Control de Objetivos para las T.I. (COBIT)
35 views | +0 today
Follow
Your new post is loading...
Your new post is loading...
Rescooped by Victor R. Alvarez from Noticias de Seguridad de la Información
Scoop.it!

El rol de CobIT 5 en la estrategia de seguridad informática

El rol de CobIT 5 en la estrategia de seguridad informática | Control de Objetivos para las T.I. (COBIT) | Scoop.it

La adopción del concepto BYOD (Bring Your Own Device) en América Latina es algo que aún está a medio camino. Al menos así se demuestra en la más reciente encuesta de riesgos realizada por ISACA a nivel internacional, y en donde las respuestas de los participantes de México y América Latina dejan ver que la consumerización, o el uso de dispositivos personales para fines de trabajo, no es del todo aceptado.


De acuerdo con la encuesta, poco más de la mitad de los respondientes en América Latina (52%) considera que los riesgos de utilizar dispositivos móviles para transportar datos corporativos son mayores que los beneficios que se podrían obtener. En México, esta cifra es un poco mayor (57%).
Sin embargo, cabe resaltar que 44% de las respuestas de los encuestados latinoamericanos indican que su organización no cuenta con políticas de seguridad para la gestión de los dispositivos móviles. En México, el número de compañías que no cuenta con políticas de seguridad aumenta a 47%, lo cual deja ver que el temor de los administradores de TI sobre el uso de BYOD puede estar relacionado con un desconocimiento sobre la forma en que pueden controlar el acceso a los datos corporativos desde estos dispositivos.
Sin embargo, organizaciones sin fines de lucro y asociaciones internacionales, como ISACA, promueven constantemente el uso de mejores prácticas, toda vez que generan documentación de valor con metodologías apegadas a estándares internacionales. En este sentido, ISACA liberó recientemente la nueva versión para el framework CobIT, el cual integra ahora lineamientos sobre gestión de riesgos y seguridad de la información.
SearchDataCenter en Español platicó con Salomón Rico, miembro del consejo de conocimiento de ISACA en México, sobre las actualizaciones a CobIT 5 y la forma en que este estándar apoya a las organizaciones en la planeación e implementación de su estrategia de seguridad informática.

 

SDC: ¿Cuál es la diferencia entre CobIT 5 y otros estándares internacionales?
SR: La seguridad no funciona si no se aplica un modelo. El principal valor de CobIT 5 es precisamente la gran diversidad de modelos y estándares a nivel global, resultado del trabajo de un gran grupo de practicantes de diversas regiones geográficas, quienes analizan y desarrollan un paraguas general que abarca estándares específicos para seguridad, riesgos, etc.
El principal valor agregado es que no pretende sustituir los frameworks usados en las empresas, sino aportar elementos adicionales como el tema de madurez en los procesos de TI (ahora denominados capacidades en los procesos). CobIT 5 ofrece una visión holísitca en temas de gestión y gobierno, que se complementa con guías o publicaciones adicionales, específicas, para temas de riesgos, cumplimiento, aseguramiento, gobierno de TI, etc.
CobIT 5 integra el framework de riesgos anteriormente llamado Risk IT, y la evolución se denominará CobIT 5 for Risk Management. De la misma manera, las publicaciones sobre aseguramiento cubrirán temas de auditoría.
SDC: ¿Cómo ayuda la implementación de CobIT 5 para que las organizaciones enfrenten amenazas de seguridad, como ataques DDoS y APT?
SR: CobIT 5 tiene un enfoque integral y holístico que abarca aspectos que suelen perderse de vista en las empresas, proporcionando habilitadores que indican cuándo se necesitan procesos, recursos, marcos normativos, personal, servicios de TI, aplicaciones, infraestructura, etc. Me parece que ese es el principal valor de este framework, la forma en que esos habilitadores, desde la perspectiva de seguridad informática, deben ser considerados dentro de un negocio; ahí es donde se percibe si hay políticas o procesos que se escapan y es posible, entonces, adoptar un enfoque completamente holístico.
SDC: ¿Cuál es el nivel de adopción de CobIT en América Latina?
SR: Históricamente, CobIT desde su lanzamiento se ha convertido en estándar de facto en muchas geografías, aunque generalmente las empresas reguladas son las primeras en adoptar el modelo de control CobIT, me refiero a reguladas por la bolsa, por ejemplo, o como el sector financiero; estas empresas, además, pueden implementar iniciativas de ITIL e ISO 27000.
La realidad geográfica de Latinoamérica muestra dos grupos: las empresas reguladas y las demás, y no me queda duda de que en el sector de las empresas reguladas, el estándar es CobIT. Pero en el mundo de las empresas no reguladas (aproximadamente un 80% de las compañías en la región) los estándares suelen adoptarse si están buscando mejores prácticas o porque ven lo que están haciendo los demás; ahí el nivel de adopción aún es muy bajo, es donde más labor hay que hacer.
SDC: ¿Qué tipo de capacitación o certificaciones acompañan a la nueva versión de CobIT?

