BASIC COMPLIANCE PLAN NOW TO TAKE THE … · nivel de competencia y la ventaja competitiva de sus...

Learn the essentials of managing compliance & ethics programmes

SCCE Academies. Training more than 3,600

compliance and ethics professionals around the world.

www.corporatecompliance.org/academiesQuestions: [email protected]

REGISTER EARLY TO RESERVE YOUR PLACE

LIMITED TO 75 FOR EACH ACADEMY

BASIC COMPLIANCE & ETHICS ACADEMIESFROM THE SOCIETY OF CORPORATE COMPLIANCE & ETHICS®

INTERNATIONALPLAN NOW TO

TAKE THE CCEP-I®

CERTIFICATION

EXAM AFTER YOU

COMPLETE THIS

INTENSIVE TRAINING

GET CERTIFIED ENROLL NOW

CLE APPROVED

9,100+ COMPLIANCE PROFESSIONALS HOLD A COMPLIANCE CERTIFICATION BOARD (CCB)® CREDENTIAL

28 NOV – 1 DEC | MADRID, SPAIN

scce-int-isaca-mag-ad-madrid.indd 1 9/16/16 1:45 PM

The ISACA® Journal tiene por objeto mejorar el nivel de competencia y la ventaja competitiva de sus lectores internacionales, proporcionando orientación técnica y de gestión de autores experimentados globales. Los artículos son revisados por pares y se centran en temas críticos para los profesionales que intervienen en auditoría de TI, gobierno, seguridad y cumplimiento.

Lea más acerca de los autores del Journal...

Los blogs de los escritores del Journal estan en www.isaca.org/journal/blog. Visita el blog de ISACA Journal, en términos prácticos, para adquirir conocimientos prácticos de colegas y participar en la comunidad cada vez mayor de ISACA.

3701 Algonquin Road, Suite 1010Rolling Meadows, Illinois 60008 USATelephone +1.847.253.1545Fax +1.847.253.1443www.isaca.org

4Materias seguridad de la Información: El G7 y la ciber seguridadSteven J. Ross, CISA, CISSP, MBCP

7Auditoría básica de SI: El desafío de las habilidades blandas, Parte 6Ed Gelbstein, Ph.D., and Stefano Baldi

12La redMarcus Chambers, CISM, CGEIT, CEng

14Etica de la información: Etica de la información a mediados del siglo 21Vasant Raval, DBA, CISA, ACMA

ARTICULOS21Medición del desempeño métrica para el gobierno de TISunil Bakshi, CISA, CRISC, CISM, CGEIT, ABCI, AMIIB, BS 25999 LI, CEH, CISSP, ISO 27001 LA, MCA, PMP(Disponible également en français)

29La evaluación de los controles de seguridad Lance Dubsky, CISM, CISSP

33Entregando cumplimiento con protección de datos personales en una escala globalIlya Kabanov, Ph.D. (Disponible également en français)

39Mejorando el proceso de seguimiento de Auditoría usando COBIT 5Ian Cooke, CISA, CRISC, CGEIT, COBIT Foundation, CFE, CPTS, DipFM, ITIL Foundation, Six Sigma Green Belt

47Análisis avanzado de datos para auditores de TISpiros Alexiou, Ph.D., CISA

MAS56Palabras cruzadasMyles Mellor

57CPE pruebaPrepared by Kamal Khan CISA, CISSP, CITP, MBCS

59Estándares, guías, herramientas y técnicas

S1-S4ISACA Bookstore Supplement

Journal

FPO

Reconocimiento porTraducciónISACA le agradece al Capítulo de Chile por la traducción y la donación de la traducción de este volumen del ISACA Journal.

Sr. Julian Rodrigo Davis Toledo, CISA, CISMMr. Jesús Soto Valbuena, CISASr. Leonardo Vinett Herquiñigo, CISAMr. Pablo Idiaquez RíosSr. Fernando Méndez Erazo, CISA

Sr. Jorge Serrano Rodríguez, CISA, CGEIT, CRISCMr. Maximiliano Rojas Hinrichsen, CISMSr. Sergio Molanphy , CISM, CRISCSr. Pablo Caneo Gutiérrez, CISA, CGEIT, CRISC

Discuss topics in the ISACA® Knowledge Center: www.isaca.org/knowledgecenter Follow ISACA on Twitter: http://twitter.com/isacanews; Hashtag: #ISACAFollow ISACA on LinkedIn: www.linkedin.com/company/isacaLike ISACA on Facebook: www.facebook.com/ISACAHQ

DO YOU HAVE WHAT IT TAKES TO BE PART OF THE SOLUTION?

THERE’S NO SHORTAGE OF CYBER SECURITY THREATS

See graduation rates, median student debt, and other information at www.capellaresults.com/outcomes.asp .

ACCREDITATION: Capella University is accredited by the Higher Learning Commission.HIGHER LEARNING COMMISSION: https://www.hlcommission.org, 800.621.7440CAPELLA UNIVERSITY: Capella Tower, 225 South Sixth Street, Ninth Floor, Minneapolis MN 55402, 1.888.CAPELLA (227.3552)

©Copyright 2016. Capella University. 16-8594

BUT THERE IS A SHORTAGE OF IT SECURITY PROFESSIONALS

Get up-to-date security skills with Capella University’s Master’s in Information Assurance and Security (MS-IAS).

Specializations include Digital Forensics, Network Defense, and Health Care Security. Along the way to your MS-IAS, earn up to 3 NSA focus area digital badges showcasing your mastery of skills in speci� c cybersecurity areas. Plus, the knowledge you gained for your CISSP®, CEH®, or CNDA® certi� cations can help you earn credit toward your MS-IAS, saving you time and money.

ANSWER THE CALL. START TODAY. CAPELLA.EDU/ISACA OR 1.866.933.5836

8594-NSA Focus Area Badges_ISACA_Full page ad_d4_F.indd 1 3/30/16 5:12 PM



THERE’S NO SHORTAGE OF CYBER SECURITY THREATS

See graduation rates, median student debt, and other information at www.capellaresults.com/outcomes.asp .

ACCREDITATION: Capella University is accredited by the Higher Learning Commission.HIGHER LEARNING COMMISSION: https://www.hlcommission.org, 800.621.7440CAPELLA UNIVERSITY: Capella Tower, 225 South Sixth Street, Ninth Floor, Minneapolis MN 55402, 1.888.CAPELLA (227.3552)

©Copyright 2016. Capella University. 16-8594

BUT THERE IS A SHORTAGE OF IT SECURITY PROFESSIONALS

Get up-to-date security skills with Capella University’s Master’s in Information Assurance and Security (MS-IAS).

Specializations include Digital Forensics, Network Defense, and Health Care Security. Along the way to your MS-IAS, earn up to 3 NSA focus area digital badges showcasing your mastery of skills in speci� c cybersecurity areas. Plus, the knowledge you gained for your CISSP®, CEH®, or CNDA® certi� cations can help you earn credit toward your MS-IAS, saving you time and money.

ANSWER THE CALL. START TODAY. CAPELLA.EDU/ISACA OR 1.866.933.5836

8594-NSA Focus Area Badges_ISACA_Full page ad_d4_F.indd 1 3/30/16 5:12 PM


THERE’S NO SHORTAGE OF CYBER SECURITY THREATSBUT THERE IS A SHORTAGE OF IT SECURITY PROFESSIONALS

ISACA JOURNAL VOL 64

es esencialmente una declaración de principios y contiene la siguiente declaración: “Nosotros apoyamos firmemente un ciberespacio accesible, abierto, interoperable, seguro y confiable, como un aspectos esencial para el crecimiento económico y la prosperidad”. Al igual que muchos lectores de esta revista, he pasado toda mi carrera profesional tratando de construir sistemas de información accesibles, abiertos, interoperables, confiables y seguros, así que encontré particularmente gratificante este reconocimiento de parte de los líderes mundiales.

El hecho de que este tema se tratara en la agenda del G76, es el reconocimiento de que el ciberespacio no es seguro; es lo suficientemente inseguro como para que los intereses individuales y colectivos de estos países estén en peligro. Para poner esto en contexto, los otros temas que se abordaron en el mismo comunicado son: la economía mundial, la migración y los refugiados, el comercio, la infraestructura, la salud, las mujeres, la lucha contra la corrupción, el clima y la energía. La ciberseguridad, como una preocupación global, ha alcanzado un nivel realmente alto.

El comportamiento del estado

La sección ampliada del comunicado7 profundiza sobre este tema y contiene la siguiente frase:

“Nos comprometemos a promover un marco estratégico para la estabilidad cibernética internacional, el cual consiste en la aplicabilidad del derecho internacional existente para establecer el comportamiento en el ciberespacio, la promoción de normas voluntarias de un comportamiento estatal responsable en tiempos de paz, y el desarrollo y la implementación de medidas prácticas de fomento de la confianza cibernética entre los estados”8.

He destacado con letra cursiva la frase de la cita anterior porque ésta tiene una carga significativa. Esta clama por la promoción de “normas”, las cuales yo entiendo significan estándares. Me había quejado previamente de la falta de normas para la ciberseguridad9, de manera que encontré esta llamada muy alentadora. Estas normas serán necesariamente “voluntarias” porque no existe ningún organismo internacional que las fuerce a cumplir. Pero, como en otras declaraciones supranacionales (por ejemplo, las directivas de la Unión Europea), está implícito que estas normas deben ser incorporadas en las leyes y reglamentos de las naciones que han suscrito este

seguridadInformación

materia El G7 y la Ciberseguridad

¿Tienes algo que comentar sobre este artículo?Visita las páginas del Journal en el sitio web de ISACA (ww.isaca.org/journal), encuentra el artículo y da click en el link Comments para compartir tus pensamientos.

Steven J. Ross, CISA, CISSP, MBCPEs director ejecutivo de Risk Masters International LLC. Desde el año 1998 Ross ha estado escribiendo en una de las columnas más populares de esta revista. Ross puede ser contactado en la dirección [email protected].

Me enteré por primera vez del término MEGO en una columna del gran erudito conservador, William Safire1. En su Diccionario Político, Safire2 define este término como un acrónimo de la frase “mis ojos se ponen vidriosos (My Eyes Glaze Over)” y como “algo que, sin duda, es importante pero paralizantemente aburrido”3. Hay pocos temas tan MEGO como las reuniones del G7, las cuales son las reuniones de los líderes de las democracias industrializadas del mundo. Sabes que ellas ocurren; sabes que son importantes. Pero, ¿puedes nombrar a los siete países que componen el G74, y peor aún, acordarte de los nombres de sus líderes?, ¿Tienes alguna idea de lo que hablan o hacen?

Con esta provocativa introducción, tus ojos probablemente comenzaron también a nublarse y ya tienes la mano en la esquina de la página, a punto de cambiarla. Por favor, permanece un rato más por una de las MEGO del G7 que deberías conocer. En mayo de 2016, los líderes del G7 se reunieron en la ciudad de Ise-Shima, Japón, y elaboraron un documento que tiene un significado real para todos nosotros a los que nos preocupa la seguridad cibernética.

La declaración de los líderes del G7 de Ise-Shima

El comunicado oficial de la reunión5 contiene un párrafo introductorio bajo el título de Cyber. Esta

ISACA JOURNAL VOL 6 5

• Promoción y protección de los derechos humanos y los principios de la norma jurídica en línea

Sin embargo, hay algunas pocas afirmaciones que podrían tener un impacto real si realmente los países del G7 se adhieren a ellas. La principal de ellas es la afirmación de que “las ciber actividades podrían llevarnos al uso de la fuerza o a un ataque armado, considerando el significado de la Carta de las Naciones Unidas y las leyes internacionales”. Hasta ahora, no ha habido incidentes en los cuales ataques cibernéticos hayan conducido a enfrentamientos, aunque es evidente que tales ataques ya han sido utilizados como parte de una guerra ya en marcha, específicamente la guerra entre Rusia y Georgia en el año 200812. El ex Secretario de Defensa estadounidense, Leon Panetta, ha advertido la posibilidad de un “Ciber Pearl Harbor”.13 La aceptación de esta preocupación por las otras seis naciones como un “casus belli” (acto de guerra) es, en mi entender, una condición necesaria, pero más bien alarmante, solo un paso.

Los principios contienen una declaración tan específica que su inclusión entre las otras declaraciones con menor sentido nos viene como un pequeño golpe: “También damos la bienvenida a enfoques proactivos tales como –Privacidad desde el Diseño-, que toma en cuenta la privacidad y la protección de los datos personales durante todo el proceso de ingeniería”. El término “Privacidad desde el Diseño” se originó en la década de 1990 por parte de Ann Cavoukian, quien había sido la Comisionada de Ontario para la Información y su Privacidad14. Desde entonces, se ha convertido en un estándar global de privacidad, ampliamente aceptado, que ciertamente se reafirma con la mención por parte del G7.

Los siete líderes nacionales comprometieron a sus países a la cooperación entre los equipos nacionales de respuesta ante incidentes de seguridad informática. (Bueno, en realidad ellos no están comprometidos. Ellos prometieron hacer el “esfuerzo”). Estos equipos, más conocido como CERT nacionales, tales como CERT-FR, US-CERT y el CERT en el Reino Unido, son repositorios de información sobre los ataques cibernéticos y son proveedores de ayuda en sus respectivas naciones para aquellas personas que hayan sido atacadas. La cooperación internacional para la seguridad cibernética no es nueva, pero lo nuevo es el reconocimiento de la necesidad de que las naciones trabajen juntas para combatir los ataques

compromiso. La referencia a “un comportamiento estatal responsable” implica que aquellos países que están comprometidos con desarrollar ataques cibernéticos de estado a estado, están actuando de manera irresponsable. El calificativo “en tiempos de paz” no dice nada en cuanto a que los ataques cibernéticos sean acciones legítimas en tiempo de guerra.

Los líderes del G7 se limitaron a las acciones de los estados, a pesar de que son también parte los “actores no estatales, incluyendo los terroristas”. Es difícil imaginar que ISIS o Al Qaeda se vayan a impresionar por una declaración de los líderes responsables de las naciones industrializadas del mundo. Tal vez, y más bien importante, la inclusión de estos actores no estatales es una declaración de facto de la ciberguerra a los grupos e individuos terroristas. Para mí esto estaría bien, ya que los terroristas han declarado claramente una guerra cibernética en el mundo.

Más abierto a la interpretación es el efecto de este acuerdo en las naciones que no fueron invitadas a la reunión. Una investigación reciente10, tan reciente como el año 2011, indica que ninguno de los países del G7, a excepción de los Estados Unidos, ha sido vista haber perpetrado ataques cibernéticos de estado a estado. No está claro, al menos para mí, si la declaración del G7 es un reproche directo a los países que se dedican a desarrollar ataques cibernéticos o, bien, es la aceptación de que al menos uno de los países del G7 ya se está llevando a cabo ataques contra otros estados que considera como adversario..Principios del G7 y acciones sobre el ciberespacio

Acompañando al comunicado y referenciado en él, existe un anexo titulado “Principios del G7 y acciones sobre el ciberespacio”11. Se trata de un documento breve, de apenas tres páginas punteadas con viñetas que, en su mayor parte, es una enumeración de objetivos de alto nivel, con poca o ninguna mención de cómo éstos podrían ser logrados. Estos principios incluyen:

• Acceso justo e igualitario al ciberespacio

• Respeto y promoción de la privacidad, la protección de datos y la ciberseguridad

• Un enfoque de múltiples partes interesadas para el gobierno de la Internet


5 G7 2016 Ise-Shima Summit, “G7 Ise-Shima Leaders’ Declaration,” 26-27 May 2016, www.mofa.go.jp/files/000160266.pdf

6 Full disclosure: My colleague at Risk Masters International, Allan Cytryn, is also an executive board member of the Boston Global Forum, which contributed to the agenda for the Cyber portion of the Ise-Shima meeting, http://bostonglobalforum.org/2016/05/the-bgf-g7-summit-initiative-ise-shima-norms/.

7 Op cit, G7 2016 Ise-Shima Summit 8 Ibid. 9 Ross, S.; “Frameworkers of the World, Unite,

Part 2,” ISACA® Journal, vol. 3, 2015, www.isaca.org/Journal/archives/Pages/default.aspx

10 Valeriano, B.; R. C. Maness; “The Dynamics of Cyber Conflict Between Rival Antagonists, 2001–11,” Journal of Peace Research, vol. 51, iss. 3, 2014, p. 347-360

11 G7 2016 Ise-Shima Summit, “G7 Principles and Actions on Cyber,” 26-27 May 2016

12 Markoff, J.; “Before the Gunfire, Cyberattacks,” The New York Times, 12 August 2008, www.nytimes.com/2008/08/13/technology/13cyber.html

13 Department of Defense, “Remarks by Secretary Panetta on Cybersecurity to the Business Executives for National Security, New York City,” USA, 11 October 2012, http://archive.defense.gov/transcripts/transcript.aspx?transcriptid=5136

14 Cavoukian, A.; “Privacy by Design: The 7 Foundational Principles,” Information and Privacy Commissioner of Ontario, August 2009 (revised in January 2011), https://www.ipc.on.ca/images/Resources/7foundationalprinciples.pdf

cibernéticos, todo ello liderado por sus jefaturas de gobierno. Desde el momento que no hay una sola empresa que pueda resolver por sí sola el problema de la seguridad informática (lo que sea que signifique “resolver” en este contexto), el G7 está diciendo que tampoco ningún país puede hacerlo por sí solo.

Los pronunciamientos del G7 sobre ciberseguridad no han sido ampliamente difundidos, tal vez porque también muchos editores tienen los ojos vidriosos. Estos pronunciamientos no son un tratado; no tienen fuerza de ley; y también muy pocos países estuvieron de acuerdo con ellos. Pero estos pronunciamientos constituyen una importante afirmación que el tema de la ciberseguridad ha alcanzado un nivel de preocupación tal que los presidentes y primeros ministros deban abordarlo. Nosotros, los profesionales de la seguridad que estamos haciendo el trabajo de construir protecciones adecuadas contra los ataques cibernéticos, podemos tener algún consuelo al saber que nuestros esfuerzos no van a quedar sin reconocimiento por parte de los líderes del mundo..Notas finales

1 Safire, W.; “MEGO,” The New York Times, 6 September 1973, www.nytimes.com/1973/09/06/archives/mego-essay.html?_r=0

2 Safire, W.; Safire’s Political Dictionary, Oxford University Press, UK, 2008

3 Ibid., p. 423 4 Canada, France, Germany, Italy, Japan, the

United States and the United Kingdom

¿Disfrutto este artículo??

• Aprenda más acerca, discute y colabora con la gestión de seguridad de la información en el Centro de Conocimiento. www.isaca.org/Information-Security-Management

More timely content, delivered more frequently.

COBIT FocusNews and Case Studies About COBIT 5

NOW AVAILABLE MONTHLY!

COBIT Focus provides practical-use articles, case studies, best practices and news—and now you can connect and share knowledge with the COBIT community by having this ISACA newsletter delivered to your email inbox every month.Subscribe for free at www.isaca.org/info/cobit-focus/index.html


El desafío de las habilidades blandas, Parte 6 Barreras del aprendizaje para aprender

En columnas anteriores he examinado en cómo facilitar el proceso de aprendizaje para aprender, cubriendo la adquisición de conocimientos, la taxonomía del conocimiento y herramientas tales como el mapeo mental y la desconstrucción de documentos.

Si bien es cierto el aprendizaje continuo es esencial, existen muchas barreras para lograrlo. En esta columna se exploran las barreras más comunes y, de ser posible, se proporcionan consejos y sugerencias para superarlas.

Postergación

Natural, casi instintiva, la postergación es la filosofía de “No hagas hoy lo que puedes hacer mañana”. La definición de “mañana” varía en muchas culturas y lugares. Puede que no signifique el día después de hoy, sino más bien en un tiempo futuro no especificado.

Independiente de los detalles, la postergación es un enemigo poderoso del progreso y del éxito. Se necesita disciplina considerable para superar la tentación de evitar hacer ahora lo que ahora necesita ser hecho. Una búsqueda rápida en Internet sobre “técnicas para evitar la postergación” revelará que existen muchas fuentes o tácticas que pueden ayudar a superar la tentación de posponer las cosas.

El punto es hacer la búsqueda y comenzar a tomar medidas ahora.

El cerebro perezoso

Mientras que el cerebro representa, en promedio, sólo el 2 por ciento del peso corporal, consume el 80 por ciento de energía de una persona normal y está increíblemente ocupado controlando todo lo que una persona hace, siente, dice y piensa.

La naturaleza ha tomado medidas para esto, forzando al cerebro a descansar de varias formas, las que incluyen al sueño, dormir y la construcción de rutinas. Las rutinas son como una vía de ferrocarril que hace que el cerebro siga caminos bien definidos, creados a lo largo de los años, para reducir su carga de trabajo, proceso que se conoce como “competencia inconsciente”.

El proceso de aprendizaje empuja al cerebro hacia caminos conocidos, irregulares y que no se repiten, pasando por este nuevo camino muchas veces, reforzándolo hasta el punto en que se convierta en útil y lo retenga largo tiempo en la memoria. Esto representa una progresión de la incompetencia inconsciente (donde el alumno no sabe lo que él/ella no sabe) a la incompetencia consciente (una etapa en la que el nuevo conocimiento todavía no se ha logrado completamente).

¿Tienes algo que comentar sobre este artículo?Visita las páginas del Journal en el sitio web de ISACA (ww.isaca.org/journal), encuentra el artículo y da click en el link Comments para compartir tus pensamientos

Ed Gelbstein, Ph.D., 1940-2015Trabajó en SI/TI, tanto en el sector público como en el privado, en varios países por más de 50 años. Gelbstein hizo desarrollo analógico y digital en la década de 1960, incorporando computadores digitales en el sistema de control para procesos continuos a finales de los años 60 y principios de los 70, y administró proyectos de gran tamaño y complejidad hasta principios de 1990. En los años 90, se convirtió en un ejecutivo de los pre-privatizados ferrocarriles británicos y luego fue proveedor global de comunicaciones informáticas y de datos en las Naciones Unidas. Después de su (semi) retiro de la ONU, se unió al equipo de auditores del Consejo de Auditores de las Naciones Unidas y a la Oficina de Auditoría Nacional Francesa. Gracias a su espíritu generoso y su escritura prolífica, su columna continuará siendo publicada en el diario póstumo de ISACA.

Stefano BaldiEs un diplomático de carrera italiano y uno de los pioneros en la adopción de los sistemas de información y comunicaciones, además de un impulsor del uso extensivo del aprendizaje en línea. Baldi es director de entrenamiento en el Ministerio de Asuntos Exteriores de Italia. Sus puestos diplomáticos han incluido servir como representante permanente de Italia en la ONU en Ginebra, Suiza, y, posteriormente, en la ciudad de Nueva York, Nueva York, EE.UU., y en la Unión Europea en Bruselas, Bélgica. Baldi es autor y coautor de varios libros sobre temas relacionados con la diplomacia y ha realizado cursos para diplomáticos de todo el mundo sobre temas tales como la gestión de la información y la seguridad de la información.

IS auditoríabasica


La dificultad en hacerse el tiempo para concentrarse y pensar

Tal vez uno de los desafíos predominantes en muchas sociedades, es la presión incesante que existe en el lugar de trabajo debido a que se tiene que asistir a reuniones, gestionar una variedad de asuntos administrativos, estar ubicable 24/7, responder inmediatamente el correo electrónico y atender mini-crisis. Esto crea un ambiente de urgencia artificial.

Para aquellos que deseen aprender desde su casa, los retos son igualmente exigentes: el calendario doméstico de eventos (cenas, visitas, actividades domésticas) y, lo más importante, las necesidades humanas de contacto y apoyo de los demás miembros de la familia.

