Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INTERNATIONAL
PLAN NOW TO
BASIC COMPLIANCE TAKE THE CCEP-I
®
9,100+
COMPLIANCE
PROFESSIONALS
HOLD A COMPLIANCE
CERTIFICATION BOARD
(CCB) CREDENTIAL
®
CLE APPROVED
www.corporatecompliance.org/academies
Questions: lizza.catalano@corporatecompliance.org
Journal
The ISACA® Journal
tiene por objeto mejorar el
nivel de competencia y la
ventaja competitiva de sus
lectores internacionales,
proporcionando orientación
técnica y de gestión de autores
experimentados globales. Los
4 33
Materias seguridad de la Información: El G7 Entregando cumplimiento con protección de artículos son revisados por
y la ciber seguridad datos personales en una escala global
Steven J. Ross, CISA, CISSP, MBCP Ilya Kabanov, Ph.D. pares y se centran en temas
(Disponible également en français) críticos para los profesionales
7
Auditoría básica de SI: El desafío de las 39 que intervienen en auditoría
habilidades blandas, Parte 6 Mejorando el proceso de seguimiento de
Ed Gelbstein, Ph.D., and Stefano Baldi Auditoría usando COBIT 5 de TI, gobierno, seguridad y
Ian Cooke, CISA, CRISC, CGEIT, COBIT Foundation,
12 CFE, CPTS, DipFM, ITIL Foundation, Six Sigma cumplimiento.
La red Green Belt
Marcus Chambers, CISM, CGEIT, CEng
47
14 Análisis avanzado de datos para auditores de TI
Etica de la información: Etica de la información a Spiros Alexiou, Ph.D., CISA
mediados del siglo 21
Vasant Raval, DBA, CISA, ACMA
MAS
ARTICULOS 56
Palabras cruzadas
21 Myles Mellor
Medición del desempeño métrica para el
gobierno de TI 57
Sunil Bakshi, CISA, CRISC, CISM, CGEIT, ABCI, CPE prueba
AMIIB, BS 25999 LI, CEH, CISSP, ISO 27001 LA, Prepared by Kamal Khan CISA, CISSP, CITP, MBCS
MCA, PMP
(Disponible également en français) 59
Estándares, guías, herramientas y técnicas
29
La evaluación de los controles de seguridad S1-S4
Lance Dubsky, CISM, CISSP ISACA Bookstore Supplement Lea más acerca
de los autores del
Journal...
Along the way to your MS-IAS, earn up to 3 NSA focus area digital badges showcasing your
mastery of skills in specific cybersecurity areas.
Plus, the knowledge you gained for your CISSP®, CEH®, or CNDA® certifications can help you
earn credit toward your MS-IAS, saving you time and money.
See graduation rates, median student debt, and other information at www.capellaresults.com/outcomes.asp.
COBIT Focus
News and Case Studies About COBIT 5
Claim your future in the high demand Cybersecurity and information assurance/security fields.
Students will be educated in the technical aspects of Cybersecurity systems and will be prepared
for the management, operations and oversight of these systems.
Classes are forming now in our state-of-the-art Cybersecurity laboratory and online.
800.707.8846 | SaintLeo.edu
National Security Agency and the Department of Homeland Security have designated Saint Leo University as a National Center of
Academic Excellence in Cyber Defense Education (CAE-CDE) through academic year 2021.
Q: ¿Cómo piensas diferentes países han Las principales
que el rol de los respondido. certificaciones que
profesionales de busco son la Certified
seguridad de la Q: ¿Cómo ves que Information Security
información está los roles de seguridad Manager® (CISM®) o la
cambiando o ha de la información y CISSP, y la mayoría de
cambiado? en específico la ciber las especificaciones para
seguridad cambiarán en empleos de seguridad
A: Actualmente podemos el largo plazo? pedirán una de estas dos
basar las decisiones de de manera obligatoria.
inversión en evidencia de A: Creo que veremos un También busco el
eventos que han ocurrido. mayor interés del público interés por la profesión
Los clientes comúnmente en general en mantener y un ávido deseo por
preguntan si ellos están segura su información aprender, mantenerse
gastando mucho o personal. Actualmente, actualizado en los temas
muy poco dinero en si a la gente se le actuales y entendimiento
comparación con los pregunta por sus detalles del contexto en el que
pares de la industria, personales, incluso si estamos operando. Es
y ahora podemos sólo se están registrando importante ser capaz
generar comparaciones en, por ejemplo, un de relacionar eventos
(benchmarks) de gastos nuevo dentista o grupo de seguridad al riesgo,
dentro de diferentes social, es probable que cualificaciones tan aptas
industrias para informar pregunten: “Si le paso tales como Certified in
Marcus Chambers, los balances de los mi información personal, Risk and Information
CISM, CGEIT, CEng clientes en materia de ¿será capaz de garantizar Systems ControlTM
Es un profesional decisiones de inversión su seguridad?”. (CRISCTM) también son
de seguridad de la en una forma que no era altamente consideradas.
información experimentado posible anteriormente, a Ceo que más
quien ha trabajado en medida que la seguridad consumidores deberían Q: ¿Cuáles crees
una gran variedad de no era considerada con realizar esta pregunta en que son las formas
diferentes sectores a través suficiente importancia toda ocasión que les sea más efectivas para
de un amplio rango de para garantizar su propio preguntado su nombre, atender las brechas en
compañías. Ha trabajado presupuesto. dirección o fecha de habilidades de ciber
a un nivel senior por un
gran número de años nacimiento. seguridad?
