en el agregado al WEP original de una actualización por software con un protocolo mejorado llamado TKIP. La otra manera es por medio de la eliminación total del WEP y la introducción de un sistema más confiable basado en el nuevo protocolo AES, sucesor del DES. En este caso se requieren características especiales en el hardware, algo que no soportan todas las tarjetas actuales, por lo que se requiere su cambio.

P: ¿Cuál es la problemática de seguridad en el manejo de la voz en una WLAN?
R: La transmisión de la voz a través de una red Wi-Fi deriva del sistema de VoIP por redes cableadas. En estos casos, la forma original de transmitir voz consiste en paquetes RTP para poder manejar en tiempo real la voz en claro digitalizada. El protocolo SRTP es la versión segura del RTP que incorpora confidencialidad encriptando el campo de voz del paquete, así como un mecanismo para comprobar la integridad del mensaje, es decir que no haya sido alterado en lo más mínimo.

Además de este material y para conocer más de esta problemática, pida sin cargo a LAN & WAN la nota Seguridad de Voz y Datos en WLANs, preparada por el Ing. Carlos Ormella Meyer. Conozca también detalles del seminario sobre este tema.

Preguntas y Respuestas: RIESGOS Y SISTEMAS DE GESTION © 2006 Además de este material y para conocer más de esta problemática, pida sin cargo a LAN & WAN la nota Riesgos y Sistemas de Gestión Corporativos, preparada por el Ing. Carlos Ormella Meyer. Conozca también detalles del seminario sobre este tema.

P: ¿Cuál es la relación entre los riesgos y los sistemas de gestión de una empresa?
R: En el manejo de cualquier sistema de gestión hay factores de riesgo que pueden afectarlo y que, por lo tanto, hay que controlarlos para salvaguardar inversiones y activos. Un sistema de controles internos se debe basar en una valuación completa y periódica de la naturaleza y extensión de los riesgos a los que está sujeta una empresa, tal como lo establecen las prácticas del Corporate Governance conforme los Principios enunciados por la Organización para la Cooperación y Desarrollo Económico (OCDE).

P: ¿En qué consiste el Corporate Governance?
R: Un buen Gobierno Corporativo implica manejar y dirigir una empresa de forma tal que se vean protegidos los intereses de los accionistas, así como que se cumplan las expectativas y requerimientos de los demás “stakeholders”, es decir, todas las demás empresas y personas interesadas directamente en dicha empresa. Este concepto implica un círculo virtuoso en el que se ven involucradas las normas de gestión más usuales.

P: ¿Y cuáles son dichas normas de gestión?
R: Las normas ISO 9001 (Calidad), ISO 14001(Medio Ambiente), OHSAS 18001 (Higiene y Seguridad Ocupacional) y ISO 27001 (Seguridad de la Información). Las cuatro están basadas en el modelo PDCA de mejoramiento continuo. Esto facilita un alineamiento entre las mismas al compartir áreas comunes, lo que permite reducir costos y esfuerzos en su implementación y certificación.

P: ¿La ISO 27001 es la norma para auditar y certificar un sistema de gestión de seguridad informática?
R: Efectivamente (ver Preguntas y Respuestas sobre la ISO 17799). En este caso, la ISO 27001 se sinergia, de nuevo bajo el ciclo PDCA, con un sistema de gestión de riesgos de negocios como la implementación Turnbull, que enfoca los controles internos y la gestión de riesgos para la observancia del Corporate Governance.

P: Hablando de controles internos; ¿qué diferencia hay entre la ley Sarbanes-Oxley y Turnbull?
R: Sarbanes-Oxley, además de su carácter fuertemente punitivo, refuerza la importancia de los controles internos aunque solamente los de carácter financiero, expande el rol y responsabilidades de los comités de auditoría, y establece mecanismos preventivos para el nombramiento de los auditores externos. Turnbull -que por cierto es un requerimiento para las empresas que cotizan en la bolsa de Londres- aún siendo anterior a Sarbanes-Oxley, va más allá incorporando la gestión de riesgos y no limitando los reportes a los resultados de los controles financieros.