Sin embargo, el aprendizaje se vuelve imposible si no nos hacemos el tiempo para estudiar y pensar (el encontrar el tiempo es poco probable).

Una de las organizaciones con las cuales los autores han colaborado, proporciona entrenamiento en línea a diplomáticos con trabajo de tiempo completo. Los módulos de estudio están diseñados para ofrecer contenido atractivo de una manera concisa que permite su realización en un tiempo relativamente corto. A los estudiantes del curso se les ha distribuido cientos de copias de las tarjetas, como la que se muestra en la figura 1, que son también consejos para conversar y acordar sobre sus necesidades de tiempo con sus jefes y sus familias.

Figura 1—Tiempo para estudiar ayuda

Fuente: DiploFoundation. Reimpresa con permiso.

Si la progresión no continúa más allá de la incompetencia consciente, el aprendizaje será olvidado rápidamente (por ejemplo, un idioma extranjero aprendido hace muchos años y muy poco retenido hoy día). La memoria a corto plazo es rápidamente borrada (por ejemplo, la experiencia común de buscar las llaves del auto o la de tus lentes utilizados solo unos momentos antes).

Incluso si se ha alcanzado una competencia consciente, si no se mantiene con la práctica continua se degradará debido a que la memoria a largo plazo se sobrescribe con otros temas. El conocimiento común sugiere que montar una bicicleta es una habilidad que, una vez aprendida, nunca se olvida; la sabiduría común sugeriría no poner esto a prueba cuando haya mucho tráfico.

Para obtener más información sobre los mecanismos del cerebro, un buen comienzo es leer el libro Las Reglas del Cerebro1. Edward de Bono y Tony Buzan son otros dos autores que han hecho valiosas contribuciones a los procesos del pensamiento y el aprendizaje. Puede ser gratificante descubrir más sobre su trabajo. Después de todo, el cerebro humano no viene con un manual de usuario, por lo que no siempre es obvio cómo hacer un mejor uso de sus capacidades.

Equilibrio vida/trabajo

Para estar comprometidos en el trabajo de uno es vital la satisfacción en el trabajo, el sentido de creación de valor y de ser reconocido. Fuera del trabajo, cada uno de nosotros tiene un conjunto diferente de valores, aspiraciones, compromisos y relaciones. La calidad de vida mejora cuando todos estos factores están equilibrados.

El aprendizaje de una nueva materia rompe este equilibrio y requiere compromiso que, si se deja sin atender, pueden convertirse en estrés aun cuando este tipo de aprendizaje es esencial para la sobrevivencia profesional.

Es más probable que el proceso de aprendizaje tenga éxito cuando el individuo está organizado y motivado y mantiene un estilo de vida saludable que incluye horas de descanso de calidad y ejercicio físico. Los antiguos romanos abogaban por un mens in corpore sano (mente sana en un cuerpo sano). En estos tiempos los neurólogos y psicólogos coinciden plenamente.


aprendizaje mencionadas anteriormente, o ni siquiera consideran el apoyo para asistir a clases nocturnas, conferencias o reuniones de una asociación, por ejemplo, las reuniones locales de los capítulos de ISACA. No siempre es ideal intentar estudiar en la casa, a menos que exista una habitación donde el estudiante pueda esconderse durante algunas horas sin el riesgo de tener que aislarse del resto de la familia.

La calidad del material didáctico

El material didáctico ideal debe ser conciso, contener material “justo a tiempo” en lugar de “por si acaso”, contar con un amplio uso de ilustraciones, estar estructurado en módulos manejables e incluir pruebas para validar hasta qué grado el lector ha comprendido el módulo.

Desafortunadamente no siempre este es el caso, como por algunos materiales que están diseñados para presentar unas 500 páginas o una guía muy completa de un tema. El contenido del material podría ser brillante, pero pasar por él resultaría similar a tener que leer un diccionario como si se tratara de una novela. Mientras que los mapas mentales y la deconstrucción del documento pueden ayudar a cambiar el formato del material en partes más digeribles, el proceso de aprendizaje está en desventaja cuando los autores del material no están familiarizados con el cómo construir un material didáctico.

Compromiso personal con el aprendizaje

Esto es absolutamente esencial. Un proverbio nigeriano dice “No saber es malo; no desear saber es peor”2. Para aquellos que desean mantener sus conocimientos frescos, actualizados y adecuados a sus actividades profesionales, es importante tener esto en cuenta en todo momento, lo mismo es aplicable, por supuesto, para el material relacionado con los intereses personales, que van desde cambios en la legislación tributaria a las artes.

Para aquellos que tienen tal nivel de compromiso, existen oportunidades fascinantes para explorar material excepcional, la mayoría gratuito, de varios proveedores de cursos online masivo (MOOC—Massive Open Online Course).

Distracciones e interrupciones

La mayoría de las personas están diariamente llenas de solicitudes (“¿Cuándo llegarás a casa?”, “¿Tienes un minuto?”). Estas solicitudes, aunque sean legítimas y justificadas, interfieren con el estado de flujo mental que requiere el aprendizaje. En ocasiones es fácil preguntar si la solicitud puede esperar hasta más tarde, a veces no. A veces es útil un cartel de “no molestar”. En última instancia, les corresponde a las personas proteger su tiempo de aprendizaje de interrupciones, lo que requiere contar con buenas habilidades en el arte de decir “no”. Una búsqueda en Internet apuntará a muchas fuentes relacionadas con esta habilidad.

Crear un nivel adecuado de aislamiento y concentración mientras se aprende, puede requerirle al alumno ejercer fuerza de voluntad para desconectarse y evitar todo tipo de dispositivos (por ejemplo, teléfonos inteligentes, tablets, correo electrónico). Desafortunadamente, muchos parecen incapaces de hacerlo. Es bastante común que esta incapacidad tenga un nombre (o dos): miedo de llevar la misión a cabo (FOMO—Fear of Mission Out) e incapacidad de desconectarse (ITSO—Inability to Swich Off).

Poco o nulo apoyo en el trabajo o en el hogar

Existen muchas combinaciones de factores que apoyan o dificultan el aprendizaje en el trabajo, relacionado con las herramientas y técnicas. Una condición ideal es que la organización cuente con políticas que alienten a las personas a adquirir tales conocimientos durante las horas de trabajo. Estos pueden incluir la hora del almuerzo o seminarios o talleres temprano en la tarde, el fomento al acceso a material de aprendizaje en línea (propio de la empresa o de otra persona), grupos de discusión sobre temas específicos, y el entrenamiento interno dirigido por un instructor o facilitador. Por supuesto, estos apoyos pueden ser acompañados por un requerimiento formal del empleado de querer adquirir y retener las certificaciones correspondientes.

Otras organizaciones, menos apoyadores, consideran que la adquisición de nuevos conocimientos es responsabilidad del empleado, y no proporcionan ninguna de las opciones de


• Aprenda más acerca, discute y colabora con la gestión del aprendizaje en el Centro de Conocimiento. www.isaca.org/topic-career-management


así es, hacer nada no es una opción real. El lector está invitado a desarrollar un plan de aprendizaje personal y ponerlo en práctica. Idealmente, el resultado será la percepción de que la adquisición de nuevos conocimientos es un placer, no un problema.

Notas finales

1 Medina, J.; Brain Rules (Updated and Expanded): 12 Principles for Surviving and Thriving at Home, Work, and School, Pear Press, USA, 2014, www.brainrules.net

2 Boston University Pardee School of Global Studies, African Studies Center, Massachusetts, USA, www.bu.edu/africa/outreach/resources/np/

Habilidades de aprendizaje personales

La parte 1 de esta columna, la cual fue publicada en el año 2015, volumen 3 de la revista Journal de ISACA, analiza las formas en que las personas adquieren la información y lo que se necesita para convertirla en conocimiento para que pueda ser aplicado a situaciones específicas. Se invita al lector a reflexionar y experimentar en diferentes formatos, tales como libros de audición, aprendizaje en línea, material visual, interacción con otros, y el juicio personal y error para identificar cuál de estos, o la combinación de estos, es la más eficaz para él/ella.

Conclusión

Se espera que el lector acepte la doble noción de que, adquirir y mantener las habilidades son esenciales para la supervivencia profesional. Si

MINIMIZE THE IMPACT OF PREVALENT CYBER THREATSBetter understand critical cyber threats to global enterprises and discover which controls best defend against these specific threats. The new Threats & Controls tool from CSX can help you quickly identify key controls to counter many of today’s top cyber security threats. Prepare to minimize and mitigate growing cyber threats, enhance your expertise and easily share what you learn with colleagues to increase your influence and ready your career for advancement.

Try the Threats & Controls tool free at: www.isaca.org/threats-and-controlsjournal

CYBER STRONG.

Saint Leo University offers competitive degree programs designed to train students in the field of cybersecurity.B.S. Computer Science - Information AssuranceB.S. Cybersecurity M.S. Cybersecurity

National Security Agency and the Department of Homeland Security have designated Saint Leo University as a National Center of Academic Excellence in Cyber Defense Education (CAE-CDE) through academic year 2021.

800.707.8846 | SaintLeo.edu

Claim your future in the high demand Cybersecurity and information assurance/security fields. Students will be educated in the technical aspects of Cybersecurity systems and will be prepared for the management, operations and oversight of these systems.

Classes are forming now in our state-of-the-art Cybersecurity laboratory and online.

CYBER STRONG.

Saint Leo University offers competitive degree programs designed to train students in the field of cybersecurity.B.S. Computer Science - Information AssuranceB.S. Cybersecurity M.S. Cybersecurity

National Security Agency and the Department of Homeland Security have designated Saint Leo University as a National Center of Academic Excellence in Cyber Defense Education (CAE-CDE) through academic year 2021.

800.707.8846 | SaintLeo.edu

Claim your future in the high demand Cybersecurity and information assurance/security fields. Students will be educated in the technical aspects of Cybersecurity systems and will be prepared for the management, operations and oversight of these systems.

Classes are forming now in our state-of-the-art Cybersecurity laboratory and online.

Marcus Chambers, CISM, CGEIT, CEng Es un profesional de seguridad de la información experimentado quien ha trabajado en una gran variedad de diferentes sectores a través de un amplio rango de compañías. Ha trabajado a un nivel senior por un gran número de años que incluyen el sector de servicios financieros, y es experimentado en la conducción de temas desafiantes y en el diálogo con partes interesadas (stakeholders) de nivel senior. Chambers ha creado road maps y entregado programas de mejora en materia de seguridad en varias corporaciones multinacionales. Él obtiene gran satisfacción personal en la entrega efectiva y el gobierno robusto de programas de cambio.


Q: ¿Cómo piensas que el rol de los profesionales de seguridad de la información está cambiando o ha cambiado?

A: Actualmente podemos basar las decisiones de inversión en evidencia de eventos que han ocurrido. Los clientes comúnmente preguntan si ellos están gastando mucho o muy poco dinero en comparación con los pares de la industria, y ahora podemos generar comparaciones (benchmarks) de gastos dentro de diferentes industrias para informar los balances de los clientes en materia de decisiones de inversión en una forma que no era posible anteriormente, a medida que la seguridad no era considerada con suficiente importancia para garantizar su propio presupuesto.

La proliferación de la tecnología significa que más gente es capaz de entender nuestros desafíos. Será más fácil traducir amenazas y riesgos usando un léxico común y por ende invertir de manera más efectiva, entendimiento y cumplimiento de la gente dentro de la organización entera. Yo creo que veremos un incremento en los beneficios desde nuestra habilidad para trabajar en conjunto a través de múltiples sectores compartiendo información en amenazas y en cómo organizaciones en diferentes industrias y potencialmente en

diferentes países han respondido.

Q: ¿Cómo ves que los roles de seguridad de la información y en específico la ciber seguridad cambiarán en el largo plazo?

A: Creo que veremos un mayor interés del público en general en mantener segura su información personal. Actualmente, si a la gente se le pregunta por sus detalles personales, incluso si sólo se están registrando en, por ejemplo, un nuevo dentista o grupo social, es probable que pregunten: “Si le paso mi información personal, ¿será capaz de garantizar su seguridad?”.

Ceo que más consumidores deberían realizar esta pregunta en toda ocasión que les sea preguntado su nombre, dirección o fecha de nacimiento.

Q: ¿Cómo es que las certificaciones que has obtenido te han ayudado a avanzar o potenciar tu carrera profesional?¿Cuáles son las certificaciones que buscas cuando reclutas a un nuevo miembro de tu equipo?

A: No habría podido obtener mi rol actual sin la certificación Certified Information Security Manager® (CISM®) y estoy muy orgulloso de tener una cualificación que es ampliamente reconocida.

Las principales certificaciones que busco son la Certified Information Security Manager® (CISM®) o la CISSP, y la mayoría de las especificaciones para empleos de seguridad pedirán una de estas dos de manera obligatoria. También busco el interés por la profesión y un ávido deseo por aprender, mantenerse actualizado en los temas actuales y entendimiento del contexto en el que estamos operando. Es importante ser capaz de relacionar eventos de seguridad al riesgo, cualificaciones tan aptas tales como Certified in Risk and Information Systems ControlTM (CRISCTM) también son altamente consideradas.

Q: ¿Cuáles crees que son las formas más efectivas para atender las brechas en habilidades de ciber seguridad?

A: Este es un problema complejo y tardará un tiempo en atenderse. En el Reino Unido, estamos haciendo más mediante la enseñanza de código en las escuelas y promoviendo la ciencia, tecnología, ingeniería y matemáticas (STEM como acrónimo del nombre de las disciplinas en inglés), pero tomará algunos años para ver realizados los frutos de esta labor. En el corto tiempo, necesitamos ampliar nuestra base de reclutamiento para asegurar una mayor paridad de género y también necesitamos

laredhacer las certificaciones más accesibles a aquellos quienes son nuevos en la industria. ISACA® está realizando un buen trabajo con el certificado de fundamentos de ciber seguridad.

Q: El Reino Unido es ampliamente considerado como el centro de Europa de la ciber seguridad con el mayor talento de ciberprofesionales. ¿Cuál crees que será el impacto a largo plazo que el Brexit tendrá en materia de ciber seguridad en Europa y de manera global?

A: El Reino Unido en la actualidad está sólidamente afianzado como el centro de la comunidad de negocios internacionales y aun así ha tenido que invocar el Artículo 50, que significa que en el corto al mediano plazo el impacto es probable que sea bajo. Existe el riesgo potencial en el largo plazo que la cooperación en materia de ciber seguridad con la Unión Europea, a pesar de los obstáculos podría no ser del interés de nadie.

En términos de la posición del Reino Unido en Europa, un ejemplo relevante es la introducción planificada de la Regulación de la Protección de Datos Generales de la Unión Europea, la cual aún afecta a las organizaciones del Reino Unido con base en Europa, que maneja

datos de la Unión Europea post-Brexit. Si el Reino Unido no promulga una ley similar bajo la legislación del Reino Unido (concerniente a los datos mantenidos dentro del Reino Unido para los ciudadanos del Reino Unido), temo que el Reino Unido pueda perder si sus estándares de protección de datos son percibidos como más bajos que los países de la Unión Europea.

Los niveles de privacidad y seguridad de datos son preocupaciones válidas y los consumidores podrían elegir la mejor ubicación para mantener sus datos almacenados, o el régimen más amigable con el cual operar. La Unión Europea debe mantener la elección más óptima en el mercado. Q: Tú tienes una considerable experiencia militar. ¿Qué rol crees que las fuerzas armadas tomarán para combatir las amenazas de ciberterrorismo y ciberguerra?

A: La ciberguerra, o cuando menos las ciberinterferencias estado a estado ya han tenido lugar y no tengo duda que las fuerzas armadas del Oeste están trabajando con otros organismos gubernamentales para compartir información para asegurar un nivel apropiado de protección.Las fuerzas armadas del Oeste convencionales son muy buenas usando marcos de trabajo ISACA JOURNAL VOL 6 13

¿Cuál es el mayor desafío de seguridad que será enfrentado en 2017? ¿Cómo debiera ser enfrentado?Imponiendo leyes internacionales en contra de los cibercriminales quienes operan a través de los límites internacionales. Asegurar que se puede operar en línea en un sistema internacional basado en reglas dónde las leyes apliquen a todos, sigue siendo un desafío que perdura.

¿Cuáles son tus tres metas para 2017

• Completar mi tercer y última maestría de postgrado, Maestría en Ciencia (MSc por sus siglas en inglés) de Seguridad de la Información.

• Aprender a tocar la guitarra (después de los exámenes de verano de la MSc)

• En materia deportiva, hacer flexiones parado de manos (¡mira la pregunta final!)

¿Cuál es tu blog favorito? • Krebs on Security

• Actualizaciones de seguridad del Instituto Nacional para los Estándares y la Tecnología de Los Estados Unidos (NIST por sus siglas en inglés)

• Artículos de tecnología de las publicaciones: The Wall Street Journal y el Financial Times.

¿Qué cosa está en tu escritorio en este momento?

Mi botella de agua, mi MacBook Air y mi cuaderno organizador (Bullet Journal) tamaño A5

¿Cuál es tu consejo número uno para otros profesionales en Seguridad de la Información?Aprender bien los fundamentos y todo lo demás fluye.

¿Cuál es tu beneficio favorito de tu membresía de ISACA®?

Acceso a materiales de investigación, marcos de trabajo y otros informes y artículos

¿Qué haces cuando no estás en el trabajo?

Leo tan ampliamente como puedo la historia militar y política así como un amplio rango de ficción y amo hacer ejercicio. Recientemente me convertí en un adicto al CrossFit pero trato de no hablar de ello.

1

2

3

4

5

6

7

existentes tales como la OTAN (Organización del Tratado del Atlántico Norte), para el incremento en la cooperación internacional y la disuasión de amenazas.El uso de organizaciones como un vehículo para mayor cooperación debería actuar como un ejemplar para organismos comerciales y no de Estado para trabajar en conjunto para combatir amenazas, compartir información y aprender el uno del otro.

Q: ¿Cuál ha sido el mayor desafío de tu lugar de trabajo o de carrera profesional y cómo lo enfrentaste?

A: Mi transformación desde las fuerzas armadas fue un desafío significativo. Para superar el desafío tomé el consejo de colegas quienes dejaron las fuerzas armadas antes que yo, me hice de redes de contacto y me aseguré que tuviera las cualificaciones apropiadas para exhibir mi conjunto de habilidades. Hice que el desafío fuera un poco más duro al querer integrarme almundo comercial, más que trabajar en los sectores de defensa o público en los cuales estaba más familiarizado, pero estoy muy contento con el resultado, he aprendido muchísimo y disfruto los desafíos de cada día.


A la par de los observadores del ciberespacio de primera generación, una comunidad de especialistas en ética evolucionó para dar dar forma a las cuestiones morales en el espacio de la información cada vez más dominante. Cuando uno predijo el impacto de las computadoras en la sociedad desde el principio, varios líderes de opinión siguieron el hilo, incluyendo uno que define la ética informática como “un ámbito en cuestión con las aspiradoras de política y confusiones conceptuales en relación con el uso social y ético de la tecnología de la información (el subrayado es nuestro)”2.

IEs importante examinar la posible conexión entre la llegada del ciberespacio y un mayor nivel de interés en la ética de la información. Las cuestiones éticas son derivados de los cambios en el dominio en cuestión que dan lugar a nuevos conjuntos de dilemas. La aparición del ciberespacio ha producido una nueva cosecha de los dilemas más difíciles a resolver, a pesar de los preceptos y paradigmas para hacer frente a ellos siguen siendo los mismos. Por lo tanto, la práctica de la ética es desafiado, mientras que los principios éticos subyacentes permanecen estables. En ausencia del ciberespacio, la información que existía en el momento estaba controlada, y el intercambio de información ha sido

En su libro Código1, Lawrence Lessig habla sobre los dos teóricos de la primera generación del ciberespacio que dieron a luz historias sobre el futuro del ciberespacio en 1996. Uno contempla que el futuro será un pacto entre dos fuerzas de orden—código social y comercio—mientras que el otro hizo hincapié en cómo el Internet ofrecerá más control al gobierno. El paso de unos 20 años desde estas predicciones ha traído cambios tectónicos en el código y el comercio, lo que afecta el orden social a lo largo del camino. En un corto período de tiempo, hemos dado paso precipitadamente en la segunda generación del ciberespacio.

Existen diferencias significativas entre la primera y la segunda generación del ciberespacio. La primera generación se dedicó a compartir la información, especialmente en el mundo académico y sobre todo para la investigación. La seguridad, la confidencialidad y la autenticación de usuarios eran nominalmente importante; la emoción primaria surgió de la capacidad de conectarse y compartir proyectos, el intercambio de información en tiempo real, y trabajar con sus compañeros y profesionales de forma remota. La segunda generación vio la migración del código para el mundo del comercio, donde la creación de valor económico, la eficiencia, la autenticación y la seguridad de la información adquirió importancia primordial. La velocidad de llegar al mercado, la globalización, la ampliación de las masas, éstas se hizo cargo de la agenda para el establecimiento de prioridades y la asignación de recursos en las empresas. Sin problemas de la primera generación del ciberespacio se convirtió en preocupaciones significativas de la segunda generación.

Vasant Raval, DBA, CISA, ACMAEs un profesor de contabilidad en la Universidad de Creighton (Omaha, Nebraska, EE.UU.). El co-autor de dos libros sobre los sistemas de información y seguridad, sus áreas de enseñanza e intereses de investigación incluyen la seguridad de la información y la gestión empresarial. Las opiniones expresadas en esta columna son personales y no las de la Universidad de Creighton (Nebraska, USA). Él puede ser contactado en [email protected].


Ética de la información a mediados delsiglo 21Esta es la última entrega de la columna de la Ética de la Información. ISACA® desea reconocer con profunda gratitud al autor de esta columna, Vasant Raval, por su significativa contribución de liderazgo de pensamiento al Journal de ISACA® y a los lectores de todo el mundo a través de los años. La columna permanecerá archivado en el sitio web de ISACA para su referencia.

La aparición del ciberespacio ha producido una nueva cosecha dedilemas difíciles de resolver, aunque los preceptos y paradigmas para hacerles frente siguen siendo los mismos.


lógica. Así es como el transporte como un servicio nace con Uber y la hospitalidad como un servicio con Airbnb. Evidentemente, los dispositivos son necesarios; sin embargo, es maleabilidad lógica que crea valor.

Orden social

El ciberespacio apalancado por el comercio crea una compleja red de interacciones entre las partes interesadas, que repercuten en el orden social. Debido a que el orden social es la cara de la humanidad, refleja la aceptación y el respeto de la conducta centrada en el valor por parte de los individuos y las organizaciones. El orden social, en otras palabras, es donde la prueba de fuego de los valores humanos practicadas es evidente7. Se puede argumentar que los valores son de dos tipos: estructurales y sustantivos. De acuerdo con un experto en ética, la Constitución de Estados Unidos y la Declaración de Derechos son indicativos de estos valores, respectivamente8. Si bien ambos son críticos y complementarios en los juicios de valor, es el aspecto sustantivo del ciberespacio que cambia constantemente, creando nuevas realidades económicas y presentando nuevos desafíos éticos. Al proporcionar una plataforma para el llamado de un viaje, Uber y sus competidores han cambiado la dimensión sustantiva del ciberespacio. El proveedor

protegida y con un propósito intencional. Con el advenimiento del ciberespacio, la compartibilidad de la información ha alcanzado niveles astronómicos (¡y hay más lejos que ir!). Preguntas acerca de quién controla la información compartida de repente disponibles en el ciberespacio y como tal control pueden ser utilizados por aquellos que poseen la información son fundamentales para las cuestiones de justicia, la equidad, el trato justo, la privacidad, la confidencialidad y así sucesivamente. Cómo se abordarán estas cuestiones tiene una connotación de valor y, como resultado, las consecuencias éticas.