La proliferación de la
que incluyen el sector
tecnología significa que Q: ¿Cómo es que las A: Este es un problema
de servicios financieros,
y es experimentado en más gente es capaz certificaciones que complejo y tardará un
la conducción de temas de entender nuestros has obtenido te han tiempo en atenderse.
desafiantes y en el diálogo desafíos. Será más ayudado a avanzar o En el Reino Unido,
con partes interesadas fácil traducir amenazas potenciar tu carrera estamos haciendo más
(stakeholders) de nivel y riesgos usando un profesional? mediante la enseñanza
senior. Chambers ha léxico común y por ende ¿Cuáles son las de código en las escuelas
creado road maps y invertir de manera más certificaciones que y promoviendo la ciencia,
entregado programas efectiva, entendimiento y buscas cuando reclutas tecnología, ingeniería
de mejora en materia cumplimiento de la gente a un nuevo miembro de y matemáticas (STEM
de seguridad en dentro de la organización tu equipo? como acrónimo del
varias corporaciones entera. Yo creo que nombre de las disciplinas
multinacionales. Él obtiene veremos un incremento A: No habría podido en inglés), pero tomará
gran satisfacción personal
en los beneficios desde obtener mi rol actual sin algunos años para ver
en la entrega efectiva y
nuestra habilidad para la certificación Certified realizados los frutos de
el gobierno robusto de
trabajar en conjunto Information Security esta labor. En el corto
programas de cambio.
a través de múltiples Manager® (CISM®) y tiempo, necesitamos
sectores compartiendo estoy muy orgulloso de ampliar nuestra base
información en amenazas tener una cualificación de reclutamiento para
y en cómo organizaciones que es ampliamente asegurar una mayor
en diferentes industrias reconocida. paridad de género y
12 ISACA JOURNAL VOL 6 y potencialmente en también necesitamos
la
red
hacer las certificaciones datos de la Unión existentes tales como
más accesibles a Europea post-Brexit. Si el la OTAN (Organización
1
aquellos quienes son Reino Unido no promulga del Tratado del ¿Cuál es el mayor desafío de
nuevos en la industria. una ley similar bajo la Atlántico Norte), seguridad que será
ISACA® está realizando legislación del Reino para el incremento enfrentado en 2017? ¿Cómo
un buen trabajo con Unido (concerniente a en la cooperación debiera ser enfrentado?
el certificado de los datos mantenidos internacional y la Imponiendo leyes internacionales en contra de
fundamentos de ciber dentro del Reino Unido disuasión de amenazas. los cibercriminales quienes operan a través de los
seguridad. para los ciudadanos del El uso de organizaciones límites internacionales. Asegurar que se puede
Reino Unido), temo que como un vehículo para operar en línea en un sistema internacional basado
Q: El Reino Unido el Reino Unido pueda mayor cooperación en reglas dónde las leyes apliquen a todos, sigue
es ampliamente perder si sus estándares debería actuar como siendo un desafío que perdura.
considerado como de protección de datos un ejemplar para
el centro de Europa
de la ciber seguridad
son percibidos como más
bajos que los países de la
organismos comerciales
y no de Estado para 2
¿Cuáles son tus tres metas
para 2017
• Completar mi tercer y última maestría de
con el mayor talento Unión Europea. trabajar en conjunto para
postgrado, Maestría en Ciencia (MSc por sus
de ciberprofesionales. combatir amenazas,
siglas en inglés) de Seguridad de la Información.
¿Cuál crees que será el Los niveles de privacidad compartir información y
• Aprender a tocar la guitarra (después de los
impacto a largo plazo y seguridad de datos son aprender el uno del otro.
exámenes de verano de la MSc)
que el Brexit tendrá preocupaciones válidas y • En materia deportiva, hacer flexiones parado de
en materia de ciber los consumidores podrían Q: ¿Cuál ha sido el manos (¡mira la pregunta final!)
seguridad en Europa y elegir la mejor ubicación mayor desafío de tu
3
de manera global? para mantener sus lugar de trabajo o de ¿Cuál es tu blog favorito?
datos almacenados, o el carrera profesional y • Krebs on Security
A: El Reino Unido régimen más amigable cómo lo enfrentaste? • Actualizaciones de seguridad del Instituto Nacional
en la actualidad está con el cual operar. La para los Estándares y la Tecnología de Los
sólidamente afianzado Unión Europea debe A: Mi transformación Estados Unidos (NIST por sus siglas en inglés)
como el centro de la mantener la elección más desde las fuerzas • Artículos de tecnología de las publicaciones: The
comunidad de negocios óptima en el mercado. armadas fue un desafío Wall Street Journal y el Financial Times.
internacionales y aun así significativo. Para
ha tenido que invocar el
Artículo 50, que significa
Q: Tú tienes una
considerable
superar el desafío tomé
el consejo de colegas 4
¿Qué cosa está en tu
escritorio en este momento?
Mi botella de agua, mi MacBook Air y mi cuaderno
que en el corto al experiencia militar. quienes dejaron las
mediano plazo el impacto ¿Qué rol crees que fuerzas armadas antes organizador (Bullet Journal) tamaño A5
es probable que sea bajo. las fuerzas armadas que yo, me hice de
Existe el riesgo potencial tomarán para combatir redes de contacto y
en el largo plazo que la
cooperación en materia
las amenazas de
ciberterrorismo y
me aseguré que tuviera
las cualificaciones
5
¿Cuál es tu consejo número
uno para otros profesionales
en Seguridad de la Información?
de ciber seguridad con la ciberguerra? apropiadas para
Aprender bien los fundamentos y todo lo demás
Unión Europea, a pesar exhibir mi conjunto de
fluye.
de los obstáculos podría A: La ciberguerra, o habilidades. Hice que el
no ser del interés de cuando menos las desafío fuera un poco
nadie. ciberinterferencias
estado a estado ya
más duro al querer
integrarme almundo
6
¿Cuál es tu beneficio favorito
de tu membresía de ISACA®?