Además de este material y para conocer más de esta problemática, pida sin cargo a LAN & WAN la nota Riesgos y Sistemas de Gestión Corporativos, preparada por el Ing. Carlos Ormella Meyer. Conozca también detalles del seminario sobre este tema.

Comparación Características: SARBANES-OXLEY vs. TURNBULL © 2006 Además de este material y para conocer más de esta problemática, pida sin cargo a LAN & WAN la nota Riesgos y Sistemas de Gestión Corporativos, preparada por el Ing. Carlos Ormella Meyer. Conozca también detalles del seminario sobre este tema.

Características Sarbanes-Oxley (SOX) Turnbull Report/Implementing Turnbull

Controles Internos Sólo Financieros Financieros, Operacionales y de Cumplimiento

Gestión de Riesgo No, sólo aplicando ERM/COSO Si, y además, con prioridades

Maduración Es de 2002. Se promulgó un poco de apuro por los escándalos de Enron y WorldCom. Resulta difícil y costosa de llevar a la práctica (ver Implementación). Es de 1999 pero detrás hay casi 10 años de estudios, ya que responde al Código Combinado (1998) y una serie de reportes anteriores asociados con escándalos financieros similares a los de USA, pero que ocurrieron en Inglaterra a fines de los 80.

Implementación Complicada. La SEC viene haciendo aclaraciones y concesiones. Tradicional, con las complejidades que puede tener la operatoria de una empresa. La SEC aceptó aplicar Turnbull para dar cumplimiento a la Sección 404 (a) de Sarbanes-Oxley.

Mantenimiento del cumplimiento Sin metodología especial. Simplemente repetible con cada ejercicio. El sistema de gestión de riesgos de negocios de Turnbull, sigue el ciclo PDCA de mejoramiento continuo. Esto produce sinergia con el sistema de gestión de riesgos de seguridad de la información (ISO 27001), y de aquí un alineamiento con otros sistemas de gestión: calidad (ISO 9001), ambiental (ISO 14001) e Higiene y Seguridad Ocupacional (OHSAS 18001).

Visión pública externa Si una empresa quiebra fraudulentamente sólo gana el estado con las multas a los responsables. Cuida al inversor, a los accionistas de cualquier nivel incluso a los que cotizan en bolsa. Los controles operacionales permiten visualizar el comportamiento de una empresa antes que pueda irse a la quiebra. Esto es útil no sólo para los shareholders sino para el resto de los stakeholders (uno de los Principios OECD del Corporate Governance).

Menciones de la palabra “risk” 5 56/367

Menciones de “risk management” 1, pero hablando de los recursos de la SEC. 6/107

Menciones de la palabra “security” 29 veces pero con el significado dado a la palabra en la sección 3a) de la ley Securities Exchange de 1934. 1/1

Menciones de “information security” Ninguna Ninguna/Ninguna

Ante la falta de referencias específicas ¿por qué se implica a la Seguridad de la Información? Porque aunque los funcionarios responsables no “dibujen” los números financieros, en algunos casos para no ser multados y/o ir presos, podría pasar que “alguien” (empleado hostil, hacker) modificara información electrónica que llevara a presentar resultados no reales, con lo cual igualmente los directivos serían multados y/o irían presos. Esta posibilidad es la que obliga a buscar un nivel adecuado de seguridad de la información. Porque en los riesgos operacionales siempre están presentes los riesgos de seguridad de la información, sobre todo en un banco donde prácticamente todas las transacciones son electrónicas. Además, la confiabilidad es básicamente lo opuesto a la presencia de los riesgos operacionales. Y a mayor seguridad, mayor confiabilidad.

Además de este material y para conocer más de esta problemática, pida sin cargo a LAN & WAN la nota Riesgos y Sistemas de Gestión Corporativos, preparada por el Ing. Carlos Ormella Meyer. Conozca también detalles del seminario sobre este tema.