Incluso en la era del ciberespacio, los dilemas éticos varían en el grado de criticidad. El uso de Roomba para aspirar mi hogar tiene problemas éticos limitados o inexistentes, mientras que el uso de drones para atacar a los insurgentes es un ejercicio diferente y valioso3. Además, la era del ciberespacio funciona en ambos sentidos: A veces, ayuda a resolver un dilema ético, mientras que, en otras situaciones, puede crear uno nuevo con el que hay que tratar. Por ejemplo, en las carreras de camellos en Doha, cuando el sistema de posicionamiento global (GPS) habilitado para, los robots automatizados reemplazaron a muchachos sudaneses y esclavos muertos de hambre como jinetes4, las atrocidades ocasionadas a los niños secuestrados fueron aliviados. En el mismo ciberespacio, el clásico problema del tranvía, “¿Es ético para matar a una persona para salvar cinco?”5

resurge como un rompecabezas en el tablero de dibujo de la lógica que regirá coches totalmente automatizados.

En un análisis, los jinetes, robots automatizados con GPS habilitado serían un ejemplo de la maleabilidad lógica del ciberespacio. “La lógica de las computadoras puede ser masajeada y formada de manera interminable”6 para crear beneficios económicos, una fuerza suprema que conduce a innovaciones como Facebook, Airbnb y Uber. Dados los mismos recursos de información del ciberespacio, la creatividad puede ser el único límite para desatar poderosos nuevos modelos de negocio. Una vez que nace una idea de negocio, sus procesos de información pueden ser estructurados para apoyar el nuevo modelo usando maleabilidad

informacionetica

El ciberespacio apalancado por el comercio crea una compleja red de interacciones entre las partes interesadas, que repercuten en el orden social.


La regulación es el proveedor de estabilidad en medio del caos. En este sentido, es el aliado más cercano a la ética empresarial. A medida que maduran las industrias, las regulaciones se vuelven más eficaces y previsibles en sus resultados. Ellos proporcionan el mínimo común denominador de las normas de comportamiento. Sin embargo, en el ciberespacio de segunda generación, la sociedad es constantemente golpeada por cambios considerables. Además, estos cambios no son lineales en un grado en que cualquier aprendizaje del marco regulatorio establecido no sea muy útil.

La química notablemente diferente del ciberespacio hace que gran parte de la regulación carezca de sentido; su traducción no es ni simple ni efectiva. Después de casi 20 años de proporcionar la debida diligencia para el ciberespacio, el gobierno de Estados Unidos está abandonando el control sobre el sistema de nombres de dominio administrado por la Corporación de Asignación de Nombres y Números de Internet (ICANN), el 1 de octubre 20169. Lo que esto hará a la dimensión estructural presente globalmente del ciberespacio es, en el mejor de los casos, incierto.

Vemos la lucha reguladora en la industria de la hospitalidad, el negocio de paseos, el despliegue de aviones no tripulados y los automóviles completamente autónomos. No hay buenas respuestas a la pregunta de cómo regular las radicalmente nuevas versiones de los antiguos ecosistemas. La revolución tecnológica financiera (FinTech) refuerza el mismo rompecabezas; es difícil determinar cómo y cuánto de la elaborada estructura reguladora de la industria bancaria y de servicios financieros podría aplicarse a los nuevos actores de la industria de pagos electrónicos. La cita “no hay sustituto y no hay mejor” regulador “que el punto de vista moral con su atención a las necesidades y preocupaciones de otros (énfasis agregado)”,10 enfatiza que una mayor dependencia de la moral reflexiva sería más beneficiosa que obediencia irreflexiva a la ley.

El futuro de la ética de la información

A medida que la lógica hace que las máquinas entreguen más, un papel cada vez más responsable es asignado a la máquina en una asignación de tareas de una máquina de manufactura. Con el tiempo, se diseñan sistemas de aprendizaje de máquina

no necesita un vehículo dedicado llamado “taxi” y el viajero no tiene que buscar un taxi. Las plataformas para llamados de viajes en el ciberespacio organizan para que el proveedor cumpla con el cliente, una nueva orientación de servicio a la vieja industria, gracias a la maleabilidad lógica del ciberespacio.

Cuando las innovaciones disruptivas entran en el mercado, lanzan el orden social fuera de equilibrio. Por ejemplo, con Airbnb y Uber, sus rivales tradicionales se enfrentan a posibles recortes de empleo, mientras que otros que necesitan ingresos adicionales acuden a la idea de trabajo a tiempo parcial. En última instancia, el empleo a tiempo completo puede reducirse mientras que el trabajo a tiempo parcial y sin apenas beneficios marginales asociados crecerán. Con los vehículos sin conductor, incluso el negocio tradicional de taxi no necesita una persona al volante, haciendo que el escenario se vuelva más complejo. Estos cambios estructurales en el mercado de trabajo no son fuerzas neutras en cuanto al valor. En todo caso, los dilemas éticos de los modelos de negocios de hoy en día del ciberespacio podrían resultar mucho más difícil de resolver.

La ironía es que mientras las carreras tradicionales se enfrentan a la extinción, habrá nuevas habilidades en la demanda, creando carreras florecientes en dominios como el análisis de datos. Sin embargo, el tiempo, los recursos, habilidades y aptitudes necesarias para la transición podría ser un obstáculo importante para la mayoría de las personas necesitadas. Como resultado, muchos podrían sufrir, exigiendo justicia y la equidad para su tratamiento.

No hay buenas respuestas a la pregunta de cómo regular las radicalmente nuevas versiones de los antiguos ecosistemas.


individual y colectivamente con esta orden de altura. Presumiblemente, los objetivos materiales tienen prioridad en un negocio en comparación con los objetivos no relacionados con metas no materiales15

y es poco probable que cambien en el ciberespacio. En todo caso, el impulso de ser el primero en el mercado se vuelve más febriles. Ya vemos los signos de las compañías de carreras que acumulan riqueza sin precedentes en el mercado y pronto obtienen la influencia de un jugador casi monopolista en el espacio global. Curiosamente, a pesar de su tamaño, ningún jugador tendrá la influencia para silenciar a otros en el espacio. Sus esfuerzos individuales probablemente serían considerados como mejores prácticas.

Otra fuente alentadora para buscar orientación sobre el código de conducta son las instituciones que representan a varias profesiones en el centro de la revolución del ciberespacio. De hecho, deberían tener conocimiento e influencia para aprovechar las ideas colectivas para enmarcar las reglas de conducta en este espacio. Es difícil predecir si esto se materializará. El Consejo Internacional de Estándares Éticos para Contadores publicó recientemente un Manual del Código de Ética para ProfesionalesContadores16. Sin embargo, la publicación hace hincapié en gran medida el cumplimiento, cuando se requiere mucho más de las profesiones para hacer frente a los cambios sísmicos en el ciberespacio sustantiva.

La dimensión estructural del ciberespacio ha marginado la importancia de las fronteras nacionales y regionales. Hay mucho más que una empresa, o

más complejos, dejando muy poco para los seres humanos, excepto en el diseño y codificación del sistema. Este papel humano aparentemente limitado es, sin embargo, muy importante para la ética de la información. Esto se debe a que los juicios de valor se ejercen y se incrustan en el ciberespacio por personas, no máquinas. La moralidad de una máquina está cerca de la base moral de los seres humanos que crean la máquina, al menos por ahora. A medida que las máquinas aprendan, el problema de la carretilla clásica puede ser abordado por la propia máquina.

El aumento de los malos elementos continuará, debido principalmente a dos razones. En primer lugar, los seres humanos son ingenuos y propenso a errores. Cometen errores y están sujetas a errores de juicio. El surgimiento de la ingeniería social presenta pruebas irrefutables de que la gente sucumbe a los estafadores, incluidos los esquemas de Ponzi11 y los estafadores. Segundo, cuando la tecnología obvia el juicio humano en una situación que crea un dilema ético, a menudo los seres humanos son tentados a comprometerse12. Esto es, quizás, debido a la lejanía del impacto de su decisión. Ashley Madison es un ejemplo gráfico de cómo esto podría suceder; ya que se presenta a través de la tecnología, el tener una relación extramatrimonial no parece ser un problema para muchos. Como otro ejemplo, los estudios sobre la firma electrónica sugieren que las personas que firman electrónicamente no son dueños de su responsabilidad tanto como si se hubieran firmado en papel o, a veces, cuando no firmaron en absoluto13.

Ciberespacio continuará creando empresas muy potentes con un enorme alcance. Algunas de estas empresas serán bastante joven, dotado de baja madurez de la organización o una voluntad débil. Estos negocios serán más grandes en su impacto económico de algunas economías nacionales (Alphabet, Facebook y Uber son buenos ejemplos de empresas con muy grandes impactos económicos). La necesidad de garantizar cierto grado de equidad parece ir en aumento a través de estas plataformas tecnológicas de gran influencia14.

Estas empresas se convertirán en los guardianes de facto de la privacidad, la confidencialidad, el interés público y otros valores importantes para el mantenimiento del orden social. Porque crean, saben mucho más sobre él que los que guardan a los guardianes. Por lo tanto, tiene sentido, depender de estos negocios influyentes a la vanguardia para liderar el camino hacia el comportamiento ético. Queda por ver qué tan bien van a cumplir en forma


proporcionar datos de identidad y autenticación que trascienden las fronteras nacionales y autoridades locales18. La idea merece experimentación y, a largo plazo, podría proporcionar medios de identidad y autenticación globales más eficaces y humanitarios.

Y, por último, los reguladores no pueden regular de manera efectiva lo que no saben o no pueden predecir. Por esta razón, van a tener que trabajar con líderes de la industria para comprender la nueva dinámica y, por lo tanto, descifrar los factores de riesgo para ser mitigados. Un enfoque colaborativo para desarrollar las regulaciones es la única manera. En los Estados Unidos, los reguladores han hecho eco de este sentimiento cuando, en el caso de las directrices para el uso de aviones no tripulados, divergieron del pasado buscando un enfoque colaborativo e incremental para el desarrollo de regulaciones de uso de aviones no tripulados. En cuanto a los automóviles autónomos, los reguladores estadounidenses han abrazado la idea de que, si los automóviles sin conductor podrían salvar muchas vidas, ¿por qué no antes que tarde?19 Los reguladores están preparados para trabajar con los fabricantes de automóviles y sus colaboradores electrónicos para obtener más información sobre los riesgos relacionados y cómo mitigarlo en el nuevo mundo del transporte.

La ética de la información es discrecional y, por sí misma, no puede producir valor, al menos en el corto plazo. Incluso para los valientes que quieren hacer lo correcto, la experiencia pasada puede no ser suficiente para identificar los dilemas éticos, y mucho menos resolverlos. Se exigirá un esfuerzo importante para proteger los valores humanos mientras que el progreso material sigue avanzando. Nosotros podemos ser rehenes de los dispositivos y medios de la eficiencia, por lo tanto, más cómodo, pero no feliz.

Este pensamiento lo resume así: “La humanidad es desordenada y la limpieza nos corresponde a nosotros”20.

Notas finales

1 Lessig, L.; Code, Basic Books, USA, 1999 2 Moor, J. H.; “What is Computer Ethics?”

Computers and Ethics, 1985, p. 266-275, http://web.cs.ucdavis.edu/~rogaway/classes/188/spring06/papers/moor.html

3 Washington Post, “How Drone Strikes Get the OK,” article reprinted in Omaha World-Herald, 8 August 2016, 3A

cualquier grupo de personas, pueden hacer hoy en día con poca preocupación por las fronteras nacionales. Sí, las naciones tienen la palabra en el control de los destinos de la región; sin embargo, será difícil para una región prosperar yendo en contra la corriente de la revolución del ciberespacio sustantiva. Por lo tanto, el futuro es un arma de doble filo; colaborar a través de fronteras, mientras que la gestión de los destinos de la nación será un acto de equilibrio para los futuros líderes políticos. En el proceso, colapsos éticos pueden suceder cuando se toman atajos para obtener una ventaja sobre los objetivos nacionales.

Ahora, las naciones ponderan si pueden vivir con algún sacrificio de la intimidad en los intereses de la sociedad. Mientras investigaba las escenas del crimen, la policía alemana ha encontrado recientemente que no captura suficientes datos de vigilancia para rastrear el movimiento de personas. En los intereses más amplios de la sociedad, una nación que es un firme defensor de la privacidad ahora está considerando si se puede sacrificar alguna privacidad para cazar criminales17.

La situación en Siria personifica toda una nueva ola migratoria de las personas procedentes de Oriente Medio a varios países de Europa y más allá. Esto no es un resultado directo del ciberespacio; sin embargo, tiene un impacto significativo en el futuro de la verificación de la identidad y la autenticación. Hasta el momento, las personas han recurrido a las autoridades nacionales para proporcionar identificación y autenticación de certificados (por ejemplo, pasaportes). Los refugiados pueden no tener cualquiera de estos si las perdieron o no podían llevar tales objetos personales. Y, si poseen documentos de identificación, aún es difícil de identificar a las personas basándose únicamente en documentos de su país de origen. Una alternativa es el uso de tecnología de la cadena de bloques para

Etica de la información es discrecional y, por sí sola, no puede producir valor, al menos en el corto plazo.


• Aprenda más acerca, discute y colabora con la seguridad de la información, políticas y procedimientos en el Centro de Conocimiento. www.isaca.org/information-security-policies-and-procedures


14 Fisman, R.; T. Sullivan; The Inner Lives of Markets: How People Shape Them and They Shape Us, PublicAffairs, USA, 2016

15 Raval, V.; “Moral Dialogue on the IT-leveraged Economy,” ISACA Journal, vol. 3, 2016, www.isaca.org/Journal/archives/Pages/ default.aspx

16 International Federation of Accountants, 2015 Handbook of the Code of Ethics for Professional Accountants, www.ethicsboard.org/iesba-code

17 Turner, Z.; “Germans Reconsider Tough Privacy Laws After Terrorist Attacks.” The Wall Street Journal, 24 August 2016, www.wjs.com/articles/germans-reconsider-tough-privacy-laws-after-terrorist-attacks-1471628581

18 Warden, S.; “A Digital Fix for the Migrant Crisis,” The Future of Everything, The Wall Street Journal supplement, June 2016, p. 46-47

19 Stoll, J. D.; “US Won’t Impede Self-drive Cars,” The Wall Street Journal, July 2016, p. 23-24

20 Parish, S.; “A Far-Out Affair,” The Future of Everything, The Wall Street Journal supplement, June 2016, p. 17-21

4 Raval, V., “Machine Ethics,” ISACA® Journal, vol. 5, 2014, www.isaca.org/Journal/archives/Pages/default.aspx

5 Dockser Marcus, A.; “The Refurbished Trolley Problem,” The Future of Everything, The Wall Street Journal supplement, June 2016, p. 76-79

6 Op cit, Moor, p. 3 7 Ibid. 8 Op cit, Lessig 9 McKinnon, J. D.; “Obama Administration to

Privatize Internet Governance on Oct. 1,” The Wall Street Journal supplement, 16 August 2016, www.wsj.com/articles/obama-administration-to-privatize-internet-governanceon-oct-1-1471381820

10 Spinello, R. A.; “Code and Moral Values in Cyberspace,” Ethics and Information Technology, vol. 3, 2001, p. 137-150

11 Securities and Exchange Commission, “Ponzi Schemes,” USA, https://www.sec.gov/answers/ponzi.htm

12 Ariely, D.; The Honest Truth About Dishonesty, Harper-Collins, USA, 2013

13 Chou, E. Y.; “What’s in a Name? The Toll E-signatures Take on Individual Honesty,” Journal of Experimental Social Psychology, vol. 61, 2015, p. 84-95

Pinpoint your next job opportunitywith ISACA’s CareerLaserISACA’s CareerLaser newsletter offers monthly updates on the latest jobs, top-of-mind industry news,

events and employment trends to help you navigate a successful career the information systems industry.

Let CareerLaser become your top resource for quality jobs matched specifically to your talents in audit,

assurance, security, governance, risk management and more.

Subscribe today by visiting www.isaca.org/careerlaser

Visit the ISACA Career Centre at www.isaca.org/careercentre to find additional career tools, including access to top job candidates.

www.skyboxsecurity.com

Modeling | Simulation | Security AnalyticsSolve complex challenges in vulnerability and threat management and security policy management — with one platform.

ATTACK SURFACE VISIBILITY

• Bring hybrid IT environments, geographic locations and business units into a single, interactive view

• Quickly spot Indicators of Exposure (IOEs) and proactively identify root causes of risk

• Neutralize critical attack vectors

• Meet regulatory and compliance requirements through improved auditing and reporting

TOMORROW’S SECURITY IS HEREEvolve your security and see what you’re missing.

www.skyboxsecurity.com

Modeling | Simulation | Security AnalyticsSolve complex challenges in vulnerability and threat management and security policy management — with one platform.

ATTACK SURFACE VISIBILITY

• Bring hybrid IT environments, geographic locations and business units into a single, interactive view

• Quickly spot Indicators of Exposure (IOEs) and proactively identify root causes of risk

• Neutralize critical attack vectors

• Meet regulatory and compliance requirements through improved auditing and reporting

TOMORROW’S SECURITY IS HEREEvolve your security and see what you’re missing.


empresas asignar y gestionar recursos. Métricas de rendimiento aumentan e influencian decisiones que están relacionadas con el negocio como ser presupuesto, prioridades, recursos y actividades.KPI y métricas son herramientas esenciales para la gerencia que son implementadas en todas las áreas del negocio. Hoy día, el uso de TI y tecnologías relacionadas por las empresas requiere de grandes inversiones de TI. Por lo tanto, las partes interesadas (stakeholders) están interesadas en confirmar que las inversiones de TI estén alineados estratégicamente, administrados efectivamente y ayudan en lograr las metas de negocio comunes. Para asegurar que las expectativas de las partes interesadas se cumplan, la gerencia utiliza prácticas de Gobierno TI que están definidas por el estándar global por la Organización Internacional de normalización (ISO) ISO38500 y COBIT® 5.

Gobierno de TI y métricas

El mecanismo de gobierno TI asegura que las necesidades, condiciones y opciones de las artes

Durante los últimos 30 años, las empresas han estado adoptando nuevos métodos para transformar sus operaciones para utilizar TI y tecnologías relacionadas para proveer un nivel mayor de servicio al cliente. El paso al cual las empresas están adoptando estos nuevos métodos es rápido. Para manejar la velocidad de esta transformación, a administración depende en los recursos tecnológico y proveedores, resultando en un aumento en la dependencia en tecnología y recursos cualificados. El paso y dependencias pueden crear una falta de controles de la empresa; por lo tanto, las empresas usan indicadores clave de indicadores clave de rendimiento (KPIs) para medir el desempeño de la entrega del servicio de TI.

Aunque muchas empresas hoy día efectúan un análisis del retorno de la inversión (ROI) de nuevos proyectos de TI y algunas veces incorporan el cálculo del costo total de la propiedad (TCO) dentro del caso de negocio que presentan al directorio para su aprobación, solo el 25 por ciento de las empresas efectúan un análisis de ROI después de completar el proyecto1,2,3. Sin embargo, ROI y TCO no son los únicos criterios para la aprobación de proyectos de TI; ellos son solo dos de muchas consideraciones en el proceso de la toma de decisión. Un ROI positivo no necesariamente significa que el proyecto será aprobado. Es una decisión estratégica que esté basado en requisitos del negocio y expectaciones de las partes interesadas (Stakeholders). Por lo tanto, las empresas debiesen que pueda requerir indicadores cuantitativos y cualitativos.

Empresas que quieren monitorear efectivamente las actividades de TI para estar alineados con las metas del negocio utilizan KPIs o de métricas clave de medición. Indicadores de rendimiento/métrica no solo ayudan a monitorear logros comparados con las metas, pero también ayuda a evaluar la efectividad y eficiencia de los procesos de negocio. Las métricas también ayudan a las


Sunil Bakshi, CISA, CRISC, CISM, CGEIT, ABCI, AMIIB, BS 25999 LI, CEH, CISSP, ISO 27001 LA, MCA, PMPHa trabajado en TI, gobierno de TI, seguridad de la información y gestión de riesgos de TI. Tiene 40 años de experiencia en diversas posiciones en diferentes industrias. Actualmente, es consultor independiente y profesor visitante en el Instituto Nacional de Gestión de Bancos en la India.

Disponible también en francéswww.isaca.org/currentissue

artículoartículoMedición del desempeñométrica para gobierno de TI


reportados fueron resueltos dentro de las dos horas. Estas mediciones demuestran carga de trabajo y actividad. Las métricas son útiles para evaluar cumplimiento y efectividad de procesos y medir el éxito contra objetivos establecidos. Empresas esperan resultados positivos de TI y recursos de TI incluyendo recursos humanos capacitados, Para administrar el rendimiento de TI, la gerencia está interesada en obtener las respuestas de la primera columna en la figura 1. La segunda columna muestra el tipo de indicadores que son requeridos para obtener las respuestas a estas preguntas

Desarrollando métricas de rendimiento

Desarrollar métricas de rendimiento usualmente sigue un proceso de:

1. Estableciendo procesos críticos para cumplir con los requisitos de los clientes (esto ayuda a las empresas con el desarrollo de métricas manejables.)

2. Identificación de los resultados específicos y cuantificables de trabajo a partir de los procesos identificados en el paso 1.

3. El establecimiento de objetivos contra los cuales los resultados se pueden calificar

El desarrollo de las métricas incluye la definición de un equilibrado conjunto de objetivos de rendimiento, métricas, objetivos y puntos de referencia. La métrica debe cubrir las actividades y resultados que se miden utilizando indicadores de avance y retroceso y un equilibrio adecuado de medidas financieras y no financieras. Las métricas debiesen

interesadas son evaluadas para determinar objetivos balanceados y acordados con la empresa. Gobierno TI también asegura que la dirección este definida a través de priorización y toma de decisión y que el rendimiento y cumplimiento son monitoreados contra dirección acordada y objetivos. La gerencia planifica, construye, ejecuta y monitorea actividades alineados con la dirección establecida por el órgano del gobierno para obtener los objetivos de la empresa4.

Los procesos de gobierno TI son evaluar, dirigir y monitorear (EDM). Las métricas son un mecanismo de monitoreo y ayudan a la gerencia a monitorear los logros de las metas relacionadas al negocio de la empresa como también las metas relacionadas a TI. Métricas apropiadas ayudan al órgano de gobierno proveer dirección que están basados en metas definidas y una evaluación de las métricas. Las métricas ayudan a las empresas responder preguntas valiosas como ser5:

• ¿Es el rendimiento de TI mejor que el del año pasado?

• ¿Qué es lo que la empresa está obteniendo de la inversión de TI?

• ¿Cómo puede la empresa efectuar un punto de referencia (benchmark) del rendimiento?

• ¿Que debiese hacer la empresa en la ausencia de métricas medibles? ¿Puede usar gestión de riesgos, expectativas de perdidas, vectores de ataques o correlación?

Las métricas describen una calidad y requiere una base de medición, ej. 87 porciento de incidentes

Figura 1—Preguntas Rendimiento TI

Preguntas a las cuales la gerencia requiere respuestas Tipo indicadores que pueden ayudar a proveer una respuesta

¿Se han logrado alcanzar las expectativas de las partes interesadas de TI?

Indicadores de retraso: • Pueden ser monitoreados solo después que las actividades/

procesos están parcialmente o completos totalmente. Proveen garantías después de los hechos.

• Pueden ser cuantificados

¿Se han alcanzado las metas del negocio? ¿Cómo apoyó TI para lograr las metas del negocio?

