Big Data—Sacando el Orden del Caos

“Big Data” no sólo describe los volúmenes de datos extremadamente grandes que están siendo reunidos por las empresas en un mundo cada vez más conectado, sino también sus diversas fuentes, incluyendo a las redes sociales, las sesiones de conversaciones en línea con clientes y más. “En 2012, Big Data va a evolucionar de su actual estatus y dejará de ser ‘el nuevo objeto brillante’. Por lo que los líderes de TI van a necesitar saber cómo sacar el orden del caos de todos esos ceros y unos, así como optimizar el retorno de la inversión (ROI) y proteger la privacidad de los datos”, aseguró Ken Vander Wal, CISA, CPA, y presidente internacional de ISACA.

De acuerdo con el reporte gratuito de ISACA titulado “Análisis de Datos – Un Enfoque Práctico” (www.isaca.org/data-analytics), las empresas deben buscar el éxito mediante el análisis de sus proyectos para obtener un mayor conocimiento, planear las estrategias adecuadas para apoyar a las áreas clave que pudieran estar en riesgo y definir las medidas de éxito sobre la marcha.

Consumo de tecnología BYOD

Se predice que el consumo de TI, marcada por el gran aumento en el uso de los teléfonos inteligentes y las tabletas propiedad de los empleados en el lugar de trabajo será otra tendencia importante de 2012. Los empleados que utilizan sus propios dispositivos para realizar su trabajo ganan flexibilidad y pueden ser más productivos, pero asegurar y administrar esos dispositivos normalmente es más difícil para TI.

“BYOD –Traiga su Propio Dispositivo – es un tren que avanza a gran velocidad. Los departamentos de TI tienen que subirse a él o corren el riesgo de quedarse en la estación”, afirmó Robert Stroud, CGEIT, CRISC, ex vicepresidente internacional de ISACA y vicepresidente de Innovación y Estrategia de CA Technologies.

“Las organizaciones que adopten la tendencia de BYOD necesitan asegurar doblemente sus datos al concentrarse en el dispositivo y en a la información a la que puedan tener acceso. En 2012, veremos un mayor enfoque en los dispositivos móviles y en su acceso a la información. Las TI necesitarán responder a preguntas como, ‘¿quién está accediendo a la información corporativa, cuándo y desde qué dispositivo? ¿Es confiable el dispositivo?’”, apunta Stroud.

La aceptación por parte de los profesionales de TI es diversa. Un mayor número de miembros de ISACA en Europa, Norteamérica y Oceanía dicen que sus empresas permiten a sus empleados utilizar los activos corporativos de TI y el tiempo del trabajo para propósitos personales y lograr una equilibro entre su vida laboral y personal; mientras que los de Asia, América Latina y África señalan que sus empresas generalmente restringen esto debido a razones de seguridad, de acuerdo con la reciente Encuesta de ISACA Compras en el Trabajo 2011: Compras de Fin de Año en Línea y la Seguridad de BYOD.

El Crecimiento de los Dispositivos Móviles Iguala al de las Amenazas

Uno de los elementos más destacados en el panorama de la seguridad en 2012 será el crecimiento de los dispositivos móviles, incluyendo desde teléfonos inteligentes y tabletas hasta laptops y memorias USB (Universal Serial Bus). “En 2012 habrá un aumento considerable en el ataque dirigido a los dispositivos móviles, ya sea para explotarlos o usarlos como un punto de acceso a las redes corporativas”, indicó John Pironti, CISM, CRISC, CISSP, asesor de seguridad de ISACA, y presidente de IP Architects.

ISACA recomienda que los gerentes de seguridad de la información necesitan crear una política fácil de entender y de ejecutar que proteja contra las fugas de datos y el código malicioso – y después comunicarla. En una reciente encuesta de ISACA sobre BYOD aplicada a 1,224 consumidores en Estados Unidos, 16 por ciento dice que su organización no tiene una política que prohíba o limite las actividades personales en los dispositivos de trabajo, y otro 20 por ciento que no sabe si existe una.

