Remediacin Parche o upgrade?

La mejor pregunta para evitar recadas en nuestros sistemas y procesos tecnolgicos.

Hay diferentes entradas que pueden iniciar un proceso de remediacin en nuestros
sistemas, pero hay una sola forma de abordarlos: Con la intensin que el remedio cure
la enfermedad.
Cuando en nuestros escritorios empieza a resonar la palabra Remediacin generalmente nuestra
preocupacin nos muestra los dos caminos que nos dirigen a ella:
1. Como se lleg al punto que nuestros recursos y procesos tecnolgicos no estn acompaando
las necesidades de cumplimiento del Negocio, o bien, no lleguen a cumplir con los objetivos
de servicio a clientes internos.
2. Que hacer con esta situacin y como definir una respuesta estratgica para resolverla dentro
de un plazo finito, el cual tambin debo establecer en funcin de las necesidades del Negocio.
Primeramente tratemos de bajar a tierra la frase necesidades del Negocio para comprender que
las mismas no estn tan lejanas como suenan de nuestras propias necesidades ni del impacto
negativo que puede causarnos el no tomar a tiempo acciones para encausar nuestros sistemas y
procesos tecnolgicos.
Si de alguna forma han tenido la oportunidad de trazar un paralelismo entre Objetivos de Negocio, de
Tecnologa y de Seguridad de la Informacin, podrn haber visto la necesidad directa que tienen IT y
SI en brindar un servicio al Negocio que le asegure los resultados esperados Y el brindar esos
servicios no son ni ms ni menos que los resultados que IT y SI deben mostrar y que el Negocio
espera; y si esto no sucede nuestro juego con la palabra necesidad terminara en un estrepitoso
Game Over.

Figura 1 Como alinear objetivos

Aclarado este concepto volvemos a la pregunta original, Parche o Upgrade?. Si tomamos en fro la
resolucin de esta pregunta, obviamente vamos a responder que lo mejor es hacer todo para que la
2013 CYBSEC

remediacin sea una oportunidad de mejora, pero si estamos ante una situacin de crisis dada por el
entorno o por los tiempos esta buena respuesta se va degradando rpidamente hasta llegar a
remediar de la mejor forma. Otra pregunta entonces es Cul es la mejor VERSIN que quiero
de mis sistemas o procesos remediados?
Como lo que queremos es la mejor versin, es que buscaremos en este breve artculo las mejores
respuestas para brindar una remediacin efectiva y as permitir que los sistemas y procesos cambien
de versin y no sean simplemente parcheados, teniendo en cuenta estas principales actividades:

Definicin de estrategias en funcin de observaciones, alcances y experiencia

Identificacin de recursos tcnicos y humanos
Definicin de roles y funciones bien definidos
Conformacin de equipos de trabajo
Capacitacin a los diferentes equipos de acuerdo a su visin de objetivo y a su participacin
en la remediacin
Definicin de las evidencias a obtener y su formato
Seleccionar la documentacin que nos sirva para operar, seguir y controlar la remediacin

Definir la estrategia de remediacin requiere conocer cul es alcance de las observaciones en cuanto
a cantidad de plataformas y aplicaciones alcanzadas as como la magnitud de no-conformidades que
puedan alcanzar a sus configuraciones tcnicas, roles y perfiles, cuentas de usuario, permisos y
privilegios, etc.; conociendo esta informacin podremos determinar ms fcilmente que
documentacin de soporte necesitaremos y como armar y preparar nuestro equipo de trabajo.
Nuestra estrategia debe delinearse siempre pensando que la remediacin debe basarse para su
Base de Datos
Aplicaciones para
ejecucin en el orden lgico de Sistema Operativo
asegurarnos que al llegar a la capa superior no han quedado inconsistencias en la capa de software
de base que genere demoras en la remediacin de aplicaciones, y a este orden debemos agregarle la
complejidad de interaccin entre las diferentes plataformas por lo que se agregan componentes tales
como interfaces, cuentas de usuario especiales que ejecutan tareas especficas, procesos que al
ejecutarse actualizan datos e informacin.
Por ello al conformar los equipos debemos tener en cuenta no solo al personal de Tecnologa y
Seguridad de la Informacin, sino tambin a los dueos funcionales de las aplicaciones que con su
conocimiento y experiencia sobre los procesos de Negocio deben liderar las tareas y compartir las
decisiones a tomar. Esto nos lleva a determinar roles y funciones bien definidos al momento de
conformar los equipos, para que cada uno desde su visin aporte su conocimiento minimizando
impactos negativos sobre la disponibilidad de los sistemas e integridad de los datos.
La generacin de evidencias suele ser siempre, y en todos los casos, una de las tareas ms tediosas
y ms difciles de coordinar sobre todo en instalaciones multiplataforma, con gran cantidad de
componentes y muchas aplicaciones involucradas. Por eso otra parte importante de las definiciones
dentro de la estrategia es la generacin y administracin de las evidencias; respecto de esto
debemos tener en cuenta dos principales aspectos que hacen a la optimizacin:
1. Definir qu tipo de evidencias se van a obtener por cada tem observado y cul va a ser su
formato, para que nos certifiquen que la remediacin ha sido efectiva y adems sea aceptada
por una probable Auditora.