Preguntas y Respuestas: REDES INALAMBRICAS © 2006 Puede consultar aquí el temario del Seminario Wireless para Informáticos. Además de este material y para conocer más de la problemática de seguridad, pida sin cargo a LAN & WAN la nota Auditoría de Seguridad Informática, preparada por el Ing. Carlos Ormella Meyer.

P: ¿Cuáles son las normas de redes inalámbricas?
R: En la actualidad casi todas las instalaciones de LANs Inalámbricas (WLANs) trabajan con la llamada Wi-Fi que responde a la norma 802.11b de 11 Mbps. A su vez, las normas más recientes 802.11a y 802.11g alcanzan los 54 Mbps. Esta última es compatible con la 802.11b porque trabaja en el mismo espectro de frecuencias de microondas. La 802.11a, en cambio, trabaja en una banda de frecuencias mayores, no siendo compatible con la Wi-Fi.

P: ¿Hay limitaciones en las velocidades?
R: Efectivamente. Con cualquiera de las normas, la máxima velocidad sólo se logra estando relativamente cerca del Punto de Acceso (AP) a la red cableada. La velocidad de la 802.11b, por ejemplo, cae a 5,5 Mbps más allá de unos 30 metros de distancia del AP. Por su parte, con la 802.11a y 802.11g la velocidad cae de 54 a 48 Mbps pasando de los 10 metros, y sigue bajando escalonadamente a distancias mayores.

P: ¿Cómo son los aspectos de seguridad de las WLANs?
R: En realidad se trata de una problemática muy crítica puesto que una comunicación inalámbrica no es como un cable que al tener principio y fin es más fácil de controlar. Con una transmisión radial alguien puede pasar por fuera de una oficina, incluso la calle o en el estacionamiento, y con un buen equipo y antena lograr acceder a la WLAN y a los recursos que ofrece, incluyendo el acceso a Internet.

P: ¿A qué se debe tanta debilidad?
R: En primer lugar por default en la norma no se establece ninguna seguridad en cuanto al acceso y transmisión de información. Además, aún habilitando la seguridad, el protocolo WEP con el que opera tiene serias debilidades y limitaciones de modo que no es difícil para un hacker acceder a la red. Recién últimamente la situación está mucho más controlada con el protocolo TKIP y la norma 802.1x, por lo que su implementación es muy recomendable. Finalmente, la nueva norma 802.11i permite un nivel de encripción muy superior.

P: ¿Qué es un Hot Spot?
R: Es un sistema de interconexión pública de banda ancha a Internet basado en la 802.11b con un AP de características especiales, conformando así un Proveedor de Servicio Inalámbrico a Internet (WISP). Se lo encuentra instalado en lugares como aeropuertos, hoteles, cafés, bibliotecas, centros de convención y otros locales de acceso al público. Un protocolo recientemente propuesto permite la gestión y aceptación de usuarios no clientes.

P: ¿Es posible la transmisión de voz por una red inalámbrica?
R: Recientemente se aprobó la norma 802.11e que trata la VoIP sobre WLAN estableciendo las condiciones de Calidad de Servicio (QoS) necesarias para transmitir la voz digitalizada con varios niveles de prioridad por sobre la transmisión de datos típica de una red inalámbrica.

Puede consultar aquí el temario del Seminario Wireless para Informáticos. Además de este material y para conocer más de la problemática de seguridad, pida sin cargo a LAN & WAN la nota Auditoría de Seguridad Informática, preparada por el Ing. Carlos Ormella Meyer.

Preguntas y Respuestas: Bancos, Basilea II y Riesgos Operacionales © 2008
P: ¿Qué es Basilea II?
R: El nuevo Acuerdo de Capitales Basilea II (Basel II Capital Accord) es un conjunto de directivas para establecer los requisitos del capital de reserva mínimo para las organizaciones bancarias. Fue preparado por el Comité Basilea en Supervisión Bancaria -un grupo de bancos centrales y autoridades de supervisión de los países del G10- que ya había desarrollado la primera versión en 1988.