¿Los recursos de TI siguen el ciclo de vida? Indicadores de avance: • Proveer seguridad basado en un plan/proceso documentado

y mejores prácticas implementadas• Son ante todo cualitativo y difícil de cuantificar

¿Están los procesos implementados para monitorear el ciclo de vida de los recursos de TI?

¿Cumple la empresa con estándares globales y mejores prácticas de nivel industrial?

Fuente: S. Bakshi. Reimpreso con permiso.


• Evite comparativos contra otras empresas similares—Cada empresa es diferente y puede tener diferentes metas y objetivos. La excepción a esto es la métrica de rendimiento de la evaluación comparativa. Desarrollar métricas que se enfocan en comparativos específicos cuantificados de actividades operacionales documentadas que son responsable para contribuir a los acontecimientos. Utilice rutinas o proporciones y evite comparaciones al por mayor de líneas de negocio porque esta comparación es subjetiva y usualmente amplia y cualitativa.

• Reducir al mínimo las comparaciones relacionadas a costos—Limite métricas relacionadas al costo para medir solo los beneficios (valor) de TI. Una comparación con la industria u otras empresas puede ser no relevante. El reto que las empresas usualmente enfrentan es cuantificar los resultados para la comparación contra costos. Por ejemplo, un servicio para mejorar la satisfacción del cliente puede costarles a las empresas; sin embargo, cuantificar la mejora en la satisfacción del cliente puede no ser posible. En tales casos, indicadores indirectos, ej. repetir/más oportunidades de negocio, puede ser más útil.

Otro problema es costos comunes, tanto internos como externos, que incluyen las asignaciones para múltiples operaciones o líneas de negocio que no pueden ser segregadas para cargar a una operación especifica o línea de negocio.

ser revisadas y acordados con TI, otras funciones de negocio y otras partes interesadas relevantes7.

Métricas e indicadores están basados en información recibida de operaciones. Cuando esta información representa la medición de rendimiento, es referida como métricas basadas en medios. Métricas que son designados para monitorear logros de objetivos son llamadas métricas basadas en terminación. Métricas basadas en terminación pueden incluir:

• Cambios en el Inventario de la empresa de la exposición al riesgo (utilizar el reporte del perfil de riesgo)

• Comparando metas definidas de crecimiento del negocio con la inversión en TI y estableciendo una relación

Métricas basadas en medios pueden incluir:

• Numero de vulnerabilidades de aplicaciones sobre un año

• Porcentaje de cajeros automáticos (ATM) del tiempo de inactividad durante horas activas (debe ser menor a dos por ciento de horas activas)

• Porcentaje de incidentes que son resueltos dentro del tiempo de SLAs (incluyendo incidentes escalados)

Las siguientes recomendaciones debiesen ser observadas mientras se desarrollan las métricas y se identifican los indicadores de rendimiento8.

• Normalizar las Métricas a un parámetro de atributo común—Para entender tendencias apropiadamente, normalizar métricas a un parámetro común; por ejemplo:– Tiempo—es tiempo definido como ocurrencia

anual, transacciones por segundo/minuto/hora, promedio de intervalos entre eventos, tiempo medio entre fallas (MTBF)

– ¿Costo—El costo es por unidad o por millón?

• Entender las características de una buena métrica—Una buena métrica permite comparativos exactos y detallado, guía hacia conclusiones correctas, es entendida bien por todos y tiene una base cuantitativa. Una buena métrica es lineal, confiable, repetible, fácil de usar, consistente e independiente.

El reto que usualmente las empresas enfrentan a menudo es cuantificar los resultados para la comparación contra costos.


Información (Information Technology Infrastructure Library) (ITIL), ISACA® (COBIT® 5) and ISO. Aunque la norma ISO espera una medición de rendimiento, no prescribe cualquier indicador especifico. Métodos de medición pueden ser definido por organizaciones.

ITIL define tres tipos de métricas: métricas de tecnología, métricas de procesos y métricas de servicios. Tome nota que las métricas tecnológicas y de proceso también son referidas como métricas operacionales10.

Métricas de tecnología Las métricas de tecnología miden aspectos específicos de la infraestructura de TI y equipos, ej. La unidad central de procesamiento (CPU) de servidores, el espacio de almacenamiento utilizado, estado de la red (ej., La velocidad, la utilización de ancho de banda) y promedio de tiempo disponible (disponibilidad de la tecnología).

La mayoría de las métricas de tecnología proveen input sobre la utilización de TI, la cual es una parte muy pequeña de servicio, para el director de información (CIO) o el gerente del data center; sin embargo, a menos que esta métrica sea comparada con otra métrica, es posible que no provea de información con sentido para la alta gerencia. Por ejemplo, considere la respuesta de la red de 100 milisegundos, (ej., un mensaje llega a su destino en 100 milisegundos). Si la gerencia espera que la respuesta de la red sea 10 milisegundos, el tiempo de respuesta requiere atención, y si la gerencia espera que la respuesta de la red sea de 300 milisegundos, el tiempo de respuesta es más que satisfecho.

Métricas de procesos Las métricas de procesos miden aspectos específicos de un proceso, ej., numero de cambios que son deshechos dentro de un mes, promedio de tiempo de respuesta de incidentes en un mes, porcentaje de empleados que atendieron a las tareas en tiempo, promedio de tiempo para completar un proceso.Las métricas de procesos proveen información sobre el funcionamiento de los procesos. Estas métricas son utilizadas generalmente para la conformidad de cumplimiento que se relaciona con los controles internos. Sin embargo, muchas métricas de procesos pueden no servir el propósito de monitoreo. Métricas que son relacionadas a procesos críticos pueden ser considerados para reportar a la gerencia.

• Enfocarse en las actividades de trabajo y resultados—Durante el desarrollo de métricas e indicadores, el enfoque debiese ser en procesos y actividades para generar y el suministro de datos, ej. El número de transacciones relacionadas con el efectivo en un cajero automático (ATM) o el porcentaje de servidores que fueron parcheados durante el mes.

• Mantener las métricas en cantidades manejables—La alta gerencia puede no estar interesados en un reporte analítico de múltiples paginas o tablero (dashboard). Aunque una gran cantidad de datos pertinentes podría ser recogido durante las actividades, solamente los indicadores más críticos deben ser incluidos en el informe de gestión/tablero.

¿Que son buenas métricas?

Buenas métricas generalmente satisfacen los siguientes criterios9.

• Mediciones consistentes—Las métricas deben proveer un análisis similar durante un periodo de tiempo.

• Fácil de colectar datos—El costo para colectar datos para las métricas debe ser bajo, y los datos deben ser colectados a través de procesos operacionales rutinarios. Sin embargo, esta colecta de datos debe satisfacer los requisitos de ser contextualmente específicos. ¿Algunas métricas de servicio de TI pueden necesitar un mayor esfuerzo y, por lo tanto, el costo de la obtención de datos, por ejemplo, cuántos clientes no podían ser atendido debido a un cajero automático que no estaba funcionando?

• Expresada en números, porcentaje o unidades de medidas—Números y porcentajes son fácil de entender y comparar; por lo tanto, tanto como sea posible, las métricas deben ser representadas como un numero o un porcentaje.

• Contextualmente especificas—Métricas TI deben medir los logros de las metas u objetivos de los negocios; por lo tanto, las métricas deben representar el contexto.

Tipos de indicadores y métricass

La necesidad de métricas e indicadores esta subrayada por muchas organizaciones, como ser la Biblioteca de Infraestructura de Tecnología de la


• Aprenda más acerca, discute y colabora en el Gobierno de TI (GEIT) en el Centro de Conocimiento. www.isaca.org/governance-of-enterprise-it


• Información (datos)

• Servicios, infraestructura y aplicaciones

• Personas, capacidades y competencias

Las expectativas de las partes interesadas ayudan a la gerencia a llegar a un método para la realización de beneficios, el cual ayudan a determinar las métricas de la empresa. Porque las empresas despliegan TI, estas metas relacionadas a Ti, las cuales bajan en cascada en metas habilitadoras. (figura 2).

Para monitorear el logro de las metas, la gerencia utiliza indicadores y métricas. COBIT 5 identifica dos tipos de indicadores:

• Indicadores de avance son actividades que predicen el logro de metas. Estos indicadores no son medibles, ej., implementar mejores prácticas globales o de la industria o seguir el enfoque del ciclo de vida para los recursos (habilitadores).

• Indicadores de retraso son medibles y ayudan a medir el logro de las metas. La mayoría de las métricas son definidas para los indicadores de retraso COBIT 5 identifica tres niveles de métricas: métricas de metas de la empresa, métricas de metas de TI y métricas de metas de los procesos14.

Metas de empresas y ejemplo de métricas COBIT 5 identifica 17 metas genéricas de la empresa que están basadas en dimensiones de un cuadro de mando integral (BSC). Estas dimensiones son financieras, clientes, internas, y aprendizaje y crecimiento.

Métricas genéricas para metas de TI y metas de proceso son definidas en la descripción del proceso por cada proceso de COBIT 5. El modelo de proceso de referencia de COBIT 5 identifica 37 procesos genéricos relacionados a TI. Las métricas pueden ser definidas utilizando COBIT 5. Considere la meta de la empresa de la cultura del servicio orientada al cliente. COBIT 5 sugiere utilizar las siguientes métricas:

• Número de interrupciones del servicio al cliente debido a incidentes relacionados a los servicios de TI (confiabilidad)

• Porcentaje de partes interesadas del negocio satisfechas que la entrega del servicio al cliente cumple con los niveles acordados

• Número de quejas de los clientes

Métricas de servicios El enfoque primario de ITIL es en proveer servicio. Métricas de servicios son métricas esenciales para que la gerencia monitoree. Proveen una medición de fin a fin del rendimiento del servicio. Definiendo métricas de servicio puede ser difícil debido a la naturaleza intangible de los niveles de servicio. Las métricas de servicio son más como evaluación sobre lo que ya se conoce sobre un problema y son medidos de manera que proveen resultados aproximados11.

Cuando es difícil medir los niveles de servicio debido a incertidumbre asociada (ej., Comportamiento humano impredecible) tal incertidumbre en la medición de los niveles de servicio puede reducirse a niveles indicativos y puede ser interpuesto dentro de las mediciones aproximadas.

Ejemplos de métricas de niveles de servicio incluyen lo siguiente:

• Resultados de una encuesta de satisfacción del cliente indicando que tanto contribuye TI a la satisfacción del cliente

• Costo de ejecutar una transacción (bancos usan esta métrica para medir el costo de una transacción ejecutada a través de diferentes canales de servicios, como ser Internet, Móvil, ATM y sucursales)

• Eficiencia de servicio, el cual está basado en el tiempo promedio para completar un servicio específico. El servicio no es solo un proceso; un servicio puede consistir de múltiples procesos.

Muchos tipos de métricas son requeridas para un entendimiento comprensivo de la salud de la gestión de servicios a través de la organización.

COBIT 5

COBIT 5 ante todo es un marco de gobierno TI. La gestión eficaz de gobierno debe ser capaz de administrar el riesgo y cumplir las expectativas de las partes interesadas mediante la optimización de los recursos. COBIT 5 identifica los siguientes siete facilitadores que ayuden a lograr los objetivos de gobierno:

• Principios, políticas y marcos

• Procesos

• Estructuras organizacionales

• Cultura, ética y comportamiento


Hay dos metas relacionadas a TI que principalmente se mapean a las metas de la empresa de la cultura de servicio orientado al cliente15. Son metas relacionadas a TI 01, Alineación de la estrategia de TI y Negocio y 07, Entrega de servicios TI en línea con los requisitos del negocio. Métricas sugeridas para metas relacionadas a TI 07 de COBIT 5 son (por simplicidad, solo aquellas metas de TI que principalmente se mapean a las metas de la empresa en el ejemplo han sido consideradas):

• Número de interrupciones al negocio debido a incidentes de los servicios de TI

• Porcentaje de partes interesadas del negocio satisfechos de que la entrega de servicios de TI cumple con los niveles de servicio acordados

• Porcentaje de usuarios satisfechos con la calidad de la entrega de servicios de TI

• Tendencia de los resultados de las encuestas de satisfacción de los clientes

Dependiendo del servicio al cliente de la organización ofrecido utilizando soluciones de TI, las siguientes métricas (que serán un subconjunto de las métricas definidas previamente) pueden ser consideradas:

• Impacto en la satisfacción del cliente debido a interrupciones al servicio debido a incidentes relacionados a TI

• Porcentaje de satisfacción de las partes interesadas del negocio que la entrega de servicios al cliente cumple con los niveles acordados

• Reducción o aumento en el número de quejas de los clientes relacionados con la no disponibilidad de servicios basados en TI

Figura 2—Visión General de la cascada de metas de COBIT 5

Fuente: ISACA, COBIT 5, USA, 2012


Las empresas pueden utilizar las medidas genéricas que son proporcionados por los estándares y marcos de trabajo como ITIL y COBIT 5 para definir las métricas específicas para empresas globales, que deben ser asignadas a la empresa objetivos y metas.

Notas finales

1 Jeffery, M.; “Return on Investment Analysis for E-business Projects,” Northwestern University, Evanston, Illinois, USA, www.kellogg.northwestern.edu/faculty/jeffery/htm/publication/roiforitprojects.pdf

2 Myers, R.; “Measuring the Business Benefit of IT,” CFO.com, 20 October 2004, http://ww2.cfo.com/strategy/2004/10/measuring-the-business-benefit-of-it/

3 Bidgoli, H.; The Internet Encyclopedia, Volume 3, John Wiley & Sons, USA, April 2004

4 ISACA, COBIT® 5, USA, 2012, www.isaca.org/cobit/pages/default.aspx

5 Jaquith, A.; Security Metrics: Replacing Fear, Uncertainty, and Doubt, Addison-Wesley, USA, 2007

6 Op cit, ISACA, COBIT 5 7 OpsDog, Inc., “What are KPIs & Benchmarks?”

2016, https://opsdog.com/tools/kpis-and-benchmarks

8 Ibid. 9 Op cit, Jaquith 10 Scarborough, M.; “Three Types of Metrics

Defined by ITIL,” Global Knowledge Training LLC, 12 December 2013, http://blog.globalknowledge.com/PROFESSIONAL-DEVELOPMENT/ITIL/THREE-TYPES-OF-METRICS-DEFINED-BY-ITIL/

11 Hubbard, D.; How to Measure Anything: Finding the Value of Intangibles in Business, John Willey & Sons, USA, 2007

12 ISACA, COBIT® 5: Enabling Processes, USA, 2012, www.isaca.org/COBIT/Pages/COBIT-5-Enabling-Processes-product-page.aspx

13 Op cit, COBIT 5 14 Op cit, COBIT 5: Enabling Processes 15 Ibid. 16 Ibid.

Basado en los requisitos del negocio, las siguientes métricas pueden ser consideradas:

• Número de incidentes de TI afectando los servicios del negocio

• Porcentaje de incidentes de TI afectando los servicios del negocio al total de incidentes de TI

• Número de quejas de los clientes relacionado a la entrega de servicio debido a problemas relacionados con TI

COBIT 5 sugiere métricas para cada proceso del modelo de referencia de procesos. El próximo paso es de identificar los procesos que están asociados con las metas relacionadas a TI 07. Entrega de servicios de TI en línea con los requisitos del negocio y seleccionar las métricas para los procesos. Los siguientes procesos dependen de esta meta de TI:

EDM01, EDM02, EDM05, APO02, APO08, APO09, APO10, APO11, BAI02, BAI03, BAI04, BAI06, DSS01,DSS02, DSS03, DSS04, DSS06 y MEA0116.

Conclusión

Desarrollo, implementación y seguimiento de las métricas de medición del desempeño es clave para la implementación de mecanismos de vigilancia de las metas y objetivos que se establecen por los procesos de gobierno de TI. Métricas de medición del desempeño no deben ser copiados de empresas similares. Cada empresa tiene objetivos únicos y, por lo tanto, métricas únicas. Esta singularidad se debe a muchas razones, incluyendo la estrategia de negocio y objetivos, la cultura empresarial, la diferencia en los factores de riesgo, los resultados de la evaluación de riesgos y situaciones geopolíticas y económicas.

Cada empresa tiene objetivos únicos y, por lo tanto, métricas únicas.

#encouragecourage.

16504 - US - PHd ads_ISACA Journal.indd 1 19/09/2016 14:45:28

#encouragecourage.

16504 - US - PHd ads_ISACA Journal.indd 1 19/09/2016 14:45:28


artículoartículo

se apegue a los principales marcos de trabajo. Durante los últimos cinco años, el NIST RMF (Risk Management Framework) ha ganado un espacio importante en los Estados Unidos y varias otras naciones. NIST desarrolló y publicó los elementos que una empresa necesita para implementar y gestionar un sólido programa de gestión de riesgos. Los NIST RMF incluyen las fases del ciclo de vida del desarrollo de sistemas y los pasos que deben seguir la gestión de riesgos las organizaciones (figura 1).

Probar, Probar y Probar

Aunque todos los pasos del NIST RMF son importantes, El paso 4: Evaluar los controles de seguridad es el más paso crítico de un programa de gestión de riesgos. Es esencial que se aplique comprobación del sistema en profundidad después de realizar gestión de la configuración, para mantener implacable la seguridad. Si la empresa mantiene una configuración de sistema seguro, se mantendrá el nivel de seguridad. A menudo las empresas no realizan pruebas adecuadas a los sistemas ni a los mecanismos para verificar la precisión auditoría de seguridad. Nada puede sustituir a la evaluación de controles de seguridad. Algunas de las razones para esta falta de la evaluación de los controles de seguridad son:

• El liderazgo no proporcionar expectativas claras para la evaluación de los controles/fechas de las pruebas


La evaluación de los controles de seguridad Las claves del marco de la gestión de riesgos

El CISO y CSO´s deben asegurarse de que sus programas de gestión de riesgo de la empresa cuenten con un sólido marco de gestión—Marco de trabajo de manejo de riesgo empresarial. Este marco debe proporcionar un proceso disciplinado y estructurado que integra las actividades de gestión de riesgos en el sistema el desarrollo del ciclo de vida y que permite a los ejecutivos de riesgo tomar decisiones informadas. El US National Institute of Standards and Technology (NIST) y el Risk Management Framework (RMF) son ejemplos de marcos de referencia. El compromiso con un marco de gestión del riesgo y sus principios son críticos para un programa de gestión de riesgos exitosa.

Decisiones informadas en relación a un riesgo y los pasos para determinar la aceptación del riesgo. Una buena receta para la toma de decisiones de riesgo incluye una mezcla de:

• Datos objetivos

• Resultados de pruebas (OK/No OK)

• Las mitigaciones

• Análisis cualitativo

• Datos subjetivos

• Una sana intuición

Los datos subjetivos pueden levantar las cejas en señal de duda. Sin embargo, este ingrediente considera la probabilidad y preguntas que proporciona los datos, y que tan importante podría ser la fuente de datos.

La intuición no es objetiva como hechos o resultados de pruebas. La intuición no se encuadra en un modelo cuantitativo de riesgos, más bien, el análisis cualitativo es un ingrediente clave en el de toma de decisiones. Los profesionales heredan una variedad de programas gestión de riesgos en varios estados de madurez. Algunos son en realidad bastante buenos, adecuados y otros son completamente un desastre. A pesar de estado del programa, que se pega a un marco y principios sólidos de riesgo es crítica. En cualquier estado de madurez del programa, es fundamental que siempre

Lance Dubsky, CISM, CISSP Es jefe de seguridad estratégico, gobierno global, en FireEye y tiene más de dos décadas de experiencia planeando, construyendo e implementando grandes programas de seguridad de la información. Antes de unirse a FireEye, se desempeñó como jefe de seguridad de información de dos agencias de inteligencia estadounidenses, donde dirigió programas de seguridad global. En el ámbito de la gestión de riesgos, Dubsky ha servido como un ejecutivo senior de riesgo, autorizando oficial, oficial de certificación y asesor de control de seguridad. Gestionó la transformación al marco de gestión de riesgos del NIST en dos organizaciones, optimizó los procesos de riesgo mediante la fusión de los ciclos de vida de los sistemas de riesgo y de sistemas, y estableció un proceso de evaluación de riesgos para plataformas satelitales.


aplicables en la publicación especial NIST 800-531 para los sistemas categorizados. La única manera de saber si funciona el control de seguridad o no, es ejecutando las pruebas. Las pruebas de controles de seguridad no se logran a través de herramientas de scanner de vulnerabilidades, ya que comprueba que sólo un pequeño número de controles de seguridad. Un análisis de vulnerabilidades suele poner a prueba una fracción, de aproximadamente un 5 por ciento de los controles de seguridad.

• Supervisión inadecuada de la gestión de riesgos programa

• La falta de habilidades de los encargados y asesores de las pruebas de seguridad

• Presión para condensar el ciclo de pruebas debido a las programaciones de otras de actividades con prioridad más alta que la seguridad de un sistema

Como prueba es auditada es también un desafío para las empresas que implementan una gestión de riesgos programa. El aseguramiento de la calidad o del control del cumplimiento a menudo carece de recursos y de la experiencia para identificar las señales de alerta.

El proceso básico de la evaluación de la seguridad

En NIST RMF Paso 4: Evaluar los controles de seguridad, son las directrices del NIST que aconsejan probar todos los controles de seguridad

Figura 1—NIST Marco de Trabajo de Gestión de Riesgos

Fuente: National Institute of Standards and Technology, Guide for Applying the Risk Management Framework to Federal Information Systems, NIST Special Publication 800-37, Revision 1, February 2010, figure 2-2. Reimpreso con permiso.

Paso 1CLASIFIQUE

Sistema de Información

Marcode Trabajo de

Gestión deRiesgos

NIST SP 800-37

Paso 4EVALUAR

Controles de Seguridad

Paso 5AUTORICE

Sistema de Información

Paso 2SELECCIONE

Controles de SeguridadPaso 6MONITOREE


Paso 3IMPLEMENTE


IniciadoDisponer

O&M

Implementar

Diseño

La única manera de saber si un control de seguridad funciona o no, o pasa o falla, es probarlo.


¿Qué es y que hace un auditor?

Cada año, el sector público presenta sus métricas y medidas de apoyo de cumplimiento de gobierno y los reportes de solicitudes. Algunas de estas variadas métricas incluyen:

• El número de sistemas que opera en la empresa

• El número de sistemas de la empresa que tienen una autorización para operar

• El número de sistemas de la empresa que tienen aceptación del riesgo

La confiabilidad de la medición de la eficacia de un programa de gestión riesgo se basa en la garantía de la ejecución de pruebas y ensayos de forma periódica, y si existe un registro de los resultados de las pruebas.

En la comunidad de inteligencia de Estados Unidos, muchos auditores y oficiales de cumplimiento, como un curso normal de sus deberes, deben realizar una auditoría anual del programa de riesgo y procesos de la agencia, para validar la gestión y si el programa se ejecuta de acuerdo con las normas, para validar la precisión de las mediciones que fueron reportados. Los auditores utilizan un equipo relativamente pequeño, a veces un tercero para realizar la auditoría. El auditor revisa un subconjunto de los sistemas de la agencia, porque la mayoría de las agencias tienen cientos de miles de sistemas. Algunos de los subconjuntos son pequeños algo así como el 0,001 por ciento del número total de sistemas de

El rol del asesor/evaluador de seguridad es poner a prueba todos controles de seguridad clave para un sistema y dar cuenta de todos los controles de seguridad para el que fue el sistema de categorizados en l paso 1 de la NIST RMF. El papel también podría incluir el desarrollo y ejecución del plan de pruebas para el sistema.