Salomón Rico, Socio de Information and Technology Risk (ITR) en Deloitte cluster Monterrey comentó que, “el uso de estos dispositivos (tabletas, Smartphones, etcétera) sobrepasa el crecimiento de las PC’s tradicionales. Los programas relacionados con el uso de dispositivos propios de los usuarios (BYOD, Bring your own device) representan un cambio fundamental de la administración tradicional de dispositivos de tecnología de información empresarial e introducen nuevos riesgos significativos de fuga o perdida de datos, malware e inestabilidad en las redes. Por lo que esto requerirá que los líderes en las organizaciones comprendan los riesgos que existen al momento de planear la adopción de programas como “BYOD” y también se planeen inversiones para mitigar estos riesgos, si no se planean también los cambios necesarios para políticas y procesos de seguridad se tendrán mayores índices de incidentes de seguridad”.

Establecer y comunicar las políticas es fundamental para el gobierno efectivo de la TI empresarial (GEIT), ya que es una prioridad para la mayoría de las empresas, de acuerdo con el cuarto Reporte Global del Estatus del Gobierno de TI Empresarial (GEIT)-2011 de la filial de investigación de ISACA, el IT Governance Institute (ITGI). Sólo 5 por ciento de los ejecutivos y directores de tecnología de la información encuestados indicaron que no lo consideran importante, y dos terceras partes de las empresas cuentan con actividades de GEIT. Sin embargo, la encuesta descubrió una oportunidad para que los líderes de TI sean más proactivos, especialmente cuando buscan el justo equilibrio entre los proyectos de innovación y las tareas para “operar el negocio”.

Un estudio de Juniper Research reveló que el valor de los pagos móviles de productos digitales y físicos, de las transferencias monetarias y de otras transacciones alcanzará casi $630 mil millones de dólares en 2014. El reporte de Pagos Móviles, disponible para descargarse sin costo en el sitio de ISACA, una asociación mundial sin fines de lucro de profesionales de TI, identifica los beneficios para los consumidores entre los que destacan: la velocidad y la conveniencia de no llevar consigo efectivo ni tarjetas de crédito, la consolidación de varias tarjetas, y un mayor nivel de seguridad. Las empresas se benefician de llegar a más consumidores al mismo tiempo que reducen la cantidad de datos almacenados necesarios para cumplir con los requerimientos, mejorando la seguridad de las transacciones y la detección de fraudes, además de la posibilidad que ofrece este método de pago para aplicar la mercadotecnia a nivel local (geo-mercadotecnia).

“Los pagos móviles ofrecen varios beneficios, pero también necesitan de una planeación proactiva, así como de medidas para manejar el riesgo, que puede incluir desde el robo de identidades y servicios, la pérdida de ingresos, de la reputación de la marca y de información de los clientes, hasta el lavado de dinero y el financiamiento del terrorismo”, afirmó Nikolaos Zacharopoulos, CISA, CISSP, auditor del Geniki Bank de Grecia, y presidente del equipo de desarrollo de proyectos de ISACA que trabajó en este documento. “Esta guía identifica los tipos de riesgo y las contramedidas que deben ponerse en práctica para mitigarlos”.

El reporte de Pagos Móviles ofrece asesoría práctica para que las empresas puedan:

• Crear controles robustos en el proceso de planeación.
• Asegurar que las transacciones sean realizadas únicamente por la persona autorizada.
• Identificar los datos que se consideren personales y sensibles para asegurar que la información esté protegida.
• Asegurar que los terceros involucrados cuenten con un gobierno de seguridad robusto.
• Poner atención al punto donde se origina la transacción móvil – el dispositivo y el usuario.