Acceso a materiales de investigación, marcos de
En términos de la han tenido lugar y no comercial, más que trabajo y otros informes y artículos
posición del Reino tengo duda que las trabajar en los sectores
7
Unido en Europa, un fuerzas armadas del de defensa o público en ¿Qué haces cuando no estás
ejemplo relevante es la Oeste están trabajando los cuales estaba más en el trabajo?
introducción planificada con otros organismos familiarizado, pero estoy Leo tan ampliamente como puedo la historia militar
de la Regulación gubernamentales para muy contento con el y política así como un amplio rango de ficción y amo
de la Protección de compartir información resultado, he aprendido hacer ejercicio. Recientemente me convertí en un
Datos Generales de para asegurar un nivel muchísimo y disfruto los adicto al CrossFit pero trato de no hablar de ello.
la Unión Europea, la apropiado de protección. desafíos de cada día.
cual aún afecta a las Las fuerzas armadas del
organizaciones del Oeste convencionales
Reino Unido con base son muy buenas usando
ISACA JOURNAL VOL 6 13
en Europa, que maneja marcos de trabajo
Ética de la información a mediados del
siglo 21
A la par de los observadores del ciberespacio de
Esta es la última entrega de la columna de la Ética de la Información. ISACA®
desea reconocer con profunda gratitud al autor de esta columna, Vasant Raval, primera generación, una comunidad de especialistas
por su significativa contribución de liderazgo de pensamiento al Journal de en ética evolucionó para dar dar forma a las
ISACA® y a los lectores de todo el mundo a través de los años. La columna cuestiones morales en el espacio de la información
permanecerá archivado en el sitio web de ISACA para su referencia. cada vez más dominante. Cuando uno predijo el
impacto de las computadoras en la sociedad desde
En su libro Código1, Lawrence Lessig habla sobre el principio, varios líderes de opinión siguieron el
¿Tienes algo los dos teóricos de la primera generación del hilo, incluyendo uno que define la ética informática
que comentar ciberespacio que dieron a luz historias sobre el futuro como “un ámbito en cuestión con las aspiradoras
sobre este del ciberespacio en 1996. Uno contempla que el de política y confusiones conceptuales en relación
artículo? futuro será un pacto entre dos fuerzas de orden— con el uso social y ético de la tecnología de la
Visita las páginas del código social y comercio—mientras que el otro hizo información (el subrayado es nuestro)”2.
Journal en el sitio web hincapié en cómo el Internet ofrecerá más control
de ISACA (ww.isaca. al gobierno. El paso de unos 20 años desde estas
org/journal), encuentra predicciones ha traído cambios tectónicos en el
el artículo y da click código y el comercio, lo que afecta el orden social a La aparición del
en el link Comments lo largo del camino. En un corto período de tiempo,
para compartir tus hemos dado paso precipitadamente en la segunda ciberespacio ha
pensamientos. generación del ciberespacio. producido una
Existen diferencias significativas entre la primera y nueva cosecha de
la segunda generación del ciberespacio. La primera
generación se dedicó a compartir la información,
dilemas difíciles de
especialmente en el mundo académico y sobre todo resolver, aunque
para la investigación. La seguridad, la confidencialidad
y la autenticación de usuarios eran nominalmente los preceptos y
importante; la emoción primaria surgió de la paradigmas para
capacidad de conectarse y compartir proyectos, el
intercambio de información en tiempo real, y trabajar hacerles frente
con sus compañeros y profesionales de forma remota.
La segunda generación vio la migración del código
siguen siendo los
para el mundo del comercio, donde la creación de mismos.
valor económico, la eficiencia, la autenticación y la
seguridad de la información adquirió importancia
primordial. La velocidad de llegar al mercado, la
globalización, la ampliación de las masas, éstas IEs importante examinar la posible conexión entre
se hizo cargo de la agenda para el establecimiento la llegada del ciberespacio y un mayor nivel de
de prioridades y la asignación de recursos en las interés en la ética de la información. Las cuestiones
empresas. Sin problemas de la primera generación éticas son derivados de los cambios en el dominio
del ciberespacio se convirtió en preocupaciones en cuestión que dan lugar a nuevos conjuntos de
significativas de la segunda generación. dilemas. La aparición del ciberespacio ha producido
una nueva cosecha de los dilemas más difíciles a
Vasant Raval, DBA, CISA, ACMA resolver, a pesar de los preceptos y paradigmas
Es un profesor de contabilidad en la Universidad de Creighton (Omaha, para hacer frente a ellos siguen siendo los mismos.