El plan de prueba incluye todos los controles para los que el sistema ha sido categorizado. El asesor de seguridad ejecuta el plan de prueba con el propietario de la red y registra los resultados. Los resultados de la etapa de NIST RMF 4, que también se conoce como la fase de evaluación de la seguridad, incluyen:

• Una lista de los controles de seguridad

• Un plan de prueba que abarca la totalidad de los controles de seguridad

• Un informe de la prueba (OK/No OK)

• Las mitigaciones para cualquier control fallido

Estos resultados corresponden a un proceso básico de evaluación seguridad y proporciona al administrador de riesgo la información que se requiere para hacer una toma de decisión. Dentro de la comunidad de inteligencia de Estados Unidos, el administrador riesgo es designado por el director de la agencia y es a menudo el Gerente de información (Chief Information Officer—CIO), sub gerente de información, jefe de seguridad de la información (CISO) o el director de gestión de riesgos; sin embargo, las empresas pueden designar el ejecutivo del riesgo de alguna una manera diferente.

Si un proceso de evaluación de seguridad de una empresa no tiene este nivel de integridad y fidelidad, se estarían tomando decisiones sin la Información básica necesaria. Una gestión importante del programa de riesgos sigue el proceso de evaluación de la seguridad y realiza pruebas de penetración después de que el sistema indique el riesgo aceptado en la operación. Sin embargo, así como un riesgo ejecutivo (el más importante), el paso más revelador y objetivo de la gestión de riesgos es la evaluación de los controles de seguridad. Si no se realiza esta fase de gestión del riesgo correctamente, la capacidad de aceptar legítimamente el riesgo es Virtualmente imposible.


y la integridad del programa de gestión de riesgos. Las siguientes solicitudes específicas pueden decir mucho de un equipo de auditoría a un CISO o a un CIO:

• Archivo de los planes de prueba para cada sistema, con el resultado de la prueba y por sistema. Un plan de prueba tendrá todos los controles de seguridad para lo que se clasificó en el sistema.

• ¿Cuántos de los controles de seguridad se ensayaron de forma manual? ¿Quién realiza el examen?

• ¿Cuántos de los controles fueron probados con una herramienta o aplicación? ¿Qué herramientas se utilizaron y qué controles específicos probó cada herramienta?

• Del total de controles de seguridad, ¿cuántos pasaron?

• Del total de controles de seguridad, ¿cuántos fracasaron? ¿Cuáles fueron las mitigaciones de compensación? ¿Se probó la mitigación?

• Cuando se establece este sistema físicamente en la empresa y para qué se conecta?

• ¿El sistema de documentación de seguridad refleja todo lo anterior?

Si una empresa utiliza el NIST RMF, el programa de gestión de riesgos podrá responder correctamente las preguntas para cada uno de sus sistemas, ya que la base del programa de gestión de riesgos es robusto.

Ningún programa es perfecto; sin embargo, si una empresa está evaluando los controles de seguridad con un alto grado de confiabilidad, el auditor podrá verificar este este nivel de desempeño, entonces el programa de gestión de riesgos de la empresa estará acorde con el funcionamiento deseado.

Notas finales

1 National Institute of Standards and Technology, Security and Privacy Controls for Federal Information Systems and Organizations, Special Publication 800-53, Revision 4, USA, April 2013, http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf

agencia. Este método no revela el verdadero estado del programa de gestión de riesgos agencia, y si las medidas de la RMF especialmente las pruebas se están realizando. Muy pocos sistemas son revisados y a menudo la revisión toma mucho tiempo.

Los equipos de auditoría deben pivotar y centrarse en un conjunto más amplio de sistemas, y una revisión más detallada de la integridad de la prueba. Para ampliar el set de sistemas, los equipos tienen que ser inferior sobre la revisión general, y se centran en el paso más revelador de la RMF—la evidencia disponible para determinar la integridad de la etapa 4. Si la organización cuenta con 1.000 sistemas, la organización debe tener 1.000 planes de prueba y los resultados de las pruebas para cada sistema. La excepción sería si el sistema utiliza los servicios centralizados de seguridad disponibles de la empresa. Si los equipos de auditoría pueden determinar la existencia de planes de pruebas del sistema, los resultados de las pruebas y entrevistar a los asesores de seguridad, los equipos pueden determinar con precisión si el sistema fue probado por completo y si el ejecutivo de riesgo tiene los datos más objetivos para tomar una decisión de riesgo. Si el sistema no se ha probado o se ha realizado de forma insuficientemente, la aceptación al riesgo o autorización para operar deben ser invalidadas.

El liderazgo de la empresa tiene que establecer las expectativas para el programa de gestión de riesgos de la empresa y la forma en que este se mide, principalmente en toda la fase de evaluación del marco de gestión de riesgos. Para los auditores, hacer las preguntas correctas es crucial para descubrir el verdadero estado de funcionamiento

Si el sistema no está probado o no ha sido probado adecuadamente, la aceptación o autorización para operar debe ser invalidada.

¿Disfrutto este artículo?

• Aprenda más acerca, discute y colabora con la gestión de riesgos en el Centro de Conocimiento. www.isaca.org/risk-management


aplica a todo el sector privado de procesamiento de datos personales por organizaciones de la UE y organizaciones fuera de la UE que se dirigen a los residentes de la UE. Dondequiera que dichas organizaciones trasladen datos personales a la UE, se sentirá el impacto de la GDPR. Las empresas que cumplen con estas definiciones se verán obligados a cumplir o abandonar cualquier oportunidad de interactuar con la audiencia significativa de clientes de la UE. Duras sanciones por incumplimiento incluyen multas superiores a 20 millones de €, o aproximadamente US $23 millones, y el 4 por ciento de los ingresos globales de la compañía.

Aunque las empresas de todos los tamaños serán desafiadas, el GDPR impacta más significativamente a las compañías globales con una amplia presencia internacional. Estos retos surgen de las empresas que tienen que ampliar el alcance de entornos de TI ya muy complejas y de la transmisión transfronteriza de datos personales.

Convirtiendo costo en valor

Por lo general, cualquier cumplimiento se percibe como un costo. Las empresas eficaces y sus líderes generan con éxito valor para las empresas y sus clientes mediante el diseño y la implementación de programas de privacidad y cumplimiento de datos sensibles.

Por ejemplo, el principal proveedor mundial de gestión y automatización de energía propuso tres objetivos principales para su iniciativa mundial de cumplimiento de la protección de datos personales:

¿Tienes algo que comentar sobre este artículo?Visita las páginas del Journal en el sitio web de ISACA (ww.isaca.org/journal), encuentra el artículo y da click en el link Comments para compartir tus pensamientos

El 4 de mayo de 2016, después de cuatro años en la realización, el Reglamento General de la Unión Europea de Protección de Datos (GDPR) se publicó en el Diario Oficial de la Unión Europea1 y oficialmente estableció una fecha de aplicación2. Mientras que el reglamento entró en vigor el 24 de mayo de 2016, se aplicará de ahora en adelante a partir del 25 de mayo de 2018. El GDPR está trabajando en conjunto con la Directiva de la UE en la ampliación de requerimientos, en relación con el tratamiento de datos personales para lograr los objetivos comunes de protección de datos personales, la investigación del delito y el enjuiciamiento. Esta asociación está presentando cambios radicales en las normas de protección de datos de los cuales el mundo no ha visto las inclinaciones en más de 20 años.

La gran mayoría de los encuestados (84 por ciento) indicó que anticipan que la GDPR tendrá un impacto en su organización.3

El nuevo GDPR, presentada por la Comisión Europea en 2012 y el acuerdo general por el Parlamento Europeo y el Consejo en diciembre de ese mismo año, se establece para sustituir la Directiva de Protección de Datos 95/46/CE. En los últimos cuatro años, las empresas proactivas han puesto en marcha los procesos necesarios de privacidad y procedimientos que cumplan con la Directiva 95/46/CE. Las empresas tendrán que hacer lo mismo una vez más por las nuevas medidas de protección para los interesados de la UE cuando la GDPR comienza a ser ejecutada. Multas sustanciales y sanciones serán impuestas a las empresas con los controladores y procesadores de datos que no cumplan.

El impacto de esta nueva regulación es completamente penetrante. Las empresas con más de 250 trabajadores que procesan los datos personales de los ciudadanos de la UE estarán sujetas a la GDPR. No sólo eso, sino que GDPR se

Ilya Kabanov, Ph.D. Es un experto en tecnología de la información, con 15 años de experiencia en TI empresarial. Ha desempeñado importantes funciones de transformación en estrategia de TI, gestión de proyectos tecnológicos, seguridad y privacidad de datos en empresas desde la exitosa puesta en marcha hasta una empresa global de US $ 36.000 millones. Actualmente, Kabanov lidera una iniciativa global de seguridad de aplicaciones y cumplimiento de la privacidad de datos personales para un proveedor global de gestión y automatización de la energía. En 2013, la revista Kommersant lo reconoció como el mejor jefe de información de Rusia en el sector de la logística y el transporte. Kabanov es miembro del Instituto de Ingenieros Eléctricos y Electrónicos y la Asociación Internacional de Profesionales de la Privacidad y sirve como un juez en el Simposio CIO MIT Sloan.

Disponible également en françaiswww.isaca.org/currentissue

artículoartículoEntregando cumplimiento con protección de datos personales en una escala global


El objetivo de cada empresa es el cumplimiento, pero también buscarlo de tal manera que sustente el crecimiento y la rentabilidad. Esta no es una tarea fácil, ya que cada empresa se enfrentará a varios retos en un intento de alcanzar el cumplimiento. Desafíos

El GDPR y reglamentos nacionales de protección de datos personales empujan la necesidad de las organizaciones para desarrollar e implementar marcos de riesgo y cumplimiento que abarcan numerosos departamentos internos, incluyendo legales, de seguridad y de TI, a la vez que se mantenga en conformidad con diferentes legislaciones a través de múltiples jurisdicciones en todo el mundo. Si bien hay diferentes puntos de vista sobre los procesos que las organizaciones globales pueden adoptar para establecer y gestionar los factores de riesgo de regulación y cumplimiento, los desafíos que las empresas necesitan en realidad son muy comunes. Son:

• Complejidad—El volumen y la complejidad creciente del panorama de la regulación de protección de datos personales han cobrado impulso, sobre todo en la Unión Europea, los Estados Unidos y algunos países emergentes. Las empresas globales necesitan cumplir con una variedad de la legislación reguladora a nivel nacional y garantizar el cumplimiento en todas las dimensiones del negocio tales como países, tipos de datos y volúmenes, y varias residencias de procesadores de datos.

• Agilidad y consistencia—Agilidad es un factor necesario. Las leyes y regulaciones cambian constantemente, y el tiempo que toma a los nuevos productos TI llegar al mercado se está reduciendo. El cumplimiento de estos cambios también debe reflejar un período de tiempo condensado para ser eficaz. Las empresas deben dar consistencia a sus estructuras de cumplimiento. Tiene que ser en tiempo real y reflejar con precisión los cambios en las reglas y las nuevas regulaciones. Cada empresa tiene que desarrollar y estar alineados con ciclos rápidos de entrega de los sistemas de TI y productos. El cumplimiento de las nuevas regulaciones significa asegurarse de que múltiples sistemas y procesos múltiples son compatibles, no sólo en la aplicación, pero a lo largo del ciclo de vida de la estructura.

1. Poner el riesgo de US $1.2 mil millones de violar las regulaciones de protección de datos4 personales bajo control en la UE y otros países donde la empresa opera.

2. Habilitar y apoyar el crecimiento de los ingresos y una rica experiencia del cliente en el área de soluciones móviles y soluciones conectadas de Internet de las Cosas (IoT) que la compañía ofrece:

Como los líderes generan valor a través del cumplimiento:

• Expandir la satisfacción del cliente y construir relaciones de confianza con los clientes

• Habilitar el crecimiento de los ingresos• Reducir el costo de cumplimiento

3. Lograr una reducción en el costo del cumplimiento con una legislación de protección de datos personales. Una forma de hacerlo es utilizando reglas corporativas vinculantes mediante la aplicación de diferentes métodos de cumplimiento, incluida la auto-certificación, con respecto al perfil de riesgo de las aplicaciones informáticas y los sistemas involucrados en el procesamiento de datos personales.

Además, la compañía cree que su responsabilidad global va más allá del cumplimiento normativo. La empresa cuenta con sólidos principios de la realización de negocios de forma ética, sostenible y responsable en todo el mundo. La responsabilidad es el objetivo clave en el centro de gobierno corporativo de la empresa. Esto determina el compromiso de la empresa para establecer y cumplir con los más altos estándares de ética y privacidad, y le permite dar forma al futuro de la industria mediante la introducción de mejores prácticas de mañana hoy.

El objetivo de cada empresa es el cumplimiento, pero también buscarlo de tal manera que sustenta el crecimiento y la rentabilidad.


aplicación a lo largo de todo el ciclo de vida, desde la idea hasta la jubilación y garantizar el concepto y los datos de privacidad por diseño y la protección de datos en cada etapa. El marco se basa en un proceso de cuatro pasos que incluye la evaluación de riesgos, mitigación de riesgos, certificación y auditoría fases posteriores a la certificación (figura 1).

Una vez que se estimó que era necesario educar a 2.500 actores clave en un cambio de proceso para lograr un alto nivel de conciencia, colaboramos con nuestro departamento de comunicación interna para diseñar y ejecutar una campaña de comunicación multi-canal de un año de duración. Hemos aprovechado las redes sociales internas, los webinars y el elearning para impulsar la adopción, la privacidad de los datos y la cultura de concientización sobre los riesgos de seguridad a nivel mundial. Nuestro objetivo no era sólo incorporar el marco que diseñamos dentro de los procesos existentes,pero asegúrese de que el cumplimiento se convierta en parte del conocimiento profesional de los gerentes de proyectos y los equipos de entrega de aplicaciones y operaciones.

- Director de Arquitectura Empresarial

Hay cuatro retos principales en impulsar la adopción del diseño del marco:

1. La complejidad de los entornos regulatorios externos e internos. El marco había tomado más de 200 leyes, políticas, normas y directrices en cuenta y luego simplificarlos en los procedimientos, recomendaciones y controles de evaluación de riesgos aplicables.

• La capacidad y disponibilidad de los expertos—La falta de experiencia en seguridad de TI y la escasez de expertos en el campo de la protección de datos personales ralentizan y complican el proceso de construcción de los marcos de cumplimiento. Las compañías globales luchan por el limitado número de expertos que pueden conducir programas de cumplimiento de protección de datos complejas y, a menudo experimentan dificultades en la educación de los empleados acerca de la protección de datos personales.

Aunque las empresas se enfrentan a grandes desafíos como la escala, la diversidad geográfica, prioridades y las comunicaciones, las perspectivas de estas empresas no es todo sombrío. Hay ciertos factores que ayudarán a forjar un marco de cumplimiento con una gran oportunidad para el éxito.

Marcos de la vida real

Uno de los ejemplos de las estructuras de cumplimiento exitosas lo demostró una compañía global que introdujo el marco de certificación para garantizar la seguridad y el cumplimiento de las aplicaciones y sistemas informáticos, garantizando así a los clientes, los empleados y clientes de la adecuada protección de sus datos personales y datos corporativos, la autorización a los derechos otorgados por la legislación y el cumplimiento de las normas y políticas corporativas e industriales. El marco fue diseñado para abarcar más de 1.000 aplicaciones de software lanzadas anualmente, que almacenan miles de millones de registros de datos estructurados y no estructurados y son accesados por millones de personas en todo el mundo.

En una etapa temprana del desarrollo del marco, se reconoció que el proceso de cumplimiento debería abarcar exhaustivamente el trayecto de la

Figura 1—Las fases de asegurar la protección de datos en el ciclo de vida de entrega del proyecto

Fuente: I. Kabanov. Reimpreso con permiso.

I Evaluación de riesgosEl jefe de proyecto completaun formulario de evaluaciónde riesgos para identificar

los riesgos

El líder de área de marco detrabajo del asiste y emite un

informe de evaluaciónde riesgos

II Mitigación de riesgoEl jefe de proyecto planifica yejecuta un plan de mitigación

de riesgos

El equipo del marco de trabajoofrece servicios de evaluaciónde la vulnerabilidad técnica y

experiencia funcional

III CertificaciónEl jefe de proyecto completauna lista de comprobación

para confirmar la mitigación

El equipo del marcode trabajo

comprueba evidencias yemite un certificado

IV AuditoríaLos propietariosde aplicaciones

mantienen el cumplimiento

El equipo del marco detrabajo compruebaevidencias y emite

un certificado

Evaluaciónde riesgocompleta

Recolectarevidenciadocumentada

Completar lalista deverificación

Informe yremediación


descanso a través de culturas, idiomas y zonas horarias, a la vez de mantener la concentración en el diseño y la implementación de este marco..Factor de éxito

Diseño e implementación de programas de cumplimiento varían enormemente. Cada organización debe asegurarse de que el cumplimiento está incorporado adecuadamente en los procesos actuales de la organización. Cuanto más compleja sea la organización, más difícil será para garantizar que los programas o iniciativas de privacidad se integran en, o en toda la organización.

El nivel más alto de integración de un marco de cumplimiento en los procesos existentes de gestión de proyectos y programas garantiza la solidez y exhaustividad de sus controles de redundancia libre. A modo de ejemplo, el marco debe estar en consonancia con los procesos que pueden tener diferentes nombres en las organizaciones, tales como la excelencia del proyecto de extremo a extremo y la gestión del ciclo de vida del desarrollo de software. Esto ayudará a asegurarse de que las aplicaciones de procesamiento de datos sigan el marco para garantizar la seguridad y el cumplimiento en cada etapa del ciclo de vida, junto con los principios de la ejecución de la privacidad por diseño y de seguridad por diseño.

La comunicación es una parte crítica de la integración exitosa del marco en las operaciones de la empresa y la rutina de entrega de proyectos. La comunicación a gran escala del proyecto es un ejercicio desafiante. Para lograr el éxito, los equipos necesitan asociarse con una variedad de partes interesadas, luego diseñar y conducir una campaña de comunicación de ondas múltiples como parte de un proceso de gestión del cambio para aumentar la concientización sobre el marco y educar a los equipos de ejecución de proyectos sobre la privacidad de datos clave y el riesgo de seguridad.

Comunicación apoya la colaboración, que una reciente encuesta de la Asociación Internacional de Profesionales de la Privacidad (IAPP) de 550 profesionales de la privacidad, la información y la seguridad de la información indicó como crítica para

2. La madurez inicial de las políticas requirió la participación intensiva de expertos para evaluar el riesgo, guiar a los equipos de ejecución de proyectos en la implementación y aplicar los controles. Este fue un grave impedimento para la ampliación del marco, por lo tanto, el equipo abordó el desafío mediante la aplicación de un enfoque de experimentación. Esto permitió al equipo desarrollar las mejores prácticas y documentarlas en las formas de directrices prácticas para los equipos de entrega de proyectos y los propietarios de aplicaciones.

3. La complejidad de un entorno de TI existente donde se procesan los datos se convirtió en un desafío adicional. Debido a este obstáculo, el equipo puso mucho esfuerzo en aprender sobre la arquitectura existente y los datos de mapeo.

4. La gran escala de implementación del programa, la diversidad geográfica de despliegue y el inconsistente nivel de conciencia sobre la privacidad de los datos entre 2.500 actores clave repartidos en las 24 zonas horarias crearon un desafío significativo para el rápido despliegue del marco.

El marco fue el resultado de un trabajo perfectamente orquestado y consolidado de miembros de equipo de todos los continentes que representan verticales funcionales clave. El equipo ha trabajado sin


La mayoría de las compañías globales ya están buscando construir sólidos marcos de cumplimiento basados en la Organización Internacional para estándares de normalización (ISO)6 y están a la espera de la publicación de la ISO/Comisión Electrotécnica Internacional (CEI) 29151: 2015 Tecnologías de la información-Técnicas de seguridad-Código de prácticas para la protección de información de identificación personal7 e ISO/IEC DIS 29134: Evaluación del impacto sobre la privacidad-Directrices8.

La volatilidad del entorno regulatorio y los cambios geopolíticos rápidos e impredecibles exigen que las organizaciones mundiales tengan marcos de cumplimiento verdaderamente sólidos para abordar los posibles cambios en las necesidades de cumplimiento de la organización, así como requisitos externos. Brexit es un ejemplo perfecto de cómo el Reino Unido que abandona la UE, junto con el GDPR, hará que el cumplimiento sea más difícil para las empresas globales.

Debido a que la salida efectiva del Reino Unido de la UE tendrá lugar después del 25 de mayo de 2018, es importante señalar que las empresas de la UE tendrán que seguir cumpliendo con el GDPR. Todas las empresas que procesen datos de ciudadanos británicos en ese momento deberán cumplir con la legislación del Reino Unido Steve Wood, comisionado adjunto interino en el Reino

abordar las brechas de datos. De hecho, el 90 por ciento de los encuestados consideró la colaboración entre los departamentos de privacidad, seguridad y TI, junto con un fuerte equipo de respuesta a la brecha de datos, lo más importante para mitigar el riesgo de una violación de datos5.

El cumplimiento de los problemas de privacidad de datos personales no es únicamente la competencia de los departamentos de TI. Todas las facetas de una organización deben estar comprometidas con la implementación de nuevas reglas y regulaciones e integrar esos nuevos factores en todos los departamentos y en cada nivel de organización de la empresa.

Más allá del cumplimiento

Líderes de la compañía demuestran el liderazgo ético en sus industrias y el uso de la conducta ética como un motor de crecimiento y de diferenciación competitiva. Un marco de cumplimiento puede servir como un componente clave de la cartera mundial de seguridad cibernética y el cumplimiento de las iniciativas. Su objetivo es permitir y apoyar el crecimiento de los ingresos y brindar experiencias impecables, seguras y protegidas para los clientes y los empleados. Mientras que los clientes piden la mejora de la productividad, precisión y eficiencia, las empresas deben responder a esas necesidades a través de relaciones de confianza que garantizan a los clientes y socios el máximo nivel de privacidad de los datos, así como la confidencialidad, integridad y disponibilidad de la información.

Además, los marcos de cumplimiento pueden desempeñar un papel crucial en la reducción de los ciclos de vida de los proyectos y la entrega de productos para apoyar el crecimiento estratégico del negocio en las áreas objetivo del mercado primario de soluciones móviles y ofertas IoT conectadas.

Conclusión

Empresas de todos los tamaños es probable que encuentren que el cumplimiento y la aplicación GDPR no serán fáciles. Requerirá una integración completa y perfecta en los procesos únicos de cada empresa, lo que, a su vez, requerirá énfasis en una comunicación adecuada y educación regulatoria.

Un marco de cumplimiento puede servir como un componente clave de la cartera global de seguridad cibernética y cumplimiento de las iniciativas.