“La seguridad será un importante factor para la adopción de los pagos móviles, ya que la confianza juega un papel muy importante cuando el cliente decide utilizar una nueva herramienta de pago”, señaló Zacharopoulos. “Si bien se está desarrollando la regulación en el ecosistema de los pagos móviles, es importante que las empresas actúen con cuidado para que puedan ofrecer a los clientes la conveniencia de los pagos móviles, así como la seguridad y la privacidad necesarias”.

Para consultar más información sobre los pagos móviles, descargue el reporte gratuito de ISACA en www.isaca.org/mobile_payments o www.isaca.org/whitepapers. Hay mayor información de ISACA disponible sobre dispositivos móviles en el reporte “Asegurando los Dispositivos Móviles” y en el Programa de Aseguramiento para Auditorías de la Seguridad del Cómputo Móvil.

Después de llevar a cabo una encuesta a nivel global en el 2010 para determinar las necesidades del mercado, ISACA descubrió que el 89% de los 1,400 entrevistados expresó la necesidad de una evaluación rigurosa y confiable de la capacidad de los procesos de TI. Para cubrir con esta solicitud ISACA dio a conocer el Programa de Evaluación de COBIT (COBIT Assessment Programme), que consta de tres partes y que está basado en COBIT 4.1 e ISO/IEC 15504-2:2003 Tecnología de Información—Evaluación de procesos—Parte 2: Realizando una evaluación:

• Modelo de Evaluación de Procesos de COBIT: Usando COBIT 4.1
• Guía para Asesores de COBIT: Usando COBIT 4.1
• Guía de Autoevaluación de COBIT: Usando COBIT 4.1

“El nuevo programa de evaluación brinda una metodología para realizar evaluaciones repetibles, confiables y robustas a los procesos”, señaló Max Shanahan, CISA, CGEIT, FCPA, y miembro del equipo de desarrollo. “Además de brindar un valor agregado inmediato a partir de los resultados, el Programa de Evaluación de COBIT también ofrece la base para la creación de evaluaciones más amplias”.

Norman Kromberg, CISA, CGEIT, CRISC, participó en el programa piloto del Programa de Evaluación de COBIT con Alliance Data, donde se desempeña como director de auditorías de TI. “El Programa de Evaluación de COBIT no solo es factible, sino que también es una herramienta efectiva para que los auditores de TI complementen su ámbito actual. Cierra la brecha al centrar la atención en la capacidad de los procesos”, señala Kromberg. “Para los auditores y los consultores será particularmente útil, así como para las grandes y medianas empresas que son altamente reguladas, como los bancos y las instituciones financieras, las compañías de salud, los departamentos gubernamentales y estatales y los proveedores de tecnología y de servicios”.

El modelo de evaluación de procesos de COBIT se integrará en COBIT 5 a principios de 2012. COBIT brinda un enfoque completo para asegurar que TI permita el cumplimiento de los objetivos estratégicos de las empresas. Está disponible como descarga gratuita en www.isaca.org/cobit.

Las guías del Programa de Evaluación de COBIT están disponibles en http://www.isaca.org/cobit-assessment-programme.

La geolocalización emplea datos que toma de una computadora o de un dispositivo móvil para identificar una ubicación física. Las aplicaciones que utiliza esta tecnología ofrecen a los consumidores gran conveniencia, precios de descuento y la posibilidad de compartir información fácilmente, además que permiten a las empresas brindar servicios y ofertas más personalizadas a los clientes. Sin embargo, conforme los servicios de geolocalización se vuelven más comunes, aumenta considerablemente la necesidad de una administración de los datos y de controles empresariales.

Como lo señala el reporte de ISACA, “Geolocalización: Riesgos, Problemas y Estrategias” (con .PDF en español), el uso malicioso de los datos de geolocalización pueden poner en riesgo a los individuos y las empresas. Cuando la información personal de un usuario, como género, raza, ocupación e historial financiero, se combina con información de un GPS y de las etiquetas de geolocalización, los datos pueden ser utilizados por los criminales para identificar la ubicación actual o futura de una persona. Esto eleva el potencial de las amenazas que van desde el robo hasta el acoso y el secuestro.