Nebraska, EE.UU.). El co-autor de dos libros sobre los sistemas de Por lo tanto, la práctica de la ética es desafiado,
información y seguridad, sus áreas de enseñanza e intereses de investigación mientras que los principios éticos subyacentes
incluyen la seguridad de la información y la gestión empresarial. Las opiniones permanecen estables. En ausencia del ciberespacio,
expresadas en esta columna son personales y no las de la Universidad de la información que existía en el momento estaba
Creighton (Nebraska, USA). Él puede ser contactado en vraval@creighton.edu.
controlada, y el intercambio de información ha sido
www.skyboxsecurity.com
• ¿Cómo puede la empresa efectuar un punto de 3. El establecimiento de objetivos contra los cuales
referencia (benchmark) del rendimiento? los resultados se pueden calificar
• ¿Que debiese hacer la empresa en la ausencia El desarrollo de las métricas incluye la definición de
de métricas medibles? ¿Puede usar gestión de un equilibrado conjunto de objetivos de rendimiento,
riesgos, expectativas de perdidas, vectores de métricas, objetivos y puntos de referencia. La
ataques o correlación? métrica debe cubrir las actividades y resultados
que se miden utilizando indicadores de avance y
Las métricas describen una calidad y requiere una retroceso y un equilibrio adecuado de medidas
base de medición, ej. 87 porciento de incidentes financieras y no financieras. Las métricas debiesen
•C
omparando metas definidas de crecimiento del
negocio con la inversión en TI y estableciendo una
relación El reto que
Métricas basadas en medios pueden incluir:
usualmente las
• Numero de vulnerabilidades de aplicaciones sobre
empresas enfrentan
un año a menudo es
• Porcentaje de cajeros automáticos (ATM) del cuantificar los
tiempo de inactividad durante horas activas (debe
ser menor a dos por ciento de horas activas) resultados para la
• Porcentaje de incidentes que son resueltos comparación contra
dentro del tiempo de SLAs (incluyendo incidentes
escalados)
costos.
Las siguientes recomendaciones debiesen ser
observadas mientras se desarrollan las métricas y se • Reducir al mínimo las comparaciones
identifican los indicadores de rendimiento8. relacionadas a costos—Limite métricas
•N
ormalizar las Métricas a un parámetro de relacionadas al costo para medir solo los beneficios
atributo común—Para entender tendencias (valor) de TI. Una comparación con la industria u
apropiadamente, normalizar métricas a un otras empresas puede ser no relevante. El reto que
parámetro común; por ejemplo: las empresas usualmente enfrentan es cuantificar
– Tiempo—es tiempo definido como ocurrencia los resultados para la comparación contra costos.
anual, transacciones por segundo/minuto/hora, Por ejemplo, un servicio para mejorar la satisfacción
promedio de intervalos entre eventos, tiempo del cliente puede costarles a las empresas; sin
medio entre fallas (MTBF) embargo, cuantificar la mejora en la satisfacción
– ¿Costo—El costo es por unidad o por millón? del cliente puede no ser posible. En tales casos,
indicadores indirectos, ej. repetir/más oportunidades
• Entender las características de una de negocio, puede ser más útil.
buena métrica—Una buena métrica permite
comparativos exactos y detallado, guía hacia Otro problema es costos comunes, tanto internos
conclusiones correctas, es entendida bien por como externos, que incluyen las asignaciones
todos y tiene una base cuantitativa. Una buena para múltiples operaciones o líneas de negocio
métrica es lineal, confiable, repetible, fácil de usar, que no pueden ser segregadas para cargar a una
consistente e independiente. operación especifica o línea de negocio.
• Tendencia de los resultados de las encuestas de Hay dos metas relacionadas a TI que principalmente
satisfacción de los clientes se mapean a las metas de la empresa de la cultura de
servicio orientado al cliente15. Son metas relacionadas
Dependiendo del servicio al cliente de la organización a TI 01, Alineación de la estrategia de TI y Negocio
ofrecido utilizando soluciones de TI, las siguientes y 07, Entrega de servicios TI en línea con los
métricas (que serán un subconjunto de las métricas requisitos del negocio. Métricas sugeridas para metas
definidas previamente) pueden ser consideradas: relacionadas a TI 07 de COBIT 5 son (por simplicidad,
• Impacto en la satisfacción del cliente debido a solo aquellas metas de TI que principalmente se
interrupciones al servicio debido a incidentes mapean a las metas de la empresa en el ejemplo han
relacionados a TI sido consideradas):
El CISO y CSO´s deben asegurarse de que sus se apegue a los principales marcos de trabajo.
programas de gestión de riesgo de la empresa Durante los últimos cinco años, el NIST RMF (Risk ¿Tienes algo
cuenten con un sólido marco de gestión—Marco Management Framework) ha ganado un espacio que comentar
de trabajo de manejo de riesgo empresarial. Este importante en los Estados Unidos y varias otras sobre este
marco debe proporcionar un proceso disciplinado y naciones. NIST desarrolló y publicó los elementos artículo?
estructurado que integra las actividades de gestión que una empresa necesita para implementar y Visita las páginas del
de riesgos en el sistema el desarrollo del ciclo de gestionar un sólido programa de gestión de riesgos. Journal en el sitio web
vida y que permite a los ejecutivos de riesgo tomar Los NIST RMF incluyen las fases del ciclo de vida de ISACA (ww.isaca.
decisiones informadas. El US National Institute del desarrollo de sistemas y los pasos que deben org/journal), encuentra
of Standards and Technology (NIST) y el Risk seguir la gestión de riesgos las organizaciones el artículo y da click
Management Framework (RMF) son ejemplos de (figura 1). en el link Comments
marcos de referencia. El compromiso con un marco para compartir tus
pensamientos.
de gestión del riesgo y sus principios son críticos Probar, Probar y Probar
para un programa de gestión de riesgos exitosa.