Regard to the Processing of Personal Data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation),” 4 May 2016, http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf

3 Baker and McKenzie, “Preparing for New Privacy Regimes: Privacy Professionals’ Views on the General Data Protection Regulation and Privacy Shield,” April 2016, http://f.datasrvr.com/fr1/416/76165/IAPP_GDPR_and_Privacy_Shield_Survey_Report.pdf

4 European Commission, “Protection of Personal Data,” http://ec.europa.eu/justice/data-protection/

5 International Association of Privacy Professionals, “How IT and Infosec Value Privacy,” https://iapp.org/resources/article/how-it-and-infosec-value-privacy/

6 International Organization for Standardization, ISO/IEC 27018:2014 Information technology—Security techniques—Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors, 1 August 2014, www.iso.org/iso/catalogue_detail.htm?csnumber=61498

7 International Organization for Standardization, ISO/IEC DIS 29151 Information technology—Security techniques—Code of practice for personally identifiable information protection, 5 July 2016, www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62726

8 International Organization for Standardization, ISO/IEC DIS 29134 Information technology—Security techniques—Privacy impact assessment—Guidelines, 18 July 2016, www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62289

9 Wood, S.; “GDPR Still Relevant for the UK,” Information Commissioner’s Office, 7 July 2016, https://iconewsblog.wordpress.com/2016/07/07/gdpr-still-relevant-for-the-uk/

Unido Oficina del Comisionado de Información (ICO), dice: “El papel del ICO ha implicado siempre en estrecha colaboración con los reguladores de otros países, y que seguirá siendo el caso. Tener leyes claras con garantías en su lugar es más importante que nunca dada la economía digital en crecimiento, y estaremos hablando con el gobierno británico para explicar nuestra opinión de que la reforma de la ley de protección de datos del Reino Unido sigue siendo necesaria”9. En esencia, esto significa que el Reino Unido va a evolucionar las leyes de protección de datos y exigir a las organizaciones que sirven a clientes del Reino Unido para garantizar el cumplimiento, además de la GDPR. Es importante recordar que las normativas de protección de datos personales son en su mayoría diseñados para ayudar a las organizaciones a lograr las mejores prácticas para la protección de datos; en realidad son un buen conjunto de reglas a seguir. Fundamentalmente, la mayoría de los requisitos de cumplimiento de protección de datos personales exige la privacidad por diseño, buenas políticas de gestión de la información, y las medidas de seguridad razonables, procedimientos y tecnologías para minimizar los posibles incidentes de pérdida de datos. Por lo tanto, las organizaciones que han diseñado y desplegado sólidos marcos de cumplimiento con una granularidad razonable de los controles podrán aplicarlos ampliamente, al tiempo que abordarán los posibles cambios normativos y cambiará las necesidades de cumplimiento para proteger con seguridad los datos personales y permitir oportunidades de negocio.

Notas finales

1 Official Journal of the European Community, www.ojec.com/

2 Official Journal of the European Union, “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons With

artículoartículo

para abordar los hallazgos y recomendaciones de auditoría reportados

Figura 1—Catalizadores Corporativos de COBIT 5

Fuente: ISACA, COBIT® 5, USA, 2012

ProcesosLos procesos describen un conjunto de prácticas y actividades para alcanzar ciertos objetivos y producir un conjunto de salidas como soporte para alcanzar metas globales relacionadas con TI6.

Los procesos requieren buenas prácticas. Éstas son provistas por la guía ITAF 24027, la cual documenta guías en torno a las acciones de confirmación tomadas como respuesta a recomendaciones de auditoría. Los procesos también deberían tener un ciclo de vida. Esto se encuentra documentado en la guía 2402 del siguiente modo:

• 2.1 Proceso de seguimiento

COBIT® 5 para aseguramiento construye sobre la base del marco de trabajo de COBIT® 5 proveyendo una guía detallada y práctica para profesionales del aseguramiento sobre cómo utilizar COBIT 5 para soportar una variedad de actividades de aseguramiento TI.

Una de las actividades clave de aseguramiento TI es asegurarse que el riesgo ha sido mitigado. COBIT 5 para aseguramiento requiere que, donde sea apropiado, las recomendaciones pueda incluir provisiones para monitoreo y seguimiento oportuno1.Implementar un proceso de seguimiento de auditoría usando los catalizadores COBIT 5 y el Marco de Trabajo de Aseguramiento de Tecnologías de la Información (ITAF)2 provee valor a la empresa.

Los catalizadores de COBIT 5 y el proceso de seguimiento de auditoría

Los catalizadores son factores que, en forma colectiva e individual, influencian para que algo funcione o no. Los catalizadores son impulsados por la cascada de metas, por ejemplo, las metas de TI de alto nivel definen que deben lograr los distintos catalizadores3. El marco de trabajo de COBIT 5 describe siete categorías de catalizadores (figura 1). COBIT 5 para aseguramiento revisa cada uno de estos catalizadores, destacando la perspectiva de aseguramiento. El artículo sigue una metodología similar enfocándose en el proceso de seguimiento de auditoría.

Principios, Políticas y Marcos de TrabajoLos principios, políticas y marcos de trabajo son los vehículos para traducir el comportamiento deseado en guías prácticas para la gestión día a día4.

Las guías prácticas para las actividades de seguimiento de auditoría están incluidas en ITAF. Específicamente el estándar 2402, Actividades de Seguimiento5, requiere que los profesionales de auditoría y aseguramiento SI monitoreen información relevante para concluir si la administración ha planeado o tomado acciones apropiadas oportunas


Mejorando el proceso de seguimiento de auditoría usando COBIT 5

Ian Cooke, CISA, CRISC, CGEIT, COBIT Foundation, CFE, CPTS, DipFM, ITIL Foundation, Six Sigma Green Belt Es un gerente de auditoría TI establecido en Dublin, Irlanda, con más de 25 años de experiencia en todos los aspectos de los sistemas de información. Miembro de los Grupos de Trabajo de las Comunidades de ISACA, él es también el líder temático para discusiones de Bases de Datos Oracle, Bases de Datos de SQL Server y Herramientas y Técnicas de Auditoría. Cooke acepta comentarios y sugerencias en [email protected] o en el tema de Herramientas y Técnicas de Auditoría en el Centro de Conocimiento de ISACA.


manera de hacer esto es utilizando una matriz de responsable, encargado, consultado e informado (RACI). Una matriz RACI sugerida para el proceso de seguimiento de auditoría puede verse en la figura 3.

Cultura, Ética y ComportamientoLa cultura, ética y comportamiento de los individuos y de la empresa son usualmente subestimados como un factor de éxito en las actividades de gobierno y gestión9. Para el proceso de seguimiento de auditoría el foco está en confirmar la implementación de ítems de auditoría. Las buenas prácticas son discutidas en la figura 4.

Figura 3—Matriz RACI de seguimiento de auditoría

Responsable Auditado—gestor de asuntos

Encargado Administrador del auditado—dueño de asuntos

Consultado Administrador del riesgo, cumplimiento, legal, etc.

Informado Directorio, comité de auditoría, auditoría externa

Fuente: Ian Cooke. Reimpreso con permiso.

InformaciónLa información permea a través de cualquier organización e incluye toda la información producida y utilizada por la empresa. La información es requerida para mantener la organización funcionando y adecuadamente gobernada10.

• 2.2 Acciones propuestas por la administración

• 2.3 Asumiendo el riesgo de no tomar acciones correctivas

• 2.4 Procedimientos de seguimiento

• 2.5 Tiempos y planificación de actividades de seguimiento

• 2.6 Naturaleza y ámbito de las actividades de seguimiento

• 2.7 Actividades de seguimiento de postergación

• 2.8 Formato de respuestas de seguimiento

• 2.9 Seguimiento a manos de profesionales acerca de recomendaciones de auditoría externa

• 2.10 Reportando actividades de seguimiento

Estos pasos sugieren que los ítems de recomendaciones de auditoría tienen diferentes estados a medida que fluyen por el ciclo de vida. La figura 2 resume los estados que una acción puede tener a lo largo de su ciclo de vida.

Estructuras OrganizacionalesLas estructuras organizacionales son las entidades claves en la toma de decisiones en una empresa8. Las buenas prácticas aquí incluyen la definición de los principios operativos, el ámbito de control, el nivel de autoridad, la delegación de autoridad y los procedimientos de escalamiento para los ítems de recomendaciones de auditoría. La mejor

Figura 2—Estado de recomendaciones de auditorías

Estado Descripción Fecha Relacionada

Borrador La acción aún no ha sido acordada con la administración. Fecha de levantamiento

Destacado La acción ha sido acordada con la administración, pero aún no ha sido implementada.

Parcialmente implementado

La acción es un trabajo en progreso; algunos elementos han sido implementados.

Totalmente implementado La administración ha indicado que todos los elementos de la acción acordada han sido completados.

Fecha de implementación total

Confirmado Auditoría interna ha confirmado, vía procedimientos de seguimiento, que la acción acordada ha sido completada.

Fecha de cierre

Retrasado La acción ha sido retrasada hasta una fecha posterior (por ejemplo puede ser dependiente de otra acción, actividad o mejora).

Fecha de cierre

En desacuerdo La administración ha decidido en contra de la implementación de la acción acordada.

Fecha de cierre



Otros ítems que agreguen valor a la empresa pueden ser agregados..

Figura 6—Registro de hallazgos de aseguramiento Ítems de datos adicionales

sugeridos

Tema de la recomendación

Compañía, división

País

Marco de trabajo relacionado/regulaciónFuente: Ian Cooke. Reimpreso con permiso.

Servicios, Infraestructura y AplicacionesLos servicios, infraestructura y aplicaciones incluyen la infraestructura, tecnología y aplicaciones que provee la empresa con servicios y procesamiento de tecnologías de información13.

Desde una perspectiva de seguimiento de auditoría, lo que realmente se requiere es una instalación para almacenar los hallazgos de aseguramiento y producir reportes basados en los mismos. Esta puede ser una aplicación (por ejemplo, software de gestión de auditoría) o Microsoft Excel/Access. Las aplicaciones de tipo flujo de trabajo también pueden ser útiles para solicitar o hacer seguimiento a las recomendaciones. Personas, Habilidades y CompetenciasLas personas, habilidades y competencias son requeridas para completar exitosamente todas las actividades y para tomar decisiones correctas y tomar acciones correctivas14.

El auditor debe ser competente y contar con las habilidades necesarias para confirmar la implementación del ítem de auditoría. El auditor debe saber o tener una idea por adelantado de qué será aceptable para confirmar la implementación. Esto puede variar dependiendo de la relevancia del ítem. Un certificación de Auditor de Sistemas de Información Certificado® (CISA®) y familiaridad con ITAF también será beneficioso.

Reuniéndolo todo—El proceso de seguimiento de auditoría en acción

Acciones Propuestas por la AdministraciónEl proceso de seguimiento se inicia con la creación del reporte de auditoría, específicamente, al

La información acerca de los ítems de seguimiento de auditoría debe ser capturada en un registro de hallazgos de aseguramiento. Este es un registro de asuntos/hallazgos levantados durante actividades de aseguramiento. Es mantenido y seguido para asegurar que los asuntos/hallazgos más significativos han sido registrados en acuerdo en los reportes de aseguramiento11. La figura 5 muestra los ítems de datos que deberían ser capturados como mínimo.

Figura 4—Buenas prácticas de cultura, ética y comportamiento

Comunicación El propósito del proceso de seguimiento de auditoría debe ser documentado y comunicado a todos los empleados, pero especialmente aquellos identificados en la figura 3.

Campeones Los empleados que están dispuestos o son capaces de completar exitosamente el proceso de seguimiento deben ser identificados.

Reforzamiento Puede existir la necesidad de un refuerzo. Por ejemplo, puede haber una necesidad de una política de recursos humanos (RRHH) estableciendo que cualquier malinterpretación por los auditados resultará en acciones disciplinarias.

Incentivos y recompensas

La completitud de los ítems de recomendaciones de auditoría podrían formar parte de los esquemas de incentivos de los auditados.


Figura 5—Registro de hallazgos de aseguramiento Ítems de datos mínimos

Un número de referencia único

La referencia del reporte

Una descripción del ítem/riesgo

Significancia—denota el nivel de riesgo percibido

Una descripción de la solución/mitigación propuesta

La fecha propuesta de implementaciónFuente: Ian Cooke. Reimpreso con permiso.

De cualquier manera, es ventajoso agregar ítems de datos adicionales. COBIT® 5: Procesos Habilitadores describe atributos de información12. Uno puede agregar valor a la información al agregar más ítems de datos (figura 6).



¿Disfruto este artículo?

• Lea Information Systems Auditing: Tools and Techniques—IS Audit Reporting. www.isaca.org/tools-and-techniques

• Aprenda más acerca de, discuta y colabore usando COBIT® 5 en el Centro de Conocimiento. www.isaca.org/cobit-5-use-it-effectively

puede cambiar desde “destacado” a “parcialmente implementado”, “completamente implementado” o, si se verifica, “cerrado”.

La significancia también puede cambiar. Esto puede ocurrir donde los sistemas de aplicaciones han cambiado, los controles compensatorios han sido implementados, o los objetivos o prioridades del negocio han cambiado de tal manera que eliminan efectivamente o reducen significativamente el riesgo original.

Asumiendo el Riesgo o No Tomando Acciones CorrectivasLa administración debe decidir aceptar el riesgo de no corregir la condición reportada en base a su costo, complejidad de la acción correctiva u otras consideraciones17. En dichas circunstancias, la recomendación puede no llegar a acuerdo o postergada para una fecha posterior.

momento que se hacen las recomendaciones y las acciones propuestas por la administración15 son documentadas. La figura 7 documenta qué debe ser capturado en esta etapa.

Procedimientos de SeguimientoUna vez que las acciones propuestas son acordadas, los procedimientos para las actividades de seguimiento deben ser establecidos16. Esto debe incluir:

• Una evaluación de la respuesta de la administración

• Una verificación de la respuesta, si es apropiada

• Trabajo de seguimiento, si es apropiado

Al completarse las actividades de seguimiento, el estado del ítem de recomendación de auditoría debe cambiar. Por ejemplo, el estado de recomendación

Figura 7— Item de recomendación de auditoría de muestra

Item de datos Referencia Ejemplo

Un número único de referencia Figura 5 3434

La referencia del reporte Figura 5 2016/05

Una descripción del ítem/riesgo Figura 5 No se definió ningún acuerdo de nivel de servicio (SLA)….

Relevancia—denota el nivel de riesgo recibido Figura 5 3 (1 is highest)

Una descripción de la solución/mitigación propuesta Figura 5 Un SLA será definido...

TLa fecha de implementación propuesta Figura 5 09/30/2016

Auditado—gestor de asuntos Figura 3 Administrador de TI 4

Administrador del auditado—dueño de asuntos Figura 3 Ejecutivo 2

Estado Figura 2 Destacado

Fecha de levantamiento Figura 2 06/30/2016

Fecha de implementación total Figura 2

Fecha de cierre Figura 2

Tema de la recomendación Figura 6 SLAs

Compañía, división o ubicación Figura 6 Dublin

País Figura 6 Irlanda

Marco de trabajo relacionado/regulación Figura 6 COBIT 5 APO09Fuente: Ian Cooke. Reimpreso con permiso.


Figura 8—Resumen de muestra – destacados por país


Las tablas pivote de Excel pueden también ser usadas para resumir los estados de las recomendaciones de auditoría en formatos que sean más familiares a la administración (figura 10).

Reportando las actividades de seguimientoLa documentación de ISACA recomienda que un reporte con el estado de las acciones correctivas acordadas provenientes de las cartas de acuerdo de auditoría, incluyendo las recomendaciones acordadas aún no implementadas, debe presentarse al nivel apropiado de la administración y a aquellos encargados del gobierno (por ejemplo, el comité de auditoría)18.

Reportar el estado de ítems individuales es una buena práctica. Sin embargo, al recolectar la información sugerida anteriormente, junto con los estados y fechas relacionadas que se han seguido, se puede hacer más. Primero, usando tablas pivote de Excel (o una herramienta similar) los datos pueden ser agregados. Esto puede luego ser usado para mostrar como secciones enteras, divisiones, países o dueños están rindiendo (figuras 8 y 9).

Figura 9—Resumen de muestra—estado por dueño


9%

13%

65%

13%

Francia

Alemania

Irlanda

USA

0 5 10 15 20

CFO

CIO

Exec 1

Exec 2

Exec 3

Exec 4

Exec 5

Exec 6

Parcialmente implementado

Destacado

Totalmente Implementado

Borrador

En Desacuerdo

Retrasado

Cerrado


que existan problemas con la autenticación y autorización (figura 13). Beneficios del proceso mejorado de seguimiento de auditoría

Capturando los estados de las recomendaciones de auditoría en un registro de hallazgos de aseguramiento significa que, de parte de las buenas prácticas, un reporte del estado de acciones

O, pueden ser usados para demostrar cumplimiento de los estándares de la empresa (figuras 11 y 12).

Estos ejemplos indican puntos de dolor y son buenos indicadores de retardo. Sin embargo, una revisión cuidadosa de los temas ubicados revela que también pueden ser considerados indicadores líderes. Por ejemplo, si una nueva aplicación va a ser implementada en Irlanda, es muy probable

Figura 10—Resumen de muestra items vencidos por número de días


Figura 11—Ejemplo de resumen de artículos cerrados por la organización internacional para la cláusula de normalización (ISO)


0

5

10

15

20

25

30

Francia Alemania Irlanda Reino Unido USA

360

270

90

0

5.110.2

14.112.1.2

9.2.2

Bélgica

Franc

ia

Aleman

ia

Irland

aSu

ecia

Estad

os Unid

os

5.1

10.1

10.2

12.4

14.1

17.1

12.1.2

9.1.2

9.2.2


Figura13—Resumen de muestra—items abiertos por tema


Figura 12—Resumen de muestra—relevancia de la referencia de COBIT 5


0

5

10

15

20

25

30

35

AP009 AP012 AP013 BAI06 DSS04 DSS04 DSS05 EDM01

4

3

2

1 = mayor4 = menor


3 ISACA, COBIT® 5, USA, 2012, p. 27, www.isaca.org/COBIT/Pages/COBIT-5-Framework-product-page.aspx

4 Op cit, COBIT 5, p. 27 5 Op cit, ITAF, p. 39 6 Op cit, COBIT 5, p. 27 7 Op cit, ITAF, p. 141 8 Op cit, COBIT 5, p. 27 9 Ibid. 10 Ibid. 11 Op cit, COBIT® 5 for Assurance, p. 45 12 ISACA, COBIT® 5: Enabling Information, USA,

2013, p. 37, figure 28, www.isaca.org/COBIT/Pages/COBIT-5-Enabling-Information-product-page.aspx

13 Op cit, COBIT 5, p. 27 14 Ibid. 15 Op cit, ITAF, p. 142 16 Ibid. 17 Ibid. 18 Ibid.

correctivas acordadas puede ser presentado a la Alta Administración y al comité de auditoría. Sin embargo, capturando la información adicional sugerida, uno puede:

• Presentar información resumida por país/departamento/región/dueño

• Presentar la información en un formato con el que los ejecutivos estén más familiarizados

• Mostrar claramente el cumplimiento a los estándares y regulaciones

• Usar la información como un indicador líder para nuevas iniciativas

Esto otorga unan mejor perspectiva de los riesgos que afectan diferentes áreas de la empresa.

Notas finales

1 ISACA®, COBIT® 5 for Assurance, USA, 2013, p. 17, www.isaca.org/COBIT/Pages/Assurance-product-page.aspx

2 ISACA, ITAFTM: A Professional Practices Framework for IS Audit/ Assurance, 3rd Edition, USA, 2014, www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/ITAF-3rd-Edition.aspx

www.isaca.org/Journal-Jv6


Numerosas disciplinas utilizan el análisis de datos simples y avanzados para:

• Clasificación—Identificación de un (buen o mal cliente) y (fraude/ningún fraude)

• Agrupación—Identificación de grupos con comportamiento similar

• Asociación—Determinación de que todos quienes compraron el ítem A también compraron el ítem B, y el 80 por ciento de ellos producto también compraron el C

• Recapitulación—Describiendo grupos con ciertas características (por ejemplo, ejecutivos con un promedio de uso del total de tarjetas de la empresa que tienen más de x dólares)

• Análisis de enlaces/vínculos—Determinación de conexiones (por ejemplo, A llamó a B y B inmediatamente llamó C, por lo tanto, A quizás esté vinculada a C)

• Detección de desviación—Identificación de transacciones significativamente diferentes desde el promedio

• Predicción/estimación—Prediciendo tendencias o crecimientos de nuevos negocios

• Visualización—Tal vez esto no es análisis de datos propiamente dicho, pero ayuda en el descubrimiento humano no automatizado (por ejemplo, gráficos o imágenes médicas)

Dos categorías de análisis de datos

Las técnicas de análisis de datos por lo general pertenecen a una de las siguientes dos categorías:

• Fácil—Uno sabe lo que está buscando. La primera categoría por lo general tiene una regla o umbral bien definido y busca violaciones (por ejemplo, todas las transacciones monetarias con valor mayor que un umbral determinado o todos los empleados retirados que continúan teniendo acceso a los sistemas de TI). La primera categoría analítica por lo general emplea consultas a una

Análisis de datos es una herramienta imprescindible para la capacidad de la función1 de auditoría y ampliamente esperada para convertirse en una gran parte de esta en el futuro2.

Análisis de datos se define como, “la ciencia de examinar los datos en bruto con el fin de sacar conclusiones sobre esa información…”3 La definición continúa, afirmando:

La ciencia se divide generalmente en análisis exploratorio de datos (EDA), donde las nuevascaracterísticas de los datos que son descubiertas, y el análisis de datos de confirmatorio (CDA), dondehipótesis existentes resultan ser ciertas o falsas ... En tecnología de la información, el término tiene un significado especial en el contexto de las auditorías de TI, cuando los controles para una organización respecto a los sistemas de información, operaciones y procesos son examinados. El análisis de datos es utilizado para determinar si los sistemas establecidos protegen eficazmente los datos, operan de manera eficiente y tienen éxito en el logro de las metas generales de una organización4.


Spiros Alexiou, Ph.D., CISA Es un auditor de TI que ha estado durante ocho años con una gran empresa. Cuenta con más de 20 años de experiencia en sistemas de información y de análisis de datos y ha escrito numerosos programas informáticos sofisticados. Él puede ser contactado en [email protected]

artículoartículoAnálisis avanzado de datos para Auditores de TI


métodos de la primera categoría u otros métodos de la segunda categoría. El objetivo principal de este artículo es el análisis de datos avanzados.

La complejidad del análisis de datos avanzado

Cantidades de análisis de datos avanzados se asocian con casos complejos que no pueden ser etiquetados con usa regla sencilla tal como “si el valor de transacción es mayor que una cantidad dada y sin historia previa de una operación de este tipo por este usuario es encontrada, clasificarlo como sospechoso”. Estas sencillas reglas suelen incluir umbrales, y el cruce de estos umbrales es un indicador.

Esquemas de fraude sofisticados a menudo evaden la detección por simples reglas de la primera categoría de técnicas de análisis de datos. Técnicas avanzadas de análisis de datos tienen como objetivo detectar estos casos interesantes.

Por ejemplo, aunque llamadas de corta duración quizás no sean sospechosas por sí mismas, una combinación de tales llamadas con otra información puede ser un signo de violar las telecomunicaciones o sistemas de centrales telefónicas privadas—PABX (Private Automatix Branch Exchange). En general, aunque una intrusión sin detectar o actividad fraudulenta quizás no pueden violar una regla simple o umbral y, por lo tanto, evadir la primera categoría de análisis, la actividad debe, sin embargo, presentar características que son diferentes desde una actividad normal para ser detectada por el análisis de datos avanzado. El análisis de datos avanzado puede detectar desviaciones del comportamiento normal, incluso si el comportamiento normal no ha sido definido en términos de reglas o umbrales. Sin embargo, para detectar estos casos, toda la información pertinente, (por ejemplo, campos) deben ser identificados e incluidos en los datos, a pesar de que puede que no sea claro aún cómo la información debe ser correlacionada con las desviaciones de un caso de fraude, por ejemplo.

El Caso para expertos en el área

Independientemente del método o la categoría de análisis de datos, la experiencia en el campo es de vital importancia para el análisis de datos y es la razón principal porqué las empresas reclutan nuevos

base de datos u hojas de cálculo. Auditorías utilizan ampliamente esta categoría de análisis. A medida que el tamaño de los datos aumenta, los auditores a menudo se basan en agregado de datos que TI prepara. Tales datos pueden ser inadecuados por razones de flexibilidad y dependencia sobre TI. Los datos no necesitan ser grandes para ser usables o útiles.