Para las empresas, el riesgo que implica la recolección y uso de los datos de geolocalización incluye:

• Privacidad: Las etiquetas geográficas son utilizadas por los usuarios, pero pueden existir varias entidades que tienen acceso a esa información, incluyendo a los proveedores de servicio y a los puntos de acceso inalámbrico/desarrolladores. Los usuarios no siempre pueden identificar (o no siempre están conscientes) de la fuente o de quién puede adueñarse de sus datos de ubicación.
• Reputación empresarial: Cuando ocurren fugas de información o cuando no se ha comunicado con claridad las políticas a los clientes, las organizaciones corren el riesgo de que su marca se perciba de forma negativa.
• Compromiso de la información sensible: Puede identificarse la ubicación física de una empresa y de sus instalaciones/equipo remotos, aumentando el potencial de perder información sensible a través de una serie de ataques.

“Vivimos en un mundo móvil, y la geolocalización llegó para quedarse. Trae consigo beneficios obvios para las personas y las empresas, pero si no se maneja adecuadamente el riesgo asociado será sustancial”, señaló Ramsés Gallego, miembro del Comité de Gobernabilidad y Prácticas de ISACA, y estratega de seguridad y evangelista de Quest Software. “Impacta directamente a la privacidad y a la confidencialidad de individuos y empresas. Las consecuencias de la gobernabilidad ineficiente sobre la geolocalización pueden ser desastrosas”.

¿Qué pueden hacer las empresas?

• Implementar protecciones tecnológicas, aprovechando marcos como COBIT que sirvan como guías para el desarrollo de políticas.
• Actualizar regularmente el sistema operativo y el software de los dispositivos de trabajo para asegurar que las mejoras a la seguridad se distribuyan rápidamente en toda la empresa.
• Clasificar los datos, haciendo que los datos más sensibles (personales, financieros, confidenciales y de los clientes) sean ilegibles o inaccesibles.
• Diseñar un programa de gestión de dispositivos que incluye dónde se conectan los usuarios, etc.
• Tomar en cuenta la legislación y las regulaciones sobre privacidad aplicables alrededor del mundo, que difieren de país a país.
• Implementar una política efectiva de administración de riesgos que identifique dónde agregan valor los servicios de geolocalización y dónde se van a utilizar, y dónde deben cancelarse. La geolocalización debe ser parte del perfil de riesgos de una organización.

¿Qué pueden hacer los consumidores y los empleados?

ISACA sugiere a la gente seguir una “RUTA” de cinco pasos para el uso informado de los servicios de geolocalización:

1. Leer los contratos de las aplicaciones móviles para ver qué información está usted compartiendo.
2. Solo habilitar la geolocalización cuando los beneficios sean mayores que el riesgo.
3. Entender que otros pueden seguir su ubicación actual y anterior.
4. Pensar antes de publicar fotos etiquetadas en los sitios de redes sociales.
5. Adoptar la tecnología, y educarse a uno mismo y a otros.

Para consultar más información sobre los riesgos, los beneficios y los asuntos de gobernabilidad de la geolocalización, descargue el reporte gratuito de ISACA en www.isaca.org/geolocation.

Siga a ISACA en Twitter: https://twitter.com/ISACANews

Las nuevas aplicaciones Web están basadas en un ambiente cliente-servidor y son independientes de las plataformas, requieren menos poder de cómputo, y pueden integrarse perfectamente con recursos y servicios en línea. Su utilización puede reducir el tiempo y costo de los procesos, mayor número de clientes satisfechos e ingresos más altos. Sin embargo, las vulnerabilidades de las aplicaciones abren la puerta a la explotación de información corporativa sensible, a la interrupción del servicio y al robo de propiedad intelectual. Algunas vulnerabilidades comunes identificadas en el reporte incluyen:

