Preguntas y Respuestas:
P: ¿Qué es ROSI?
R: ROSI es el Retorno Sobre la Inversión de Seguridad, derivado del conocido indicador financiero ROI, Retorno Sobre la Inversión.

P: ¿Entonces puede decirse que ROSI es un ROI especializado?
R: Efectivamente. ROSI busca justificar la inversión en seguridad de la información en términos monetarios. Para ello se tiene presente que los efectos de una implementación de seguridad en general no surgen en forma directa como beneficios económicos para una empresa, sino en todo caso como una reducción en las pérdidas que producen incidentes de seguridad como ataques, fallas o errores. ROSI puede tomarse como el componente financiero del caso de negocio de un proyecto de seguridad, con lo cual es más simple “llegar” a niveles de decisión gerenciales no precisamente técnicos.

P: ¿Cómo se maneja ROSI?
R: El esquema de trabajo parte de considerar que cada incidente produce pérdidas que se pueden estimar. Para ello se hacen cálculos del escenario original frente a cada incidente, y del que resultaría de aplicar salvaguardas o contramedidas para mitigarlo adecuadamente. La diferencia entre ambos resultados es el valor o beneficio de dichas salvaguardas. Entonces ROSI (análogamente al ROI) es igual a la relación entre el retorno y el costo de las contramedidas (o sea, la inversión en el ROI). El retorno -o ganancia incremental- resulta ser el valor (beneficio o ingreso bruto en el ROI) menos el costo de dichas contramedidas. Un ROSI aceptable debe ser positivo, es decir cuando el valor es mayor que el costo.

Read More

Preguntas y Respuestas:
P: ¿Qué regulaciones existen en Argentina respecto a la Protección de Datos Personales?
R: Los requisitos básicos se encuentran en la Ley No. 25.326 sancionada el 4 de Octubre de 2000 y que fuera reglamentada por el Decreto 1.558/2001. Esta ley tiene similitudes con la LOPD (Ley Orgánica de Protección de Datos) de España.

P: ¿A qué se refieren los requisitos impuestos por dicha ley?
R: La ley define la formación y tratamiento de las bases de datos personales, estableciendo la obligatoriedad de su inscripción con fecha de vencimiento al 31 de marzo de 2006.

P: ¿Qué implica dicho tratamiento de las bases de datos?
R: Básicamente hay que establecer medidas de seguridad para dar cumplimiento a los términos de la ley. Dicha protección ha sido normada por medio de la Disposición No. 11/2006 de la Dirección Nacional de Protección de Datos Personales (DNPDP).

P: ¿Qué establece dicha Disposición?
R: En primer lugar se establecen tres niveles, Básico, Medio y Crítico, en función del tipo de datos personales de las bases de datos en cuestión, donde el concepto de base de datos se extiende también a archivos y registros, incluso no informatizados. La Disposición detalla también las medidas de seguridad correspondientes para cada nivel.

Read More

Preguntas y respuestas:
P: ¿Cuáles son las Normas de Seguridad?
R: Básicamente son dos: la ISO 27002 (anteriormente ISO 17799) y la ISO 27001.

P: ¿Qué es la ISO 27002?
R: La ISO 27002 es una guía de buenas prácticas de seguridad de la información que presenta una extensa serie de controles de seguridad. Es la única norma que no sólo cubre la problemática de la seguridad IT sino que hace una aproximación holística a la seguridad de la información corporativa, abarcando todas las funcionalidades de una organización en cuanto a la seguridad de la información que maneja. Este concepto marca la diferencia con el de seguridad informática que, en la práctica, se vino convirtiendo en equivalente de seguridad de sistemas IT, mientras que la norma considera también los riesgos organizacionales, operacionales y físicos de una empresa, con todo lo que esto implica.

P: ¿Es certificable la ISO 27002?
R: Definitivamente no. La ISO 27002 sólo hace recomendaciones sobre el uso de 133 controles de seguridad diferentes aplicados en 11 áreas de control. No establece requisitos cuyo cumplimiento pudiere certificarse.

P: ¿Por qué ha habido cierta confusión en el tema de la certificación?
R: En gran parte se debe a los errores de algunas traducciones. El original en inglés de la ISO 27002 usa la expresión verbal “should”, un término presente en otras normas ISO y también del IETF y del IEEE, que por convención expresa una forma condicional a modo de recomendación y no de imposición, lo que hace precisamente que no sea certificable.

Read More