• Avanzado—Uno no sabe a priori lo que uno está buscando (por ejemplo, los auditores no están comprobando si los umbrales son violados o incluso los valores del umbral). Por ejemplo, los auditores descubren un nuevo fenómeno que aún no se le aplican las reglas y límites conocidos. Los auditores quizás estén interesados en tendencias o patrones, o ellos quizás estén interesados en descubrir nuevas cosas. Los datos suelen contar una historia y, en esta categoría, los auditores quieren ser capaces de leer la historia. Un ejemplo es que los auditores de fraude quizás no conozcan exactamente si el fraude existe y, precisamente, en qué este consiste, porque pueden aparecer nuevas formas de fraude. Los auditores pueden incluso estar interesado en enseñar al computador cómo leer los datos y hacer inferencias, aunque el rendimiento de los computadores debe ser supervisado.

La primera categoría de análisis de datos es análoga para aprender a conducir por el aprendizaje de reglas (por ejemplo, la forma de arrancar el motor, como frenar, como hacer girar la rueda, comprendiendo los límites de velocidad), y la segunda categoría es similar a aprender a conducir viendo videos categorizados como buenas y malas conducciones (manejos). Las técnicas de la segunda categoría son ampliamente utilizadas en muchos campos y, a menudo combinada con los

Independientemente del método o la categoría de análisis de datos, la experiencia en el campo es vital para el análisis de datos.


métodos y sub-métodos a menudo tienen nombres técnicos, tales como la optimización de mínimos secuenciales (Sequential Minimal Optimization—SMO), método de máquinas de vectores de soporte (Support Vector Machines—SVM), y K-means (el algoritmo de agrupamiento más utilizado).

Preparación de datos

Por lo general, un conjunto de datos requiere preparación de los datos si este contiene:

• Más de un campo (por ejemplo, valor monetario y número de transacciones)

• Un campo categórico no numérico (por ejemplo, masculino/femenino)

• Un campo nominal, por ejemplo, posición en la empresa (administrador, director, personal de entrada de datos)

La preparación de datos proporciona la importancia relativa de cada campo para programas o herramientas, por ejemplo, la importancia de un usuario común haciendo 10 transacciones vs. un administrador haciendo 10 transacciones. Otro ejemplo es el número de transacciones bancarias realizadas vs. La cantidad total de las transacciones. ¿Son estas igualmente importantes? ¿Es la cantidad total más importante? Si es así, ¿Cuánto más importante? La tarea de preparación de los datos es similar a la definición de una escala común para medir diferentes cantidades y requiere experiencia en el campo. Esta tarea puede ser más complicada si el conjunto de datos contiene datos no numéricos, tales como campos (Si/No) que respuestas a preguntas como, “¿Hay un destino sospechoso de transferencia de dinero?” Los datos no numéricos no sólo deben ser convertidos a un número, sino también a un número que es escalado para asignarle su importancia relativa con respecto a otros campos.

Asignando importancia relativa numéricamente es necesario porque muchos métodos utilizan el concepto de distancia, es decir, una medida de lo cerca que dos eventos están el uno al otro en sus características, por ejemplo, valores de campo para las transacciones. Cada evento consiste en una serie de campos, y cada valor del campo debe ser numérico (o convertido a un número) y ampliado para reflejar su importancia con respecto a otros campos. Aquí es donde la experiencia en el campo entra en juego. Ningún programa es lo suficientemente

auditores que tienen experiencia en el área en un campo relevante, como TI o finanzas.

Se requiere experiencia en el campo/área para identificar los campos relevantes de los datos. Sistemas y herramientas de análisis de datos devuelven ruido si se les proporciona datos irrelevantes, y el costo de la investigación de los falsos positivos suele ser sustancial. Por ejemplo, si una empresa emplea análisis de datos para identificar un posible fraude, lavado de dinero o de un posible ataque, un científico de datos puede comprender los métodos de análisis de datos y aplicarlos bien entonces, pero no necesariamente conoce los campos relevantes y cómo ellos deberían ser usados.

Un experto en el dominio/área entiende la información que es relevante, o potencialmente relevante, al fraude, el lavado de dinero, un ataque, intrusión, etc., pero no necesariamente se conoce los métodos de análisis de datos para el uso de esta información en casos complejos. ¿Se necesita ser un científico de datos para utilizar herramientas de análisis de los datos?

La respuesta corta es no. Idealmente, uno debería ser capaz de dar instrucciones a un sistema o herramienta para, “ejecutar el método (A) sobre el conjunto de datos (B), y proporcionar los resultados”. Numerosas herramientas pueden ayudar a los auditores a hacer eso. Las “10 Herramientas (Superiores) de análisis de datos para negocios”5 proporcionan una lista de herramientas para el análisis de datos. La mayoría de estas herramientas proporcionan los métodos que se describen más adelante en este artículo. Las principales diferencias entre estas herramientas son las facilidades de uso, la interconexión y los precios.

Los usuarios de las herramientas de análisis de datos deben ser capaces de:

• Entender lo que hace el método (A).

• Preparar el conjunto de datos (B) para que sea utilizable por el método (A).

• Interpretar los resultados

Para poder utilizar estas herramientas, se requiere alguna familiarización con la terminología y jerga de análisis de datos y puede ser necesaria ya que los

¿Disfruto este artículo?

• LeaGenerating Value From Big Data Analytics. www.isaca.org/big-data-analytics

• Aprenda más acerca de, discute y colabore sobre herramientas de auditoría y técnicas en el Centro de Conocimiento. www.isaca.org/it-audit-tools-and-techniques


a un comportamiento similar. La agrupación no identifica agrupaciones extrañas o sospechosas, aunque esta puede identificar eventos dentro de un grupo (cluster) que están distantes desde la mayoría de los otros en el mismo grupo (outliers). Por lo tanto, los humanos deben interpretar y comprender los resultados. La agrupación es una muy buena herramienta de exploración que hace casi ninguna hipótesis y se ha utilizado en diversas auditorías que van desde la contabilidad al tráfico de red6, 7, 8. Por ejemplo, la agrupación fue aplicada al tráfico de red para identificar dos grupos, a saber, los flujos de los tráficos de red normal y anormal9. Cada miembro de estos grupos tiene características específicas, paquetes, bytes y diferentes pares de fuentes-destino, que se acercan más a los miembros del grupo que a los miembros del otro grupo.

Máquinas de vectores de soporte Las máquinas de vectores de soporte (SVM) como método de análisis de datos es similar a la de agrupación (clustering), porque SVM define, tan precisamente como sea posible, los límites entre diferentes grupos, tales como (fraude/sin fraude) o (Solvente/ insolvente). La característica que separan a un SVM de la agrupación es que SVM utiliza un conjunto de datos previamente etiquetados para enseñar a la computadora a dibujar la línea fronteriza, lo cual, en términos matemáticos, es el hiperplano. La SVM define este hiperplano/limítrofe porque este mejor divide los dos conjuntos de datos etiquetados. La división efectivamente maximiza el área, es decir, la suma de las distancias del punto más cercano de cada conjunto de datos a la frontera más cercana, entre los dos conjuntos de datos, como se ilustra en la figura 2. En consecuencia, un nuevo evento, o punto, a la izquierda de la línea fronteriza establecida es clasificado como el resto de los puntos a la izquierda de la línea fronteriza (por ejemplo, [fraude/No fraude], [opinión positiva/opinión negativa] de un nuevo sistema de información).

La figura 2 muestra SVM para dos conjuntos de datos etiquetados (círculos y cuadrados). La demarcación del hiperplano mejor divide los dos conjuntos de datos, es decir, este maximiza la suma de las distancias de los puntos más cercanos A y B desde la frontera/hiperplano. SVM es un método robusto con una base matemática sólida y es entrenable con relativamente pocos conjuntos de datos. Sin embargo, los resultados no son transparentes para los usuarios. Además, el método es muy sensible al etiquetado de los casos límite (puntos A y B en la figura 2).

inteligente como para determinar la importancia relativa, al menos que se le diga cómo hacerlo.

Métodos de análisis de datos

Aunque más métodos están disponibles, hay cinco métodos de análisis de datos que pueden mejorar las auditorías.

Agrupación La agrupación organiza los datos en grupos similares, por ejemplo:

• Un grupo de gerentes que muestran un comportamiento similar en la externalización de trabajo que es bastante distinto desde todos los otros gerentes

• Un grupo de clientes que exhiben un comportamiento similar, tales como transacciones de gran volumen de pequeño valor individual

• Los paquetes IP con características especiales La agrupación identifica naturalmente grupos con características que son similares dentro del grupo y diferente desde los miembros de otros grupos. La figura 1 muestra el agrupamiento de datos con dos atributos. Los datos pertenecen a uno de los tres grupos que se muestran en (X, *, +).

Figura 1—Agrupación de datoscon dos atributos

Fuente: Spiros Alexiou. Reimpreso con permiso.

El análisis humano y la interpretación de las características del grupo, tales como centro de gravedad de la agrupación, los valores promedios y la difusión de los datos atributos de los de cada grupo, son ejecutados secuencialmente con el objetivo de comprender cada grupo. La agrupación requiere una distancia bien definida para acceder

Ilustración del agrupamiento para datos de 2 atributos

Cluster 1

Cluster 2

Cluster 3


Razonamiento basado en casosEl método de razonamiento basado en casos (CBR) intenta imitar, en un alto nivel, el razonamiento del cerebro humano. Un método de resolución de problemas comunes que es utilizado por los médicos, mecánicos y abogados es encontrar un problema similar y analizar la forma en que se manejó.

(CBR) utiliza este mismo proceso ahorrando el tiempo usando soluciones a los problemas en una base de datos. Los nuevos casos hacen referencia a los casos similares en la base de datos (figura 3).

Reglas para un nuevo caso son construidas sobre la base de la proximidad a los casos conocidos en la base de datos. Una de las debilidades de (CBR) es que un nuevo caso que está lejos de todo lo conocido hasta el momento puede ser identificado erróneamente. En la práctica, la decisión o clasificación se basa a menudo no sólo en el caso conocido más cercano, pero también sobre unos pocos vecinos más cercanos (k-NN), de modo que el efecto de un posible error en un caso conocido es aliviado. El método (CBR) requiere de una distancia bien definida para acceder a la cercanía de dos casos. Una ventaja importante del método de (CBR) es su transparencia, el resultado

Una etiqueta incorrecta en los datos de aprendizaje/entrenamiento puede causar resultados erróneos. Por lo tanto, el método SVM es mejor para ser utilizado cuando se busca determinar una frontera y se tiene un alto grado de confianza en el etiquetado de los casos conocidos, especialmente esos que son cercanos a la línea fronteriza. Ejemplos de uso para el método de SVM son el análisis de solvencia, la detección de intrusiones y verificación de estados financieros10,11,12.

Figura 2—SVM para dos conjuntos de datos etiquetados (círculos y cuadrados)


Figura 3—Aplicando razonamiento basado en casos


Nuevo Problema Procesar y resolver problemas usando

información cercana .

Buscar y recuperar el caso más cercano.

Biblioteca de casos conocidosInserte el caso resuelto en la biblioteca

…… ……

Caso

N

Cerrado

Caso

Caso

1

Caso

2

Ilustración de SVM para dos conjuntosetiquetados (círculos y cuadrados)

Hiperplano de demarcación

A

B


existe y este se reúne más de dos veces al año. Sin embargo, los árboles de decisión son propensos a sobreajuste, prestando atención a todos los atributos de los datos. Por ejemplo, un árbol de decisión quizás utilice información que es completamente irrelevante para el resultado final de formular una regla. El (bosque aleatorio) es una variante mejorada que utiliza muchos árboles diferentes para cada uso o subconjunto de todos los atributos. El método (bosque aleatorio) está diseñado para aliviar el sobreajuste y la sensibilidad de los árboles de decisión al ruido y usos de promedio, que es una defensa eficaz contra el ruido. Este método tiene algunas similitudes con el método Delphi23, es decir, una mejora iterativa de las opiniones de un número de expertos que deberían converger en una única respuesta.

Tal vez una mejor analogía es una elección general o referéndum, donde la mayoría de los electores están suponiendo que son razonables en la mayoría de los problemas, pero cada votante individual puede tener opiniones irrazonables sobre algunos problemas.

De la misma manera, la mayoría de los árboles en el bosque están asumiendo ser buenos para la mayoría de los datos y hacer diferencia, de errores al azar sobre algunos datos. Si la respuesta requerida es un número, entonces un promedio de las respuestas de los árboles es tomado como la respuesta del bosque. Si esta es un tipo de respuesta (sí/no), entonces se utiliza un voto de la mayoría. Por lo tanto, un bosque aleatorio puede dar reglas humanamente comprensibles para la clasificación de los casos actuales y futuros que son basados en los casos ya etiquetados.

Herramientas basadas en los bosque aleatorio suelen trabajar fuera de la plataforma y dan resultados aceptables con relativamente pocos registros de datos y muchos atributos. Un ejemplo reciente de la aplicación de los bosque aleatorio para detectar el fraude de reglas financieras formada sobre la base de numerosos indicadores, tales como la deuda a la equidad (DEQUTY), la relación de activo corriente (CURAST), y el beneficio bruto y el EBIT (TPEBIT)24.

Reducción de la complejidad: Ejes principales o componentes

Entender los resultados en los términos más simples posibles es siempre importante, porque los resultados deben ser explicados a la dirección. Por lo general, los registros consisten en numerosos campos que describen los atributos detallados de un evento, por ejemplo, un intento de transacción o de inicio de sesión. Ejes principales es una técnica matemática para reducir el número de campos

se basa en su similitud con un caso conocido X. Por lo tanto, (CBR) es muy útil para la clasificación de un nuevo caso basado en la experiencia hasta ahora, suponiendo que la experiencia previa con casos similares existe y sus decisiones pueden ser explicadas.

Ejemplos de (CBR) en el campo de práctico va desde la identificación de transacciones sospechosas a la contabilidad y banco de auditorías13, 14, 15, 16, 17. Por ejemplo, mediante el análisis de la frecuencia de aparición de las llamadas al sistema, los investigadores fueron capaces de identificar intrusiones18 y, mediante el análisis de los registros de acceso, identificaron el uso indebido del sistema desde el interior de los usuarios19.

Redes neuronales artificiales Las redes neuronales artificiales (ANN) son un método de análisis de datos que intenta imitar, a nivel neuronal de baja altitud, el cerebro humano. Dado un conjunto de datos de aprendizaje o entrenamiento (entrada), (ANN) crea una red que produce el resultado conocido (salida). El método (ANN) espera que, si la red está suministrando un nuevo conjunto de datos de entrada, la red predecirá correctamente la salida. El método de redes neuronales artificiales puede ser visto como un esquema de interpolación compleja, multidimensional que, conociendo la salida o respuesta a un número de diferentes entradas, predice la salida a diferentes entradas en el mismo rango.

El mayor inconveniente de este método es que no es transparente para los seres humanos y no proporciona una explicación simple de por qué este predice la salida.

Este inconveniente es importante en muchas aplicaciones, incluyendo las de auditorías, ya que no es aceptable para informar de un problema, por ejemplo, fraude, el cual tiene detalles que no se entienden. Sin embargo, (ANN) se ha utilizado ampliamente, incluyendo los procesos de auditoría20.

Una lista de ejemplos de (ANN) en la auditoría, incluyendo la detección de gestión de fraude usando predictores públicamente disponibles de estados financieros fraudulentos21, 22. ANN puede ser valiosa si es utilizada como un indicador de algo que puede valer la pena investigar.

Bosque Aleatorio El método de análisis de datos (bosque aleatorio) es un tipo de árbol de decisión. Los árboles de decisión tratan de crear reglas desde los casos existentemente evaluados (etiquetados). Por ejemplo, una regla que puede ser deducida es que la notificación de errores financieros es reducida cuando un comité de auditoría independiente


lo tanto, los auditores a menudo aplican primero métodos basados en reglas, luego utilizan métodos de segunda categoría para los casos que son más difíciles de clasificar.

Un número significativo de las herramientas de análisis están disponibles y muchos de ellas son gratuitas. Estas herramientas pueden ser una importante adición al arsenal de herramientas de auditoría.

Se ha dicho que, “(ANN)s y sistemas (CBR) han demostrado que ofrecen una mejor eficacia de auditoría, una mejor calidad de auditoría y una reducción del riesgo de auditoría de negocios a un bajo costo para las firmas de contabilidad pública. Es el momento de estas herramientas sean utilizadas por los auditores”25. A pesar de que cada auditoría es diferente y tiene sus propios requisitos, es probable que muchas auditorías podrían beneficiarse de la aplicación del análisis de datos simple y avanzado.

La aplicación de ambas categorías puede mejorar la detección de anomalías a un bajo costo, porque muchas de las herramientas son gratis y de código abierto. Por ejemplo, los investigadores combinaron su clasificador (CBR) con la verificación de la firma para analizar la frecuencia de aparición de las llamadas al sistema e identificar intrusiones26. Herramientas convencionales se pueden utilizar con eficacia en los casos de lista blanca, por lo tanto, acelera los procedimientos. Además, los resultados de los métodos avanzados pueden ser integrados en los métodos por reglas y basados en

pertinentes. Por ejemplo, los métodos de análisis de datos pueden detectar un tipo de fraude u otro comportamiento interesante que se caracteriza por un elevado número de transacciones y de bajo valor monetario, y los campos o atributos restantes son en gran medida irrelevante. Este ejemplo tiene un eje principal con la mayor parte del fraude a lo largo de este eje. Otro de los ejes podría describir un tipo diferente de fraude y contiene una combinación diferente de atributos. Este eje es otro eje principal.

La figura 4 ilustra el concepto de análisis de componentes principal: La exhibición de datos es una variación mucho mayor a lo largo del eje horizontal girado que a lo largo del eje vertical girado. Como resultado, comparativamente poca información se pierde al ignorar el eje vertical girado, por lo tanto, la reducción de la complejidad del problema a una variable (el eje horizontal girado) en lugar de dos..

Figura 4—Análisis de componentes principales


El análisis de los ejes principales ayuda a la comprensión humana, debido a que la gran mayoría de los datos son de interés a lo largo de estos ejes y son más fáciles de entender y visualizar. Un ejemplo sencillo es intrusiones, donde el tiempo de entrada y salida individual puede no ser relevante, pero su diferencia podría ser importante. Por lo tanto, un conjunto diferente de ejes puede ser mucho más informativo si revela, por ejemplo, que las intrusiones tienen largos períodos de tiempo.

Lo mejor de ambos mundos

Métodos desde ambas categorías de análisis de datos se combinan a menudo. Métodos basados en reglas de la primera categoría (uno sabe lo que se busca) son típicamente rápidos, sencillos y con frecuencia concluyentes. Segunda categoría (uno no sabe exactamente lo que se busca) métodos son típicamente más computacionalmente intensivas, más compleja en la preparación de datos e interpretación, y con frecuencia indicativa. Por

Estos recursos son mejor combinados con la experiencia en el campo de los auditores (y posiblemente otras partes) y con más herramientas convencionales.

Eje Horizontal Girado

Eje Vertical Girado


11 Abd Manaf, A.; A. Zeki; M. Zamani; S. Chuprat; E. El-Qawasmeh; Informatics Engineering and Information Science, International Conference, ICIEIS 2011, Proceedings, Springer, 2011

12 Doumpos, M.; C. Gaganis; F. Pasiouras; “Intelligent Systems in Accounting,” Finance and Management, vol. 13, 2005, p. 197-215

13 Curet, O.; M. Jackson; “Issues for Auditors Designing Case-based Reasoning Systems,” The International Journal of Digital Accounting Research, vol. 1, iss. 2, p. 111-123, www.uhu.es/ijdar/10.4192/1577-8517-v1_6.pdf

14 Liao, Y.; V. R. Vemuri; “Use of k-Nearest Neighbor Classifier for Intrusion Detection,” Computers and Security, vol. 21, 2002, p. 439-448

15 Denna, E. L.; J. V. Hansen; R. D. Meservy; L. E. Wood; “Case-based Reasoning and Risk Assessment in Audit Judgment,” Intelligent Systems in Accounting, Finance and Management, vol. 1, iss. 3, September 1992, p. 163-171

16 Ho Lee, G.; “Rule-based and Case-based Reasoning Approach for Internal Audit of Bank,” Knowledge-Based Systems, vol. 21, iss. 2, March 2008, p. 140-147, http://dl.acm.org/citation.cfm?id=1344916

17 Singh, A.; S. Patel; “Applying Modified K-Nearest Neighbor to Detect Insider Threat in Collaborative Information Systems,” International Journal of Innovative Research in Science, Engineering and Technology, vol. 3, iss. 6, June 2014, p. 14146-14151

18 Op cit, Liao 19 Op cit, Singh 20 Chao, H.; P. Foote; “Artificial Neural Networks

and Case-based Reasoning Systems for Auditing,” Accounting Today, 2 July 2012, www.accountingtoday.com/news/artificial-neural-networks-case-based-reasoning-auditing-63178-1.html

21 Koskivaara, E.; Artificial Neural Networks in Auditing: State of the Art, Turku Centre for Computer Science, February 2003, http://citeseerx.ist.psu.edu/viewdoc/wnload?doi=10.1.1.67.459&rep=rep1&type=pdf

22 Fanning, K. M.; K. O. Cogger; “Neural Network Detection of Management Fraud Using Published Financial Data,” Intelligent Systems in Accounting, Finance and Management, vol. 7, 1998, p. 21-41

23 Rand Corporation, Delphi Method, Rand.org, www.rand.org/topics/delphi-method.html

24 Liu, C.; Y. Chan; A. Kazmi; S. Hasnain; H. Fu; “Financial Fraud Detection Model Based on Random Forest,” International Journal of Economics and Finance, vol. 7, iss. 7, 25 June 2015, p. 178-188, https://mpra.ub. uni-muenchen.de/65404/

25 Op cit, Chao 26 Op cit, Liao

umbral. Por ejemplo, los flujos de tráfico con ciertas características corresponden al flujo anormal de la agrupación que será etiquetado sospechoso.

Existen técnicas y herramientas de análisis de datos que pueden ayudar significativamente a los auditores en el descubrimiento del conocimiento oculto en los datos, lo que confirma las hipótesis y hace la mayoría de los datos disponibles. Estos recursos son mejor combinados con la experiencia en el campo de los auditores (y posiblemente otras partes) y con más herramientas convencionales. Las herramientas están disponibles y muchos de ellas son gratis y fácil de usar, los auditores conocen que quieren hacer con los datos.

Notas finales

1 EYGM Limited, “Harnessing the Power of Data: How Internal Audit Can Embed Data Analytics and Drive More Value,” EYG no. AU2688, October 2014, www.ey.com/Publication/vwLUAssets/EY-internal-audit-harnessing-the-power-of-analytics/$FILE/EY-internal-audit-harnessing-the-power-of-analytics.pdf

2 Izza, M.; “Data Analytics and the Future of the Audit Profession,” ICAEW, 22 April 2016, www.ion.icaew.com/MoorgatePlace/post/Data-analytics-and-the-future-of-the-audit-profession

3 Rouse, M.; “Data Analytics (DA),” TechTarget, January 2008, http://searchdatamanagement.techtarget.com/definition/data-analytics

4 Ibid. 5 Jones, A.; “Top 10 Data Analysis Tools for

Business,” KDnuggets, June 2014, www.kdnuggets.com/2014/06/top-10-data-analysis-tools-business.html

6 Thiprungsri, S.; M. A. Vasarhelyi; “Cluster Analysis for Anomaly Detection in Accounting Data: An Audit Approach,” The International Journal of Digital Accounting Research, vol. 11, 2011, p. 69-84, www.uhu.es/ijdar/10.4192/1577-8517-v11_4.pdf

7 Munz, G.; S. Li; G. Carle; “Traffic Anomaly Detection Using K-Means Clustering,” 17 January 2016, https://www.researchgate.net/publication/242158247_Trafc_Anomaly_Detection_Using_K-Means_Clustering

8 Dhiman, R.; S. Vashisht; K. Sharma; “A Cluster Analysis and Decision Tree Hybrid Approach in Data Mining to Describing Tax Audit,” International Journal of Computers & Technology, vol. 4, no. 1C, 2013, p. 114-119

9 Op cit, Munz 10 Auria, L.; R. A. Moro; “Support Vector Machines

(SVM) as a Technique for Solvency Analysis,” DIW Berlin, German Institute for Economic Research, August 2008, www.diw-berlin.de/documents/publikationen/73/88369/dp811.pdf

MEMBER GET A MEMBER 2016

Get Members. Get Rewarded.REACH OUT AND HELP COLLEAGUES AND OTHER PROFESSIONALS BECOME ISACA® MEMBERS. THEY GET THE BENEFITS OF ISACA MEMBERSHIP. YOU GET REWARDED.