• Inyección de SQL
• Cross-site scripting
• Referencias inseguras de objetos directos
• Fuga de información
• Anti-automatización insuficiente

“Aunque se están reportando cada vez más violaciones en la Web, existe un gran número de ellas que nunca se reportan o ni siquiera se detectan, y muchas empresas no han tomado aún las acciones para resolver las vulnerabilidades”, aseguró Salomón Rico, CISA, CISM, CGEIT, de Deloitte México, y presidente del equipo de desarrollo de este reporte en ISACA. “Las aplicaciones Web deben contar con seguridad integrada en cada paso e ISACA ofrece una guía específica y los pasos detallados para hacerlo”.

El reporte incluye las siguientes estrategias para enfrentar el riesgo de las aplicaciones web:

• Las medidas de seguridad deben ser componentes obligatorios que se incluyan al inicio del proceso de desarrollo.
• Los programadores deben capacitarse en técnicas de codificación seguras.
• Debe existir un proceso robusto de aseguramiento de la calidad para aplicar pruebas de calidad continuas y controladas no sólo de la parte funcional sino de cuestiones de seguridad también.
• Las aplicaciones implementadas deben ser monitoreadas continuamente para detectar las vulnerabilidades descubiertas.
• Deben tomarse medidas decisivas para resolver las vulnerabilidades encontradas.

“Las empresas pueden aprovechar los diversos beneficios de las aplicaciones Web si tienen un enfoque sistemático”, añadió Rico. “Estas nuevas tecnologías pueden integrarse exitosamente con cuidado, lo que puede crear un mejor valor y reputación; así como un mayor apoyo de la empresa y sus integrantes”.

Seguridad de las Aplicaciones Web: Consideraciones de Negocio y de Riesgo está disponible sin costo a través de www.isaca.org/web-application-security. Puede encontrar una guía adicional de ISACA sobre temas como el cómputo en la nube, el gobierno de los medios sociales y la seguridad de los dispositivos móviles en www.isaca.org/whitepapers.

El incremento en las compras en línea para esta época de navidad serán empujadas en gran medida por el uso de smartphones o tabletas, de acuerdo a un estudio reciente de e-Marketer. Por lo tanto, la utilización de estos dispositivos móviles para compras, sobre todo desde dispositivos proporcionados por la empresa, se está convirtiendo en una actividad de alto riesgo para los sistemas de información corporativos. Más de la mitad de los encuestados (59%) considera que cada vez que un empleado abra un correo electrónico desde una computadora o smarthphone de la empresa y siga un link para llegar a una tienda en línea presentará un alto riesgo de seguridad para sus sistemas de información.

A pesar de la preocupación que está generando el uso de dispositivos móviles proporcionados por la empresa para usos personales, solo el 24% de los encuestados aseguró tener una prohibición en efecto, el 38% afirmó que se han establecido límites y el 35% permite los usos personales de los dispositivos. Asimismo, el creciente uso de servicios de tecnología de geolocalización está incrementando el nivel del riesgo, pero un 57% reportó que su organización no ha establecido una guía de seguridad sobre su uso para los empleados.

“Los teléfonos inteligentes se están convirtiendo rápidamente en parte esencial de nuestra vida y nuestro trabajo. La implementación de políticas de seguridad y la capacitación sobre el uso de los dispositivos móviles harán la diferencia para las empresas de la región en la prevención de los riesgos”, aseguró Gustavo A. Solis Montes, CISA, CISM, CGEIT, CRISC, Presidente del Capítulo México de ISACA.

Resultados Globales

La presente edición de la encuesta de ISACA Shopping in the Job encuestó a 4,740 miembros en 84 países. Entre las similitudes encontradas en las diversas regiones, destaca que la mayoría estima que sus empleados usarán entre 1-2 horas para sus compras navideñas a través de dispositivos o computadoras de la empresa o a través de dispositivos propios pero en horas de trabajo. Las diferencias se observan en las políticas de uso de los recursos de TI y tiempo laboral para cuestiones personales. En Norteamérica y Europa cerca del 40 % de los encuestados permite el uso de estos recursos por parte de sus empleados para promover un balance Vida-empleado. En contraste, cerca del 50% de los encuestados de Asia y América Latina aseguró que sus empresas restringen el uso de recursos de TI y horas de trabajo para actividades personales por preocupaciones de seguridad.