Aunque todos los pasos del NIST RMF son
Decisiones informadas en relación a un riesgo y los importantes, El paso 4: Evaluar los controles de
pasos para determinar la aceptación del riesgo. seguridad es el más paso crítico de un programa
Una buena receta para la toma de decisiones de de gestión de riesgos. Es esencial que se aplique
riesgo incluye una mezcla de: comprobación del sistema en profundidad después
de realizar gestión de la configuración, para
• Datos objetivos mantener implacable la seguridad. Si la empresa
• Resultados de pruebas (OK/No OK) mantiene una configuración de sistema seguro,
se mantendrá el nivel de seguridad. A menudo
• Las mitigaciones las empresas no realizan pruebas adecuadas a
• Análisis cualitativo los sistemas ni a los mecanismos para verificar
la precisión auditoría de seguridad. Nada puede
• Datos subjetivos sustituir a la evaluación de controles de seguridad.
• Una sana intuición Algunas de las razones para esta falta de la
evaluación de los controles de seguridad son:
Los datos subjetivos pueden levantar las cejas • El liderazgo no proporcionar expectativas claras
en señal de duda. Sin embargo, este ingrediente para la evaluación de los controles/fechas de las
considera la probabilidad y preguntas que pruebas
proporciona los datos, y que tan importante podría
ser la fuente de datos.
Paso 1
CLASIFIQUE
Sistema de Información
Paso 2
Paso 6 SELECCIONE
MONITOREE Controles de Seguridad
Iniciado
Controles de Seguridad Disponer
Marco Diseño
de Trabajo de
O&M Gestión de
Riesgos
NIST SP 800-37
Paso 4
EVALUAR
Controles de Seguridad
Fuente: National Institute of Standards and Technology, Guide for Applying the Risk Management Framework to Federal Information Systems, NIST Special
Publication 800-37, Revision 1, February 2010, figure 2-2. Reimpreso con permiso.
El plan de prueba incluye todos los controles • El número de sistemas de la empresa que tienen
para los que el sistema ha sido categorizado. El una autorización para operar
asesor de seguridad ejecuta el plan de prueba con • El número de sistemas de la empresa que tienen
el propietario de la red y registra los resultados. aceptación del riesgo
Los resultados de la etapa de NIST RMF 4, que
también se conoce como la fase de evaluación de la La confiabilidad de la medición de la eficacia de un
seguridad, incluyen: programa de gestión riesgo se basa en la garantía de
• Una lista de los controles de seguridad la ejecución de pruebas y ensayos de forma periódica,
y si existe un registro de los resultados de las pruebas.
• Un plan de prueba que abarca la totalidad de los
controles de seguridad En la comunidad de inteligencia de Estados Unidos,
• Un informe de la prueba (OK/No OK) muchos auditores y oficiales de cumplimiento, como
un curso normal de sus deberes, deben realizar una
• Las mitigaciones para cualquier control fallido auditoría anual del programa de riesgo y procesos de
la agencia, para validar la gestión y si el programa se
Estos resultados corresponden a un proceso ejecuta de acuerdo con las normas, para validar la
básico de evaluación seguridad y proporciona precisión de las mediciones que fueron reportados.
al administrador de riesgo la información que se Los auditores utilizan un equipo relativamente
requiere para hacer una toma de decisión. Dentro de pequeño, a veces un tercero para realizar la auditoría.
la comunidad de inteligencia de Estados Unidos, el El auditor revisa un subconjunto de los sistemas
administrador riesgo es designado por el director de de la agencia, porque la mayoría de las agencias
la agencia y es a menudo el Gerente de información tienen cientos de miles de sistemas. Algunos de
(Chief Information Officer—CIO), sub gerente de los subconjuntos son pequeños algo así como el
información, jefe de seguridad de la información 0,001 por ciento del número total de sistemas de
(CISO) o el director de gestión de riesgos; sin
embargo, las empresas pueden designar el ejecutivo
del riesgo de alguna una manera diferente.
Estos pasos sugieren que los ítems de Encargado Administrador del auditado—dueño de
asuntos
recomendaciones de auditoría tienen diferentes
estados a medida que fluyen por el ciclo de vida. La Consultado Administrador del riesgo, cumplimiento,
figura 2 resume los estados que una acción puede legal, etc.
tener a lo largo de su ciclo de vida. Informado Directorio, comité de auditoría, auditoría
externa
Estructuras Organizacionales Fuente: Ian Cooke. Reimpreso con permiso.
ética y comportamiento
Comunicación El propósito del proceso de Servicios, Infraestructura y Aplicaciones
seguimiento de auditoría debe ser Los servicios, infraestructura y aplicaciones incluyen
documentado y comunicado a todos la infraestructura, tecnología y aplicaciones que
los empleados, pero especialmente provee la empresa con servicios y procesamiento de
aquellos identificados en la figura 3.
tecnologías de información13.
Campeones Los empleados que están dispuestos
o son capaces de completar Desde una perspectiva de seguimiento de auditoría,
exitosamente el proceso de
seguimiento deben ser identificados. lo que realmente se requiere es una instalación
para almacenar los hallazgos de aseguramiento
Reforzamiento Puede existir la necesidad de un y producir reportes basados en los mismos. Esta
refuerzo. Por ejemplo, puede haber
una necesidad de una política puede ser una aplicación (por ejemplo, software de
de recursos humanos (RRHH) gestión de auditoría) o Microsoft Excel/Access. Las
estableciendo que cualquier aplicaciones de tipo flujo de trabajo también pueden
malinterpretación por los auditados ser útiles para solicitar o hacer seguimiento a las
resultará en acciones disciplinarias. recomendaciones.
Incentivos y La completitud de los ítems de
recompensas recomendaciones de auditoría Personas, Habilidades y Competencias
podrían formar parte de los esquemas
Las personas, habilidades y competencias son
de incentivos de los auditados.
requeridas para completar exitosamente todas las
Fuente: Ian Cooke. Reimpreso con permiso.
actividades y para tomar decisiones correctas y
tomar acciones correctivas14.