THE MORE MEMBERS YOU RECRUIT, THE MORE VALUABLE THE REWARD.When ISACA grows, members benefit. More recruits mean more connections, more opportunities to network—and now, more rewards you can use for work or fun!

Get recruiting today. It’s easy. Learn more at www.isaca.org/GetMembers

Recruit 2 – 3 new members and receive an attachable tracking device. Easily locate your valuable items, includes multiple customization options: a US $25 value.

Recruit 4 – 5 new members and receive an indoor/outdoor home assistant that flies, 2.4 Ghz camera included. Flips upside down with 4.5 ch. 3D control and LED lights: a US $145 value.

Recruit 6 – 7 new members and receive an any-surface projector. Turn any surface into your very own display and entertainment center: a US $279 value.

Recruit 8 – 9 new members and receive hi-tech, smart luggage that you can control from your phone: a US $375 value.

Recruit 10 or more new members and receive a high- quality gaming system with WiFi capabilities and built-in Blu-ray player. Also includes a controller and 2 games: a US $550 value.

* Rules and restrictions apply and can be found at www.isaca.org/rules. Please be sure to read and understand these rules. If your friends or colleagues do not reference your ISACA member ID at the time they become ISACA members, you will not receive credit for recruiting them. Please remember to have them enter your ISACA member ID on the application form at the time they sign up.

© 2016 ISACA. All Rights Reserved.


by Myles Mellorwww.themecrosswords.com puzzlepalabras cruzadas

13 Rich layer15 “Could be better”18 Slice of the ___20 Domain naming system that the US

government has controlled for many years and is giving up control in Oct 2016

21 Internet laughter letters22 Part of RAM24 Picks a candidate27 Resist30 Courage32 Excellent, slangily33 Symbol for atomic number 1834 Itis used in some security scans35 Of England’s oldest university37 Alternatively38 Maximum level39 Greek island where scenes from “For Your Eyes

Only” were filmed40 Balance-sheet “plus”43 It is hailed on the street45 Investors’ expectations

1 2 3 4 5 6 7 8 9

10 11

12 13 14 15

16 17

18 19 20 21 22

23 24 25 26 27

28

29 30 31

32

33 34 35 36 37

38 39 40 41

42 43

44 45

46

Answers on page 58

ACROSS

1 Slang term for something undeniably important and paralyzingly dull

3 Standards8 Measure of printing resolution, for short10 Incentive12 Author of the 2001 book, “Code,” and founder

of Creative Commons14 Important qualification for information security

professionals16 That, in Spanish17 Abbr. on a book’s spine18 Criticize harshly19 Hard-to-decide predicaments23 Writer of “Runaround,” where he introduced the

Three Laws of Robotics, dealing with ethical choices for automatons

25 Programmer’s stock-in-trade26 See 7 down28 Ethical29 Novelist, __ Carre30 Understand, in a way31 Fight back against32 Faultless33 Skill34 “The God of Small Things” novelist Arundhati36 ____ and don’ts38 Important qualification to be able to relate

security issues to risk40 Apogee41 Team on a national level that responds to cyber

security incidents42 Add up44 Never do today what you can do tomorrow46 They should be included with any text in

a manual

DOWN1 Easily influenced2 Technology critical to Uber3 Canceled, as a mission, 2 words4 Work earning extra pay, abbr.5 Boundary6 Unit of potential7 Idea or custom held to be above criticism, goes

with 26 across8 Medical school graduate9 Term originated by Ann Cavoukian relating

to taking into account privacy during the engineering process, 3 words

10 Inappropriate name11 Family of syntax elements similar to a

programming language, abbr.

CPEquizPrepared by Kamal Khan CISA, CISSP, CITP, MBCS

Take the quiz online

#169 Basado en Volume 4, 2016—Móvil AppsValue—1 Hour of CISA/CISM Continuing Professional Education (CPE) Credit

quizVERDADERO O FALSO

ARTICULO DE KHAN

1. Sesenta y un porciento de la población adulta de los estados unidos, actualmente tiene un teléfono celular, y de ese porcentaje, el 31 por ciento son teléfonos inteligentes.

2. Los segmentos básicos de riesgo pueden ser divididos en cuatro categorías de seguridad para aplicaciones móviles, siendo estas: dispositivos móviles, redes móviles, web servers de aplicaciones móviles y bases de datos para aplicaciones móviles.

3. Mediante la integración de dispositivos móviles al entorno de trabajo, los empleados pueden maximizar el servicio que ellos proveen a los clientes.

4. Para prevenir la extracción maliciosa, es altamente recomendable que se utilice el estándar de cifrado de datos (DES).

ARTICULO DE SOOD

5. Utilizando ciencia de datos, es posible identificar y extraer información crítica usando técnicas como la minería de datos, aprendizaje automático, estadísticas y procesamiento de lenguaje natural.

6. Las soluciones de seguridad tradicional funcionan perfectamente con aplicaciones en la nube, la protección que ofrecen en los sistemas en centros de computo tradicionales se trasladan de manera transparente a la nube.

7. Una pregunta para hacernos es si acaso la ciencia de datos puede ser utilizada como un mecanismo, entre otras cosas, para prevenir y remediar exposición de datos.

8. Las aplicaciones en la nube están siendo utilizadas para actividades maliciosas incluyendo almacenamiento y distribución de malware y establecer canales para la extracción de datos.

9. Correlación involucra catalogar grandes bloques de datos dentro de contenedores específicos de análisis inteligente de seguridad para entender la completa envergadura de un ataque.

10. Componentes adicionales de seguridad son ejecutados para analizar la alerta detectada en búsqueda de potenciales amenazas. Un ejemplo de esto es la inspección profunda de contenido (DCI).

ARTICULO WLOSINSKI

11. Ejemplos de las capacidades de los malware incluyen escuchar llamadas telefónicas mientras están en curso.

12. Un método de ingeniería social es conocido como “Dishing” donde el atacante se enmascara como una entidad de confianza.

13. El cifrado es una exageración y no es requerido ya que las redes inalámbricas simplemente no pueden soportar la entrega de información sensitiva a individuos u organizaciones.

14. El factor de riesgo más común que aplica al uso de dispositivos móviles incluye los virus informáticos, gusanos u otros malware específicos para dispositivos de computación personal, y el robo de información sensitiva.

ARTICULO ZONGO

15. La autoridad Australiana Prudencial y Reguladora (APRA) levanto la preocupación de que los reportes asociados a la nube, emitidos por entidades reguladores se enfoca primariamente en los beneficios, mientras que falla en proveer la adecuada visibilidad en los riesgos asociados.

16. El efectivo manejo de riesgo en la nube, requiere que los directores exijan la información pertinente incluyendo la propuesta de valor de la nube, esto es: seguridad de datos, leyes de privacidad, ubicación de datos, resistencia a fallos, y cumplimiento de regulaciones.

17. Si bien los proveedores de soluciones en la nube, continúan invirtiendo fuertemente en capacidades de seguridad, la preocupación por la seguridad de los datos, y el cumplimiento de las regulaciones siguen siendo las barreras críticas para la adopción de la nube.


Get Noticed!

For more information, contact [email protected]

Advertise in the ISACA® Journal

Answers: Crossword by Myles Mellor See page 56 for the puzzle.

Nombre

Dirección

CISA, CRISC, CISM or CGEIT #

PLEASE PRINT OR TYPE

ARTICULO DE KHAN

1.

2.

3.

4.

ARTICULO DE SOOD

5. 6. 7.

8. 9. 10.

ARTICULO DE WLOSINSKI 11.

12.

13.

14.

ARTICULO DE ZONGO

15.

16.

17.

VERDADERO O FALSO

Formulario de respuestasBasado en Volume 4, 2016

CPEquiz#169

How to Audit the Human Element and

Assess Your Organization’s Security Risk

Cyberinsurance: Value Generator or Cost Burden?

An Integrated Approach for Cyberthreat Monitoring

Using Open-source Software

Volu

me

5, 2

016

ww

w.is

aca.

org

Journal

Please confirm with other designation-granting professional bodies for their CPE qualification acceptance criteria. Quizzes may be submitted for grading only by current Journal subscribers. An electronic version of the quiz is available at www.isaca.org/cpequiz; it is graded online and is available to all interested parties. If choosing to submit using this print copy, please email, fax or mail your answers for grading. Return your answers and contact information by email to [email protected] or by fax to +1.847.253.1443. If you prefer to mail your quiz, in the US, send your CPE Quiz along with a stamped, self-addressed envelope, to ISACA International Headquarters, 3701 Algonquin Rd., #1010, Rolling Meadows, IL 60008 USA. Outside the US, ISACA will pay the postage to return your graded quiz. You need only to include an envelope with your address. You will be responsible for submitting your credit hours at year-end for CPE credits. A passing score of 75 percent will earn one hour of CISA, CRISC, CISM, CGEIT or CPE credit.

M E G O N O R M S D P I

A P M O T I V A T O R D

L E S S I G M C C I S M

L E S O R V O L

E P A N D I L E M M A S

A S I M O V C O D E C O W

B E M O R A L M Y I

L E G E T N C O M B A T

E P U R E N R Y H

A R T S R O Y D O S

C R I S C A P E X C E R T

A M O S T O T S A

P R O C R A S T I N A T I O N

O F E N X G D

I L L U S T R A T I O N S

1 2 3 4 5 6 7 8 9

10 11

12 13 14 15

16 17

18 19 20 21 22

23 24 25 26 27

28

29 30 31

32

33 34 35 36 37

38 39 40 41

42 43

44 45

46


Guías y Estándares

Cumplimiento miembro de ISACA y portador de una certificación

Aseguramiento y las habilidades necesarias para efectuar este tipo de compromisos requiere estándares que se apliquen específicamente a las auditorias SI y aseguramiento. El desarrollo y diseminación de las auditorias de SI y estándares de aseguramiento son una piedra angular de la contribución profesional de ISACA con la comunidad de auditoria.

Auditorias SI y estándares de aseguramiento define los requisitos mandatorios para la auditoria SI.Ellos reportan e informan:

• Profesionales de Auditoria SI y aseguramiento del nivel mínimo aceptable del desempeño requerido para cumplir con las responsabilidades establecidas en el Código de Ética de Profesionales de ISACA.

• Gerentes y otras partes interesadas de las expectativas de la profesión relacionado con el trabajo de los practicantes.

• Poseedores de la designación de “Certified Information Systems Auditor (CISA) de requisitos. Si fallan en cumplir con estos estándares puede resultar en una investigación de la conducta del poseedor de CISA por la Junta de Directores de ISACA o comité apropiado y finalmente en una acción disciplinaria.

ITAFTM, 3rd Edition(www.isaca.org/itaf) provee un marco de referencia para múltiples niveles de guías:

Auditoria SI y Estándares de AseguramientoLos estándares han sido divididos en tres categorías:

• Estándares Generales (series 1000) – Son los principios guía bajo el cual la profesión de aseguramiento de SI opera. Aplica a la conducta de todas las asignaciones y hace frente con la auditoria SI y la ética del profesional de aseguramiento, independencia, objetividad y al debido cuidado como al conocimiento, competencia y habilidad.

• Estándar de Desempeño (series 1200) – Hace frente a la conducta de la asignación, como ser planear y supervisar, determinación del alcance, riesgo y materialidad, movilización de los recursos, supervisión y la gestión de asignación, auditoria y evidencia de aseguramiento, y el ejercicio de su juicio profesional y debido cuidado.

• Estándares de Reportar (series 1400) – Abordar los tipos de reportes, medios de comunicación y la información comunicada.

Por favor tomar nota que las nuevas guías son efectivas a partir del 1 de septiembre del 2014.

General1001 – Estatuto de Auditoria1002 – Independencia Organizacional1003 – Independencia Profesional1004 – Expectación Razonable1005 – Debido Cuidado Profesional1006 – Competencia1007 – Afirmaciones1008 – Criterio

Desempeño1201 – Planificación de Trabajo1202 – Evaluación de Riesgo en Planeación1203 – Desempeño y Supervisión1204 – Materialidad1205 – Evidencia1206 – Utilizando el Trabajo de otros Expertos1207 – Actos irregulares e ilegales

Reportes1401 – Reportando1402 – Seguimiento Actividades

IS Audit and Assurance Guidelines Las guías están diseñadas para apoyar directamente los estándares y ayudar a los practicantes lograr su alineación con los estándares. Estas siguen la misma categorización al igual que los estándares (también divididos en tres categorías):• Guías Generales (series 2000)• Guías de Desempeño (series 2200)• Guías de Reportes (series 2400)

Por favor tomar nota que las nuevas guías son efectivas a partir del 1 de septiembre del 2014.

General2001 – Estatuto de Auditoria2002 – Independencia Organizacional2003 – Independencia Profesional2004 – Expectación Razonable2005 – Debido Cuidado Profesional2006 – Competencia2007 – Afirmaciones2008 – Criterio

Desempeño2201 – Planificación de Trabajo2202 – Evaluación de Riesgo en Planeación2203 – Desempeño y Supervisión2204 – Materialidad2205 – Evidencia2206 – Utilizando el Trabajo de otros Expertos2207 – Actos irregulares e ilegales

2208 - Muestreo

Reporrtes2401 – Reportando2402 – Seguimiento Actividades

Herramientas y técnicas de auditoria SI y aseguramiento

Estos documentos proveen de una guía adicional para los profesionales de auditoria SI y aseguramiento y consiste, entre otras cosas, de White papers, programas de Auditoria SI/Aseguramiento, libros de referencia y la familia de productos COBIT® 5. Herramientas y técnicas están listadas bajo www.isaca.org/itaf.

Un glosario sobre términos utilizados en ITAF lo puede encontrar en línea en www.isaca.org/glossary

Previamente de emitir cualquier nuevo Estándar o Guía, un borrador es emitido internacionalmente para consulta del público general.

Comentarios también pueden ser enviados a la atención del Director de Privacidad y Practicas de Aseguramiento por correo ([email protected]) fax (+1.847.253.1443) o correo postal (ISACA International Headquartes, 3701, Algonquin Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).

Links a actuales y expuestos Estándares, Guías y Herramientas y Técnicas de ISACA están posteadas en www.isaca.org/standards.

Disclaimer: ISACA ha designado esta guía como el nivel mínimo de desempeño aceptable requerido para cumplir con las responsabilidades de profesionales expuestas en el Código de Ética Profesional de ISACA. ISACA no garantiza que los usos de estos productos aseguraran un resultado exitoso. La orientación no debe ser considerada inclusive de cualquier procedimiento y pruebas propias o exclusivos de otros productos y pruebas que son razonablemente dirigidos para obtener los mismos resultados. Para determinar la conveniencia de cualquier procedimiento o prueba específica, los profesionales de control deben aplicar su propio juicio profesional a las circunstancias específicas de control presentados por los sistemas particulares o ambientes de SI

herramientas y técnicas


ISACA® Journal, formerly Information Systems Control Journal, is published by the Information Systems Audit and Control Association® (ISACA®), a nonprofit organization created for the public in 1969. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors, employers or the editors of the Journal. ISACA Journal does not attest to the originality of authors’ content.

© 2016 ISACA. All rights reserved.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC) (www.copyright.com), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1944-1967), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

ISSN 1944-1967

Subscription Rates: US:one year (6 issues) $75.00

All international orders: one year (6 issues) $90.00.

Remittance must be made in US funds.

advertisers/ web sitesCapella University capella.edu/ISACA 3

Society of Corporate Compliance & Ethics complianceethicsinstitute.org 1

Saint Leo University SaintLeo.edu 11

HISCOX USA Hiscox.com/planonit 28

Skybox Security, Inc. skyboxsecurity.com 20

Chiron Technology Services chirontech.com Back Cover

EditorJennifer [email protected]

Managing EditorMaurita Jasper

Contributing EditorsSally Chan, CGEIT, CPA, CMAEd Gelbstein, Ph.D.Kamal Khan, CISA, CISSP, CITP, MBCSVasant Raval, DBA, CISASteven J. Ross, CISA, CBCP, CISSPSmita Totade, Ph.D., CISA, CISM, CGEIT,

CRISC

[email protected]

Media [email protected]

ReviewersMatt Altman, CISA, CISM, CGEIT, CRISCSanjiv Agarwala, CISA, CISM, CGEIT,

CISSP, ITIL, MBCIVikrant Arora, CISM, CISSPCheolin Bae, CISA, CCIESunil Bakshi, CISA, CISM, CGEIT, CRISC,

ABCI, AMIIB, BS 25999 LI, CEH, CISSP, ISO 27001 LA, MCA, PMP

Brian Barnier, CGEIT, CRISCPascal A. Bizarro, CISAJerome Capirossi, CISAJoyce Chua, CISA, CISM, PMP, ITILv3Ashwin K. Chaudary, CISA, CISM, CGEIT,

CRISCBurhan Cimen, CISA, COBIT Foundation,

ISO 27001 LA, ITIL, PRINCE2Ian Cooke, CISA, CGEIT, CRISC, COBIT

Foundation, CFE, CPTS, DipFM, ITIL Foundation, Six Sigma Green Belt

Ken Doughty, CISA, CRISC, CBCPNikesh L. Dubey, CISA, CISM,

CRISC, CISSPRoss Dworman, CISM, GSLCRobert FindlayJohn FlowersJack Freund, CISA, CISM, CRISC,

CIPP, CISSP, PMPSailesh Gadia, CISAAmgad Gamal, CISA, COBIT Foundation,

CEH, CHFI, CISSP, ECSA, ISO 2000 LA/LP, ISO 27000 LA, MCDBA, MCITP, MCP, MCSE, MCT, PRINCE2

Robin Generous, CISA, CPAAnuj Goel, Ph.D., CISA, CGEIT,

CRISC, CISSPTushar Gokhale, CISA, CISM, CISSP,

ISO 27001 LATanja Grivicic

Manish Gupta, Ph.D., CISA, CISM, CRISC, CISSP

Mike Hansen, CISA, CFEJeffrey Hare, CISA, CPA, CIASherry G. HollandJocelyn Howard, CISA, CISMP, CISSPFrancisco Igual, CISA, CGEIT, CISSPJennifer Inserro, CISA, CISSPKhawaja Faisal Javed, CISA, CRISC, CBCP,

ISMS LAMohammed Khan, CISA, CRISC, CIPMFarzan Kolini GIACMichael Krausz, ISO 27001Abbas Kudrati, CISA, CISM, CGEIT, CEH,

CHFI, EDRP, ISMSShruti Kulkarni, CISA, CRISC, CCSK, ITILBhanu KumarHiu Sing (Vincent) Lam, CISA, CPIT(BA),

ITIL, PMPEdward A. Lane, CISA, CCP, PMPRomulo Lomparte, CISA, CISM, CGEIT,

CRISC, CRMA, ISO 27002, IRCAJuan Macias, CISA, CRISCLarry Marks, CISA, CGEIT, CRISCNorman MarksTamer Marzouk, CISAKrysten McCabe, CISABrian McLaughlin, CISA, CISM, CRISC,

CIA, CISSP, CPABrian McSweeneyIrina Medvinskaya, CISM, FINRA, Series 99David Earl Mills, CISA, CGEIT, CRISC,

MCSERobert Moeller, CISA, CISSP, CPA, CSQEDavid Moffatt, CISA, PCI-PRamu Muthiah, CISM, CRVPM, GSLC,

ITIL, PMPEzekiel Demetrio J. Navarro, CPAJonathan Neel, CISAAnas Olateju Oyewole, CISA, CISM, CRISC,

CISSP, CSOE, ITILDavid Paula, CISA, CRISC, CISSP, PMPPak Lok Poon, Ph.D., CISA, CSQA, MIEEEJohn Pouey, CISA, CISM, CRISC, CIASteve Primost, CISMParvathi Ramesh, CISA, CAAntonio Ramos Garcia, CISA, CISM, CRISC,

CDPP, ITILMichael Ratemo, CISA, CRISC, CISM,

CSXF, ACDA, CIA, CISSP, CRMARon Roy, CISA, CRPLouisa Saunier, CISSP, PMP, Six Sigma

Green BeltDaniel Schindler, CISA, CIANrupak D. Shah, CISM, CCSK, CEH,

ECSA ITILShaharyak ShaikhSandeep SharmaCatherine Stevens, ITILJohannes Tekle, CISA, CFSA, CIARobert W. Theriot Jr., CISA, CRISCNancy Thompson, CISA, CISM,

CGEIT, PMPSmita Totade, Ph.D., CISA, CISM,

CGEIT, CRISC

Jose Urbaez, CISA, CISM, CSXF, ITILIlija Vadjon, CISASadir Vanderloot Sr., CISA, CISM, CCNA,

CCSA, NCSAAnthony Wallis, CISA, CRISC, CBCP, CIAKevin Wegryn, PMP, Security+, PFMPTashi WilliamsonEllis Wong, CISA, CRISC, CFE, CISSP

ISACA Board of Directors (2016–2017)ChairChristos Dimitriadis, Ph.D., CISA,

CISM, CRISC, ISO 20000 LAVice-chairTheresa Grafenstine, CISA, CRISC, CGEIT,

CGAP, CGMA, CIA, CPADirectorZubin Chagpar, CISA, CISM, PMPDirectorRob Clyde, CISMDirector and Chief Executive OfficerMatthew S. Loeb, CGEIT, CAE DirectorLeonard Ong, CISA, CRISC, CISM, CGEIT,

COBIT 5 Implementer and Assessor, CFE, CFP, CGFA, CIPM, CIPT, CISSP ISSMP-ISSAA, CITBCM, CPP, CSSLP, GCIA, GCIH, GSNA, PMP

DirectorAndre Pitkowski, CRISC, CGEIT,

COBIT 5 Foundation, CRMA, ISO 27kLA, ISO 31kLA

DirectorR.V. Raghu, CISA, CRISC DirectorEdward Schwartz, CISA, CISM, CAP,

CISSP, ISSEP, NSA-IAM, PMP, SSCPDirectorJeff Spivey, CRISC DirectorJo Stewart-Rattray, CISA, CRISC,

CISM, CGEITDirectorTichaona Zororo, CISA, CRISC, CISM,

CGEIT, COBIT Assessor and Trainer, CIA, CRMA

Past ChairRobert E Stroud, CRISC, CGEITPast ChairTony Hayes, CGEIT, AFCHSE, CHE, FACS,

FCPA, FIIAPast ChairGreg Grocholski, CISA

leaders and supporters

BASIC COMPLIANCE PLAN NOW TO TAKE THE … · nivel de competencia y la ventaja competitiva de sus...

Documents

Transcript of BASIC COMPLIANCE PLAN NOW TO TAKE THE … · nivel de competencia y la ventaja competitiva de sus...