Cabe destacar las diferencias regionales en las medidas que las empresas implementan como parte de su sistema de manejo de riesgo y seguridad en relación a las compras en línea de sus empleados a través de una computadora o smartphone del trabajo:

• En América del Norte (EEUU y Canadá) y Europa, el 75% de los participantes aseguró que cuentan con tecnología activada para proteger ataques en línea.
• En Asia el 63% destacó que sus empresas ofrecen entrenamiento sobre conocimiento de temas de seguridad.
• En América Latina el 61% comentó que monitorean el uso de internet de sus empleados.

Por último, la mayoría de los encuestados de todos los países consideran que los riesgos de permitir el uso de dispositivos móviles personales para actividades de la empresa- una tendencia en crecimiento conocida como BYOD (siglas en inglés de Bring your Own Device)- son mayores que los beneficios que presentan a la empresa. A pesar de esto, el número de empresas que permiten a sus empleados ocupar dispositivos personales para actividades de trabajo está a la alza, por lo que se vuelve imperante para estas organizaciones contar con una postura de “acepta y educa”: aceptar la tecnología y los beneficios que trae a la empresa, al mismo tiempo que se educa a los empleados sobre las acciones a tomar para minimizar el riesgo.

Los resultados completos de la encuesta están disponibles en www.isaca.org/online-shopping-risk. Información adicional sobre seguridad en dispositivos móviles puede ser consultada en www.isaca.org/mobile-devices.

Acerca del 2011 ISACA Shopping on the Job Survey: Online Holiday Shopping and BYOD Security

La encuesta realizada por ISACA, Online Holiday Shopping and BYOD Security permite identificar similitudes y diferencias entre las actitudes y comportamientos relacionas con los riesgos y beneficios asociados con las compras en línea, el uso de dispositivos personales y los proporcionados por la empresa. La edición 2011, el cuarto año que se realiza, contempló la aplicación de una encuesta en línea durante el mes de octubre a 4,740 miembros de ISACA en 84 países, incluyendo 272 profesionales de América latina.

ISACA en Twitter: http://twitter.com/ISACANews
ISACA en LinkedIn: ISACA (Oficial), http://tinyurl.com/42vbrlz
ISACA en Facebook: www.facebook.com/ISACAHQ
Colabora con los miembros de ISACA: www.isaca.org/knowledge-center

Después de realizar una encuesta global en el 2010 para determinar la necesidad del mercado, ISACA descubrió que el 89 por ciento de los 1,400 entrevistados expresó la necesidad de una evaluación de la capacidad de los proceso de TI que fuera rigurosa y confiable.

“COBIT PAM brinda la base para la evaluación de los proceso de TI de una empresa con COBIT 4.1 y permite que las evaluaciones de las capacidades de los procesos soporten la mejora”, apuntó Gary Baker, CA, CGEIT. “La evaluación se basa en evidencias para asegurar un proceso confiable, consistente y repetible en el gobierno y la administración de TI”.

La segunda guía de la serie COBIT Assessment Programme – COBIT La Guía del Asesor Usando COBIT 4.1 – se lanzará a finales de 2011. Ofrecerá información sobre cómo realizar una evaluación formal por parte de un asesor certificado capacitado. La Guía del Asesor utilizará COBIT PAM como el documento de referencia base y dará opciones para el alcance de las evaluaciones.

La tercera guía de la serie – COBIT Guía de Autoevaluación Usando COBIT 4.1 – también está en desarrollo. Esta guía le permitirá a las empresas realizar la autoevaluación básica de los actuales niveles de capacidad de procesos de TI con COBIT 4.1. Las empresas podrán utilizarla para realizar evaluaciones de capacidades que no se basan en evidencias para servir como una revisión precursora hacia una evaluación formal.