Figura 5—Registro de hallazgos de
aseguramiento Ítems de datos mínimos El auditor debe ser competente y contar con
Un número de referencia único las habilidades necesarias para confirmar la
La referencia del reporte implementación del ítem de auditoría. El auditor
debe saber o tener una idea por adelantado de qué
Una descripción del ítem/riesgo
será aceptable para confirmar la implementación.
Significancia—denota el nivel de riesgo percibido Esto puede variar dependiendo de la relevancia del
Una descripción de la solución/mitigación propuesta ítem. Un certificación de Auditor de Sistemas de
La fecha propuesta de implementación Información Certificado® (CISA®) y familiaridad con
Fuente: Ian Cooke. Reimpreso con permiso. ITAF también será beneficioso.
momento que se hacen las recomendaciones y las puede cambiar desde “destacado” a “parcialmente
acciones propuestas por la administración15 son implementado”, “completamente implementado” o, si
documentadas. La figura 7 documenta qué debe se verifica, “cerrado”.
ser capturado en esta etapa.
La significancia también puede cambiar. Esto puede
Procedimientos de Seguimiento ocurrir donde los sistemas de aplicaciones han
Una vez que las acciones propuestas son cambiado, los controles compensatorios han sido
acordadas, los procedimientos para las actividades implementados, o los objetivos o prioridades del
de seguimiento deben ser establecidos16. Esto debe negocio han cambiado de tal manera que eliminan
incluir: efectivamente o reducen significativamente el riesgo
original.
• Una evaluación de la respuesta de la
administración
Asumiendo el Riesgo o No Tomando Acciones
• Una verificación de la respuesta, si es apropiada Correctivas
La administración debe decidir aceptar el riesgo
• Trabajo de seguimiento, si es apropiado
de no corregir la condición reportada en base a
su costo, complejidad de la acción correctiva u
Al completarse las actividades de seguimiento, el
otras consideraciones17. En dichas circunstancias,
estado del ítem de recomendación de auditoría debe
la recomendación puede no llegar a acuerdo o
cambiar. Por ejemplo, el estado de recomendación
postergada para una fecha posterior.
Exec 6
Exec 2 Borrador
En Desacuerdo
Exec 1
Retrasado
CIO
Cerrado
CFO
0 5 10 15 20
Estos ejemplos indican puntos de dolor y son Beneficios del proceso mejorado de
buenos indicadores de retardo. Sin embargo, una seguimiento de auditoría
revisión cuidadosa de los temas ubicados revela
que también pueden ser considerados indicadores Capturando los estados de las recomendaciones
líderes. Por ejemplo, si una nueva aplicación va de auditoría en un registro de hallazgos de
a ser implementada en Irlanda, es muy probable aseguramiento significa que, de parte de las buenas
prácticas, un reporte del estado de acciones
25
20
360
15 270
90
10
0
5
0
Francia Alemania Irlanda Reino Unido USA
Fuente: Ian Cooke. Reimpreso con permiso.
5.1
10.1
10.2
12.4
9.2.2
14.1
12.1.2
14.1 17.1
10.2 12.1.2
5.1
9.1.2
a
ia
os ia
s
cia
ca
9.2.2
ido
nd
c
an
lgi
e
an
Irla
Su
Un
m
Bé
Fr
Ale
tad
Es
35
30
25
4
20
3
15
2
10
1 = mayor
5 4 = menor
0
AP009 AP012 AP013 BAI06 DSS04 DSS04 DSS05 EDM01
www.isaca.org/Journal-Jv6
• Predicción/estimación—Prediciendo tendencias
o crecimientos de nuevos negocios
Procesar y resolver
Nuevo Problema problemas usando
información cercana .
C C C C C
a a a e a
s s s r s
o o …… o r …… o
a
1 2 d N
o
La figura 4 ilustra el concepto de análisis de Se ha dicho que, “(ANN)s y sistemas (CBR) han
componentes principal: La exhibición de datos demostrado que ofrecen una mejor eficacia de
es una variación mucho mayor a lo largo del eje auditoría, una mejor calidad de auditoría y una
horizontal girado que a lo largo del eje vertical reducción del riesgo de auditoría de negocios
girado. Como resultado, comparativamente poca a un bajo costo para las firmas de contabilidad
información se pierde al ignorar el eje vertical girado, pública. Es el momento de estas herramientas sean
por lo tanto, la reducción de la complejidad del utilizadas por los auditores”25. A pesar de que cada
problema a una variable (el eje horizontal girado) en auditoría es diferente y tiene sus propios requisitos,
lugar de dos. es probable que muchas auditorías podrían
. beneficiarse de la aplicación del análisis de datos
simple y avanzado.
Figura 4—Análisis de componentes
principales
Estos recursos
son mejor
Eje Horizontal Girado
Get Members.
Get Rewarded.
REACH OUT AND HELP COLLEAGUES AND OTHER PROFESSIONALS BECOME
ISACA® MEMBERS. THEY GET THE BENEFITS OF ISACA MEMBERSHIP.
YOU GET REWARDED.
Recruit 2 – 3 new members and receive an attachable Recruit 8 – 9 new members and receive hi-tech,
tracking device. Easily locate your valuable items, includes smart luggage that you can control from your phone:
multiple customization options: a US $25 value. a US $375 value.
Recruit 4 – 5 new members and receive an indoor/outdoor Recruit 10 or more new members and receive a high-
home assistant that flies, 2.4 Ghz camera included. Flips quality gaming system with WiFi capabilities and built-in
upside down with 4.5 ch. 3D control and LED lights: a US Blu-ray player. Also includes a controller and 2 games:
$145 value. a US $550 value.