P: ¿En qué difieren estas versiones?
R: Originalmente las reservas de capital por parte de los bancos sólo se calculaban en base a los riesgos crediticios y los riesgos de mercado. Basel II requiere, además, que los bancos realicen una valuación en profundidad de los riesgos operacionales.

P: ¿Qué son los Riesgos Operacionales y en qué consiste su valuación?
R: En el contexto de Basilea II los riesgos operacionales son los riesgos de pérdidas debidos a procesos, personal y sistemas internos inadecuados o defectuosos, así como eventos externos. Su valuación se apoya en las “Sound Practices” del Banco Internacional de Pagos (BIS), que incluyen 10 Principios para una adecuada Gestión y Supervisión de los Riesgos Operacionales.

P: ¿En qué consiste dicha gestión de riesgos operacionales?
R: Basel II implica en primer lugar identificar las áreas de negocios donde los tipos de eventos mencionados puedan afectar y dañar las funcionalidades operacionales de las mismas. Determinados los riesgos correspondientes, corresponde establecer la mejor manera de tratar los mismos y obtener beneficios para la institución dentro del marco de Basilea II.

P: ¿Cuáles son concretamente los beneficios que se pueden obtener?
R: El cálculo del Capital Regulador –es decir inmovilizado para hacer frente a las contingencias consideradas por Basilea II- incluye, además de las previsiones por riesgos crediticios y de mercado, las propias por Riesgos Operacionales. Entonces, si se reducen dichos riesgos también lo serán esas previsiones, con beneficios tales como poder realizar inversiones lucrativas sin aumentar los recursos propios. En cambio, de no aplicar una gestión adecuada, probablemente el banco tendría que reducir sus inversiones o bien aumentar su capital para poder mantener la conformidad con Basilea II.

P: ¿Y cómo se reducen los riesgos operacionales?
R: En la práctica todo lo relacionado con seguridad está presente en el concepto de riesgos operacionales. Cuanto más madura una organización, tanto más importante es la contribución de la seguridad de la información en la confiabilidad total, y confiabilidad es justamente la inversa del riesgo operacional. Todo esto es consistente con la implementación de las mejores prácticas de una estrategia de seguridad de la información, lo cual de hecho está en la misma esencia de la seguridad holística tal como la trata la ISO 27002 (anteriormente 17799) complementada por la ISO 27001.

P: ¿Cómo se relacionan estas normas de seguridad de la información con el tratamiento de los riesgos operacionales?
R: Una parte importante de los Principios de los riesgos operacionales de Basel II pueden satisfacerse por medio de un mapeado a los controles de la ISO 27002 para su implementación conforme con la ISO 27001. Esta norma, incluso, satisface los requerimientos más amplios del Corporate Governance y los Principios de la OECD, así como las Guías de Seguridad de la Información de esta organización.

© 2008 Carlos Ormella Meyer

SERVICIOS DE CONSULTORIA Nacional e internacional en Seguridad de la Información, Continuidad de Negocios, Retorno sobre las inversiones en proyectos de seguridad (ROSI) y conformidad Sarbanes-Oxley y Riesgos Operacionales de Basilea II en Seguridad de la Información, así como Protección de Datos Personales conforme la ley de Habeas Data de Argentina, a cargo del Ing. Carlos Ormella Meyer