El modelo de evaluación de procesos de COBIT se integrará a COBIT 5, el cual estará disponible a principios de 2012. COBIT actúa como un integrador de estándares de TI y guía internacionales más detallados. Basado en estándares de la industria y las mejores prácticas, es un modelo completo que asegura que TI esté satisfaciendo las necesidades de una empresa y que permita cumplir con los objetivos estratégicos del negocio. El marco COBIT está disponible para descargarse sin costo en www.isaca.org/cobit.

El Modelo de Evaluación de Procesos de COBIT está disponible para los miembros de ISACA de manera gratuita. Los no miembros pueden adquirirlo por $50 dólares. Es posible encontrar mayor información en www.isaca.org/cobit-assessment-program.

• Microsoft® SQL Server® Database ofrece una evaluación independiente de la efectividad de la configuración y de la seguridad de los sistemas de bases de datos Microsoft SQL Server dentro del entorno de cómputo de las empresas.
• Microsoft® Windows File Server se enfocará en la configuración, administración y seguridad física de una sección cruzada de los servidores de archivos relevantes y de alto riesgo en la empresa.

Los programas de auditoría/seguridad de ISACA que estarán disponibles próximamente son:

• Microsoft® SharePoint® 2010 se enfocará en el gobierno, las políticas y las funciones de monitoreo/supervisión asociadas con la implementación de SharePoint.
• Microsoft® Exchange Server ayudará a los profesionales del aseguramiento a bloquear y auditar Exchange Server 2010 y considera componentes como la seguridad y los controles.

Recientemente, ISACA también publicó un programa de auditoría que aborda la Administración de la Continuidad del Negocio. Este programa ofrece a la empresa herramientas para centrarse en el plan, las políticas, los estándares, los lineamientos, los procedimientos, las leyes y las regulaciones que se encargan de mantener la continuidad de los servicios de negocio.

“Las TI se encuentran en el corazón de lo que una empresa y sus miembros valoran más: cumplir con la misión y los objetivos de la organización de una manera efectiva, eficiente, transparente y auditable”, aseveró Greg Grocholsky, CISA, vicepresidente internacional de ISACA. “La mejor forma de asegurar esto es realizando una auditoría formal de los controles de TI. Los programas de auditoría de ISACA ayudan a los auditores de todo el mundo a agregar valor y mejorar las operaciones de su empresa al brindar una pauta para completar los procesos específicos de seguridad”.

Los programas de auditoría/seguridad se basan en los estándares y la guía de IT Assurance Framework (ITAF) de ISACA. Estos fueron desarrollados por un equipo de profesionales experimentados en seguridad de todo el mundo; representando la experiencia global más reciente, y son revisados por sus colegas. Los programas pueden descargarse en formato de Word y pueden adaptarse fácilmente para aplicarse a un entorno operativo específico.

Asimismo, pueden ser utilizados por los profesionales de seguridad y de negocio, quienes se beneficiarán de la aplicación de objetivos de control y de auditar los pasos a seguir para hacer sus áreas más robustas.

Los programas de auditoría/seguridad son gratuitos para los miembros de ISACA y tienen un costo de $45 dólares para los no miembros, y están disponibles en
www.isaca.org/auditprograms. ITAF está disponible en www.isaca.org/ITAF.

Siga a ISACA en Twitter: https://twitter.com/ISACANews

En la CACS Latinoamérica, Erie Pérez, director de tecnología del FirstBank, hablará del valor detrás del modelo de la Nube, su evolución y su futuro. Pérez también presentará un modelo de negocio óptimo y métodos estratégicos para reducir el riesgo de adoptar los servicios de nube. Por su parte, Julio César Ardita, CISM, director de tecnología de CYBSEC, participará en ISRM para hablar de la implementación y administración seguras de sistemas virtualizados, desde el escritorio hasta la nube. La agenda completa de las conferencias está disponible en la página de ISACA www.isaca.org y será posible seguir la conversación en Twitter con los siguientes hashtags: #LatinCACS y #ISRMLatin.