THE MORE MEMBERS YOU RECRUIT, THE MORE VALUABLE THE REWARD.
When ISACA grows, members benefit. More recruits mean more connections,
more opportunities to network—and now, more rewards you can use for work or fun!
* Rules and restrictions apply and can be found at www.isaca.org/rules. Please be sure to read and understand these rules. If your friends or colleagues do not reference
your ISACA member ID at the time they become ISACA members, you will not receive credit for recruiting them. Please remember to have them enter your ISACA
member ID on the application form at the time they sign up.
© 2016 ISACA. All Rights Reserved.
palabras cruzadas
puzzle by Myles Mellor
www.themecrosswords.com
ACROSS 1 2 3 4 5 6 7 8 9
10 11
1 Slang term for something undeniably important
and paralyzingly dull
3 Standards 12 13 14 15
8 Measure of printing resolution, for short
10 Incentive 16 17
12 Author of the 2001 book, “Code,” and founder
of Creative Commons 18 19 20 21 22
14 Important qualification for information security
professionals 23 24 25 26 27
16 That, in Spanish
17 Abbr. on a book’s spine 28
18 Criticize harshly
19 Hard-to-decide predicaments 29 30 31
23 Writer of “Runaround,” where he introduced the
Three Laws of Robotics, dealing with ethical 32
choices for automatons
25 Programmer’s stock-in-trade 33 34 35 36 37
26 See 7 down
28 Ethical 38 39 40 41
29 Novelist, __ Carre
30 Understand, in a way 42 43
31 Fight back against
32 Faultless 44 45
33 Skill
34 “The God of Small Things” novelist Arundhati
36 ____ and don’ts
38 Important qualification to be able to relate
46
security issues to risk
40 Apogee
41 Team on a national level that responds to cyber
security incidents
42 Add up
44 Never do today what you can do tomorrow 13 Rich layer
46 They should be included with any text in 15 “Could be better”
a manual 18 Slice of the ___
20 Domain naming system that the US
government has controlled for many years and
DOWN is giving up control in Oct 2016
21 Internet laughter letters
1 Easily influenced 22 Part of RAM
2 Technology critical to Uber 24 Picks a candidate
3 Canceled, as a mission, 2 words 27 Resist
4 Work earning extra pay, abbr. 30 Courage
5 Boundary 32 Excellent, slangily
6 Unit of potential 33 Symbol for atomic number 18
7 Idea or custom held to be above criticism, goes 34 Itis used in some security scans
with 26 across 35 Of England’s oldest university
8 Medical school graduate 37 Alternatively
9 Term originated by Ann Cavoukian relating 38 Maximum level
to taking into account privacy during the 39 Greek island where scenes from “For Your Eyes
engineering process, 3 words Only” were filmed
10 Inappropriate name 40 Balance-sheet “plus”
11 Family of syntax elements similar to a 43 It is hailed on the street
programming language, abbr. 45 Investors’ expectations
Answers on page 58
VERDADERO O FALSO
CPE
quiz
ARTICULO DE KHAN 10. Componentes adicionales de seguridad son
ejecutados para analizar la alerta detectada
1. Sesenta y un porciento de la población adulta en búsqueda de potenciales amenazas. Un
de los estados unidos, actualmente tiene un ejemplo de esto es la inspección profunda de
teléfono celular, y de ese porcentaje, el 31 por contenido (DCI).
ciento son teléfonos inteligentes.
ARTICULO WLOSINSKI Prepared by
2. Los segmentos básicos de riesgo pueden ser
divididos en cuatro categorías de seguridad Kamal Khan
para aplicaciones móviles, siendo estas: 11. Ejemplos de las capacidades de los malware CISA, CISSP,
dispositivos móviles, redes móviles, web servers incluyen escuchar llamadas telefónicas mientras
están en curso.
CITP, MBCS
de aplicaciones móviles y bases de datos para
aplicaciones móviles.
12. Un método de ingeniería social es conocido
3. Mediante la integración de dispositivos móviles como “Dishing” donde el atacante se
al entorno de trabajo, los empleados pueden enmascara como una entidad de confianza.
maximizar el servicio que ellos proveen a los
13. El cifrado es una exageración y no es requerido
clientes.
ya que las redes inalámbricas simplemente
4. Para prevenir la extracción maliciosa, es no pueden soportar la entrega de información
altamente recomendable que se utilice el sensitiva a individuos u organizaciones.
estándar de cifrado de datos (DES).
14. El factor de riesgo más común que aplica
al uso de dispositivos móviles incluye los
ARTICULO DE SOOD virus informáticos, gusanos u otros malware
específicos para dispositivos de computación
5. Utilizando ciencia de datos, es posible personal, y el robo de información sensitiva.
identificar y extraer información crítica usando
técnicas como la minería de datos, aprendizaje ARTICULO ZONGO
automático, estadísticas y procesamiento de Take the quiz online
lenguaje natural.
15. La autoridad Australiana Prudencial y
6. Las soluciones de seguridad tradicional Reguladora (APRA) levanto la preocupación
funcionan perfectamente con aplicaciones de que los reportes asociados a la nube,
en la nube, la protección que ofrecen en los emitidos por entidades reguladores se enfoca
sistemas en centros de computo tradicionales primariamente en los beneficios, mientras que
se trasladan de manera transparente a la nube. falla en proveer la adecuada visibilidad en los
riesgos asociados.