2013 CYBSEC

2. Determinar la completitud de datos que deban contener las evidencias, para optimizar la
operacin de obtencin de las mismas y el volumen de archivos de datos a tratar y almacenar.
Como parte importante para concretar estos dos puntos y que tambin forma parte de la estrategia a
seguir, es apoyarnos en nuestro equipo tcnico para que nos ayude a definir las mejores
herramientas automticas o manuales con las cuales poder concretar la obtencin de evidencias y
remediar sin poner en riesgo la operacin ni los diferentes componentes del complejo esquema de
aplicaciones que da servicio al Negocio.
Ahora bien, podemos tener el mejor equipo tcnico que si no lo capacitamos a visualizar que una
remediacin no se trata solamente de configurar parmetros, seguramente nos encontraremos en
problemas de optimizacin de tiempos y recursos. Entender la documentacin (normas, estndares,
manuales de aplicacin, etc.), conocer los motivos de los cambios e interiorizarse del funcionamiento
procedural de las aplicaciones ayuda a que puedan explotar de mejor forma sus conocimientos
tcnicos y nos aporten mejores soluciones a la hora de la remediacin.
Respecto de la documentacin, es importante repasar nuestra biblioteca de gestin operativa y
recomendar a las reas Funcionales la importancia de contar con manuales de aplicaciones que
puedan servirnos de gua cada vez que necesitemos recorrer el proceso tecnolgico de las mismas,
lo que nos permite analizar mejor las posibilidades de remediacin sin riesgo o bien si debemos
determinar una excepcin.
Y sobre las excepciones tambin debemos capacitar adecuadamente a nuestros equipos, para que
sepan que herramientas utilizar para justificarlas y documentarlas basndose en limitaciones
operativas netamente funcionales o bien por limitaciones tecnolgicas generalmente basadas en la
obsolescencia.
Extractar las diferentes definiciones establecidas desde las Normas de Tecnologa y Seguridad de la
Informacin, sumado a los estndares de configuracin tcnica de cada una de las plataformas y
trasladado a una matriz de control puede darnos una visin rpida sobre cules son los principales
puntos por plataforma que estn o deben ser exceptuados por razones tcnicas, en cuyo caso
debemos de acompaar a esta condicin con el respaldo documentado del fabricante, por ejemplo
una nota o parte del manual tcnico donde se describa la situacin de excepcin.
Las limitaciones funcionales que pueden imposibilitar la remediacin de alguna de las capas
tecnolgicas provienen de Procesos de Negocio, los que habitualmente requieren que por razones
operativas deban existir determinadas condiciones No-Compliance relacionadas por ejemplo con
cuentas de usuario, privilegios o interfaces. Para estas situaciones debe analizarse en profundidad
con los Funcionales cual sera el impacto de una posible remediacin, que recursos y esfuerzos
requerira y que impacto econmico o en otros Procesos de Negocio tendra.
Esto determinara como respuesta tres posibles salidas:
1. Que la remediacin pueda hacerse, y dentro de los plazos estipulados.
2. Que pueda hacerse, pero no dentro de los plazos convenidos, para lo cual debe presentarse
un Plan de Trabajo donde se informe el anlisis realizado, actividades, recursos y fechas
comprometidas

2013 CYBSEC

3. Que no pueda remediarse, para lo cual es necesario acompaar esta decisin del informe de
anlisis realizado y refrendado con una solicitud de excepcin firmada por el Dueo del
Proceso, que generalmente es el Gerente del rea de Negocio involucrada.
Con respecto al anlisis de excepciones, y principalmente para el punto 3, es importante que tengan
en cuenta que cada pedido de excepcin hace que los controles que debo implantar para asegurar
Confidencialidad, Integridad y Disponibilidad al Negocio suban en forma exponencial, por lo tanto una
de las variables econmicas y de esfuerzo a tener en cuenta para justificar una excepcin tambin es
saber cunto le cuesta al Negocio esa excepcin ya que requerir una inversin adicional en
aumentar los controles. O sea que, como primer ejercicio, debo comparar entre el costo de remediar
versus el costo de controlar.
Cada una de las actividades que hemos identificado deben plasmarse en una lnea de tiempo
acotada a lo requerido por la Compaa, por ello debemos definir un cronograma en donde se
concatenen cada uno de los puntos anteriores para cumplir con los tiempos sin degradar las
necesidades de conocimiento y coordinacin.
Para finalizar y conocer cmo se lleg a la necesidad de remediacin (siempre y cuando la misma no
surja de una necesidad de alcanzar el cumplimiento de una nueva regulacin por parte de la
Compaa), lo mejor es detectar mediante un anlisis de riesgo y control sobre los procesos de
Proyectos, Puesta en Produccin, Operacin y Mantenimiento las posibles oportunidades de impacto
negativo que puedan hacer que nuestros sistemas o procesos sufran cambios inesperados o fuera de
cumplimiento con lo estipulado por las necesidades del Negocio.
Conclusin:
Recordemos que todos somos el Negocio, valoremos cada participacin que tengamos en los
diferentes frentes de trabajo y aprendamos que la tarea en equipo nutre de conocimiento y
genera UPGRADES, no PARCHES.

Fabin Descalzo
Gerente de Governace, Risk & Compliance (GRC)
Cybsec S.A. Security Systems
Fabin Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., Director Certificado en Seguridad
de la Informacin (Universidad CAECE), certificado ITIL v3-2011 y auditor ISO 20000.
Posee amplia experiencia en la implementacin y cumplimiento de Leyes y Normativas Nacionales e Internacionales en
compaas de primer nivel de diferentes reas de negocio en la optimizacin y cumplimiento de la seguridad en sistemas de
informacin, Gobierno de TI/SI y Continuidad del Negocio. Actualmente es responsable de servicios y soluciones en las
reas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento del Negocio
CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la
Informacin. Su rea de servicios cubre Amrica y Europa y ms de 400 clientes acreditan la trayectoria empresaria. Para
ms informacin: www.cybsec.com

2013 CYBSEC