Los temas de las conferencias están alineados al trabajo que recientemente ISACA presentó en español titulado, “Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento” donde destaca que el cómputo en la nube, al igual que ocurre con cualquier otra tecnología emergente, ofrece la posibilidad de obtener una alta recompensa en lo que respecta a contención de costos y características como agilidad y velocidad de suministro. Sin embargo, como es una “nueva” iniciativa, también puede traer consigo altos riesgos.

Entre las recomendaciones del documento destaca que entre los primeros pasos después de que se ha determinado que los servicios en la nube son una solución plausible para una empresa, resulta clave identificar los objetivos y riesgos de negocio que acompañan a la nube. Esto ayudará a las empresas a determinar qué tipo de datos son viables de subir a la nube, así como cuáles servicios podrían ofrecer el mayor beneficio.

“Computación en la nube: Beneficios de negocio con perspectivas de seguridad, gobierno y aseguramiento” puede ser descargado a través del siguiente link: www.isaca.org/cloud.

En el nuevo reporte titulado “Análisis de Datos – Un Enfoque Práctico”, ISACA ayuda a las empresas a crear planes exitosos de análisis de datos para obtener mejores resultados y beneficios. El documento está disponible como una descarga gratuita en
www.isaca.org/data-analytics.

“El análisis de datos es más que un proyecto. Es un viaje por un plan bien pensado con objetivos y pasos específicos”, señaló Anthony Noble, CISA, vicepresidente de auditoría TI de Viacom Inc., y miembro del equipo de desarrollo de reportes de ISACA. “Este reporte explica cómo un análisis de datos efectivo ayuda a las empresas a identificar lo que funciona bien, determinar las áreas que pueden mejorarse y reconocer los problemas antes de que se salgan de control”.

De acuerdo con el reporte de ISACA, usar el análisis de datos ayuda a los profesionales de la seguridad a establecer valor al identificar los ahorros de costos potenciales y las mejoras operativas; además de ofrecer otros beneficios importantes, tales como:

• Mayor información sobre temas de privacidad y seguridad.
• Control mejorado sobre la calidad de los datos.
• Mayor seguridad sobre la calidad de los datos.
• Aumento en la productividad del staff

Además, el reporte sugiere que un plan de análisis de datos debe enfocarse en el resultado final e incluir los siguientes pasos:

• Realizar un análisis ad hoc en apoyo de las áreas de riesgo.
• Utilizar el análisis de datos dentro de varios proyectos para un mayor conocimiento.
• Pasar a análisis repetibles realizados periódicamente en las actividades de alto riesgo.
• Definir las medidas de éxito a lo largo del camino.

“Los resultados del análisis de datos pueden ser útiles para identificar áreas de riesgo, fraudes, errores y abuso; mejorando las eficiencias del negocio; verificando la efectividad de los procesos; e incluso influyendo en las decisiones”, apuntó Noble. “Esta guía de ISACA ayuda a las empresas al ofrecer pasos específicos y orientación para poner orden entre los repositorios de datos algunas veces caóticos”.

Puede consultar más información sobre todos los reportes de ISACA en www.isaca.org/whitepapers.

También puede revisar los temas sobre seguridad y análisis de datos que se presentarán en las próximas conferencias, Conferencia Latinoamericana de Auditoría, Control y Seguridad (CACS) y en la Conferencia Latinoamericana de Seguridad de la Información y Administración del Riesgo (ISRM) que se llevarán a cabo en Puerto Rico en Octubre de 2011. http://www.isaca.org/Education/Upcoming-Events/Pages/Conferences.aspx

Siga a ISACA en Twitter: https://twitter.com/ISACANews