 

SR: Además de CRISC y CobIT 5, se está trabajando no en un certificado de experiencia sino en una constancia de conocimientos y se está promoviendo masivamente el tema de fundamentos de CobIT 5. Además, ISACA busca llegar más lejos en cuanto a la certificación para las empresas, algo que ya está en evaluación.
SDC: ¿En qué más está trabajando ISACA?
SR: El tema de la privacidad de los datos y la información. Hoy ISACA está trabajando mucho en empezar a generar contenido y modelos que resuelvan la problemática de la privacidad de la información, algo que está surgiendo en todos los países. Se están desarrollando contenidos relacionados con este tema, además de publicaciones sobre auditoría y riesgos, pero el tema de privacidad es un tópico caliente y se está trabajando mucho en liberar algo para los profesionales.
SDC: En este sentido, la más reciente encuesta de Prioridades de TI realizada por TechTarget arrojó que el tema de la protección de datos acapara la atención y las estrategias de 77% de los CIO y gerentes de TI en México y América Latina.

 

A esta preocupación le siguen la gestión de accesos e identidades (53%), la seguridad de redes (52%), la detección y control de amenazas (43%), la seguridad de las aplicaciones (41%) y la gestión de vulnerabilidades (40%).
En este contexto, ¿cuáles son las mejores prácticas o recomendaciones para que las empresas se protejan contra amenazas cibernéticas?
SR: La principal, en mi experiencia, es que lo más fácil es que la implementación es más fácil cuando el dueño o director general de una organización es quien adopta la bandera de buenas prácticas de gobierno para el negocio; de otro modo, difícilmente van a caminar las iniciativas que tienen que ver con TI o seguridad de la información. El enfoque tiene que ser obligado desde arriba hacia abajo, pero cuando es necesario que el área de TI impulse la iniciativa hay varios caminos, como el del terror (ése de espantar a los ejecutivos para conseguir la atención); sin embargo, creo que funciona más el realizar ejercicios sobre el valor de la información, que frecuentemente no se hace en las áreas de TI.
Cuando se logran establecer métricas sobre el valor de la información y el impacto de no tenerla disponible, es cuando se gana el patrocinio hacia iniciativas relacionadas. Cuando no hay un requerimiento de cumplimiento, no hay leyes, entonces el camino será demostrar el valor de la información; ésa es mi sugerencia.

 


Via Carlos Solís Salazar
more...
No comment yet.
Rescooped by Victor R. Alvarez from Noticias de Seguridad de la Información
Scoop.it!

ISACA: Conocimiento de amenazas persistentes avanzadas es fundamental

Noticias de Seguridad Informática - Segu-Info: ISACA: Conocimiento de amenazas persistentes avanzadas es fundamental

 

Las compañías a nivel mundial no tienen el pleno conocimiento de las amenazas persistentes avanzadas (APT, por sus siglas en inglés), por lo que no están preparadas para hacer frente a este tipo de ciberataques, algo que es fundamental en la actualidad.

De acuerdo con Juan Luis Carselle, vicepresidente internacional de ISACA, el estudio Advanced Persistent Threat arrojó que solo 25% de las empresas tienen conocimiento sobre lo que es una amenaza persistente avanzada.

Asimismo, 42% de las compañías se dijo familiarizada con el tema, 29% que habían escuchado sobre ellas y 4% denotó un desconocimiento total.