Carlos Ormella Meyer
Ingeniero Electrónico, Profesor universitario.
Es consultor, analista y auditor en seguridad de la información, redes inalámbricas e Internet, con especial dedicación al análisis y gestión de riesgos, cumplimiento/certificación de normas ISO 27002 (17799) y 27001, y valuación económica-financiera de proyectos de seguridad de la información.
Los tres últimos años los viene dedicando principalmente a la implementación de las normas en el grupo empresarial Aluar/Fate, donde Aluar es una de las plantas de aluminio más grandes de Latinoamérica, y Fate es una de las principales fábricas de neumáticos de Argentina.
En los últimos 28 años participó en Venezuela y Argentina en la implementación y dirección de sistemas de telecomunicaciones por microondas terrestres y satelitales, sistemas de control de estaciones no atendidas, teleproceso, acceso remoto, LAN, WAN, LANs Inalámbricas, sistemas de seguridad de la información, y planificación de continuidad de negocios y planes de contingencia.
Desde 1985 viene dictando cursos y conferencias en Argentina, Venezuela, Paraguay, Perú y Uruguay.
Ha sido editor de la revista LAN & WAN donde ha publicado varios centenares de artículos de tecnología.

Home Cursos Artículos Resúmenes Documentación Gratis Nros.Publicados Publicidad Pagos

Características	Sarbanes-Oxley (SOX)	Turnbull Report/Implementing Turnbull
Controles Internos	Sólo Financieros	Financieros, Operacionales y de Cumplimiento
Gestión de Riesgo	No, sólo aplicando ERM/COSO	Si, y además, con prioridades
Maduración	Es de 2002. Se promulgó un poco de apuro por los escándalos de Enron y WorldCom. Resulta difícil y costosa de llevar a la práctica (ver Implementación).	Es de 1999 pero detrás hay casi 10 años de estudios, ya que responde al Código Combinado (1998) y una serie de reportes anteriores asociados con escándalos financieros similares a los de USA, pero que ocurrieron en Inglaterra a fines de los 80.
Implementación	Complicada. La SEC viene haciendo aclaraciones y concesiones.	Tradicional, con las complejidades que puede tener la operatoria de una empresa. La SEC aceptó aplicar Turnbull para dar cumplimiento a la Sección 404 (a) de Sarbanes-Oxley.
Mantenimiento del cumplimiento	Sin metodología especial. Simplemente repetible con cada ejercicio.	El sistema de gestión de riesgos de negocios de Turnbull, sigue el ciclo PDCA de mejoramiento continuo. Esto produce sinergia con el sistema de gestión de riesgos de seguridad de la información (ISO 27001), y de aquí un alineamiento con otros sistemas de gestión: calidad (ISO 9001), ambiental (ISO 14001) e Higiene y Seguridad Ocupacional (OHSAS 18001).
Visión pública externa	Si una empresa quiebra fraudulentamente sólo gana el estado con las multas a los responsables.	Cuida al inversor, a los accionistas de cualquier nivel incluso a los que cotizan en bolsa. Los controles operacionales permiten visualizar el comportamiento de una empresa antes que pueda irse a la quiebra. Esto es útil no sólo para los shareholders sino para el resto de los stakeholders (uno de los Principios OECD del Corporate Governance).
Menciones de la palabra “risk”	5	56/367
Menciones de “risk management”	1, pero hablando de los recursos de la SEC.	6/107
Menciones de la palabra “security”	29 veces pero con el significado dado a la palabra en la sección 3a) de la ley Securities Exchange de 1934.	1/1
Menciones de “information security”	Ninguna	Ninguna/Ninguna
Ante la falta de referencias específicas ¿por qué se implica a la Seguridad de la Información?	Porque aunque los funcionarios responsables no “dibujen” los números financieros, en algunos casos para no ser multados y/o ir presos, podría pasar que “alguien” (empleado hostil, hacker) modificara información electrónica que llevara a presentar resultados no reales, con lo cual igualmente los directivos serían multados y/o irían presos. Esta posibilidad es la que obliga a buscar un nivel adecuado de seguridad de la información.	Porque en los riesgos operacionales siempre están presentes los riesgos de seguridad de la información, sobre todo en un banco donde prácticamente todas las transacciones son electrónicas. Además, la confiabilidad es básicamente lo opuesto a la presencia de los riesgos operacionales. Y a mayor seguridad, mayor confiabilidad.