Las amenazas persistentes avanzadas son ciberataques en los que los hackers acceden a una red y permanecen allí sin ser detectados durante un largo periodo de tiempo.

"Además, estos ataques no son oportunistas, son sigilosos y camaleónicos. Suelen ser de día cero", comentó Carselle. Según el informe, en la actualidad 47% de los ciberataques suelen ser únicos.

A pesar de la peligrosidad de estos ataques informáticos, las empresas no se sienten capaces de enfrentarlos, así opinó 60% de las encuestadas.

"Para defenderse, las empresas deben ofrecer más capacitación sobre seguridad, administración de proveedores y manejo de incidentes. Además los líderes empresariales deben darle a este asunto la atención que merece", agregó Carselle.

Actualmente, las amenazas se dirigen directamente a las personas por lo que el problema no solo es de tecnología. La educación y conocimientos de los usuarios son críticos para su éxito.

El panorama de las amenazas ha evolucionado desde los hackers, hasta personas dentro de las organizaciones que tienen acceso a información privilegiada. De los ataques patrocinados por estados, hasta los dirigidos a empresas por lo que son, hacen y por el valor de su propiedad intelectual.


Via Carlos Solís Salazar
more...
No comment yet.
Scooped by Victor R. Alvarez
Scoop.it!

ISACA: la conferencia en Colombia examinará las tendencias de TI - CIO Latin America

ISACA: la conferencia en Colombia examinará las tendencias de TI - CIO Latin America | Control de Objetivos para las T.I. (COBIT) | Scoop.it

"ISACA: la conferencia en Colombia examinará las tendencias de TI CIO Latin America "

 

 

ISACA sostiene que la democratización de la tecnología, el aumento en el uso de dispositivos móviles como extensión de la operación corporativa y la movilidad de la información, están desatando riesgos de seguridad cada vez más complejos para las empresas de América Latina. Enfrentar con efectividad éste y otros retos exige que los expertos cuenten con habilidades y el conocimiento para analizar y proteger las áreas que pueden ser fácilmente comprometidas, e implementar los sistemas de auditoria, seguridad y gobernabilidad apropiados. Estos serán algunos de los temas que se presentarán durante las próximas conferencias de ISACA, Computer Audit, Control and Security (CACS)/ Information Security and Risk Management (ISRM) para América Latina, en Medellín, Colombia, del 30 de septiembre al 1ro. de octubre de 2013.

Las sesiones que tendrán lugar durante esta Conferencia Latinoamericana CACS/ISRM, se enfocarán en brindar a las organizaciones las herramientas necesarias para romper las barreras que están deteniendo la innovación tecnológica dentro de las empresas de la región.

De acuerdo con una investigación reciente emprendida de forma conjunta por ISACA y The Cloud Security Alliance, “la falta de seguridad y la inconsistencia en la propiedad de la información”, son dos de las barreras que están obstaculizando a las empresas para transitar hacia el uso de sistemas de información en la nube.

De la misma forma, la consulta Global Information Security 2012 realizada por Ernst & Young, revela que uno de los obstáculos que están deteniendo la innovación dentro de la operación corporativa, son los riesgos asociados al incremento en el uso de dispositivos móviles corporativos, así como de dispositivos personales dentro de las empresas. De hecho, el reporte detalla que 56% de los directores de sistemas han tenido que implementar ajustes en las políticas de uso de estas herramientas, con el objetivo de controlar los riesgos relacionados a su creciente uso.

Ante esta innegable realidad, ISACA ha estructurado para el evento un agenda de más de 40 conferencias, presentadas por especialistas globales en estos temas, quienes expondrán su experiencia dentro del máximo foro de auditoria, seguridad, gobierno y control de riesgos de TI para América Latina.

Entre ellos se contará con la participación de Luis Arturo Penagos Londoño, vicepresidente Administrativo en Bancolombia, y recién nombrado Human Resources Chief Officer de la misma firma financiera. A lo largo de su carrera, Luis Arturo se ha desarrollado en áreas que involucran la auditoria y el cumplimiento de normas de seguridad, y expondrá la importancia de este rol para el funcionamiento efectivo de las empresas, así como el papel crítico de la auditoria y control para que el resto de las áreas desempeñen sus funciones de manera eficiente.

more...
No comment yet.