7. Una pregunta para hacernos es si acaso la
ciencia de datos puede ser utilizada como un 16. El efectivo manejo de riesgo en la nube,
mecanismo, entre otras cosas, para prevenir y requiere que los directores exijan la información
remediar exposición de datos. pertinente incluyendo la propuesta de valor de
la nube, esto es: seguridad de datos, leyes de
8. Las aplicaciones en la nube están siendo privacidad, ubicación de datos, resistencia a
utilizadas para actividades maliciosas fallos, y cumplimiento de regulaciones.
incluyendo almacenamiento y distribución de
malware y establecer canales para la extracción 17. Si bien los proveedores de soluciones en la
de datos. nube, continúan invirtiendo fuertemente en
capacidades de seguridad, la preocupación por
9. Correlación involucra catalogar grandes bloques la seguridad de los datos, y el cumplimiento
de datos dentro de contenedores específicos de de las regulaciones siguen siendo las barreras
análisis inteligente de seguridad para entender críticas para la adopción de la nube.
la completa envergadura de un ataque.
VERDADERO O FALSO
ARTICULO DE KHAN ARTICULO DE WLOSINSKI Nombre
PLEASE PRINT OR TYPE
1. 11.
2. 12.
3. 13. Dirección
4. 14.
6. 16.
Answers: Crossword by Myles Mellor
7. 17.
See page 56 for the puzzle.
8. 1 2 3 4 5 6 7 8 9
M E G O N O R M S D P I
10 11
9. 12
A P
13
M O T I V A T
14
O R
15
D
L E S S I G M C C I S M
16 17
10. L
18
E S O
19 20 21
R
22
V O L
E P A N D I L E M M A S
23 24 25 26 27
A S I M O V C O D E C O W
28
B E M O R A L M Y I
29 30 31
L E G E T N C O M B A T
32
E P U R E N R Y H
33 34 35 36 37
Please confirm with other designation-granting professional bodies for their CPE qualification acceptance criteria. A R T S R O Y D O S
38 39 40 41
Quizzes may be submitted for grading only by current Journal subscribers. An electronic version of the quiz is C R I S C A P E X C E R T
available at www.isaca.org/cpequiz; it is graded online and is available to all interested parties. If choosing to submit 42 43
A M O S T O T S A
using this print copy, please email, fax or mail your answers for grading. Return your answers and contact information 44 45
by email to info@isaca.org or by fax to +1.847.253.1443. If you prefer to mail your quiz, in the US, send your CPE P R O C R A S T I N A T I O N
Quiz along with a stamped, self-addressed envelope, to ISACA International Headquarters, 3701 Algonquin Rd.,
O F E N X G D
#1010, Rolling Meadows, IL 60008 USA. Outside the US, ISACA will pay the postage to return your graded quiz. You 46
need only to include an envelope with your address. You will be responsible for submitting your credit hours at year- I L L U S T R A T I O N S
end for CPE credits. A passing score of 75 percent will earn one hour of CISA, CRISC, CISM, CGEIT or CPE credit.
Get Noticed!
16
e 5, 20
Volum
Assess
Audit
the H
How to Your Organ
sura nce:
izatio
Value
Elemen
uman s Security
n’
G en
t and
erator
Risk
or Co
berthr
st Burd
eat
en?
Monito
ring
Journal
For more information, contact media@isaca.org
Cyberin for Cy
Ap proach are
grated Softw
An Inte pen-source
O
Using
.org
isaca
www.
supporters
leaders and
from policies and official
statements of ISACA and/or
the IT Governance Institute
and their committees, and
from opinions endorsed by
authors, employers or the
editors of the Journal. ISACA
Journal does not attest to the
originality of authors’ content.
Editor Manish Gupta, Ph.D., CISA, CISM, Jose Urbaez, CISA, CISM, CSXF, ITIL
CRISC, CISSP Ilija Vadjon, CISA
Jennifer Hajigeorgiou Mike Hansen, CISA, CFE Sadir Vanderloot Sr., CISA, CISM, CCNA,
© 2016 ISACA. All rights publication@isaca.org Jeffrey Hare, CISA, CPA, CIA CCSA, NCSA
reserved. Sherry G. Holland Anthony Wallis, CISA, CRISC, CBCP, CIA
Managing Editor Jocelyn Howard, CISA, CISMP, CISSP Kevin Wegryn, PMP, Security+, PFMP
Instructors are permitted to Francisco Igual, CISA, CGEIT, CISSP Tashi Williamson
Maurita Jasper
photocopy isolated articles for
Jennifer Inserro, CISA, CISSP Ellis Wong, CISA, CRISC, CFE, CISSP
Khawaja Faisal Javed, CISA, CRISC, CBCP,
noncommercial classroom use Contributing Editors ISMS LA ISACA Board of Directors
without fee. For other copying, Mohammed Khan, CISA, CRISC, CIPM
reprint or republication,
Sally Chan, CGEIT, CPA, CMA (2016–2017)
Ed Gelbstein, Ph.D. Farzan Kolini GIAC
permission must be obtained Kamal Khan, CISA, CISSP, CITP, MBCS Michael Krausz, ISO 27001 Chair
in writing from the association. Vasant Raval, DBA, CISA Abbas Kudrati, CISA, CISM, CGEIT, CEH, Christos Dimitriadis, Ph.D., CISA,
Where necessary, permission Steven J. Ross, CISA, CBCP, CISSP CHFI, EDRP, ISMS CISM, CRISC, ISO 20000 LA
is granted by the copyright Smita Totade, Ph.D., CISA, CISM, CGEIT, Shruti Kulkarni, CISA, CRISC, CCSK, ITIL Vice-chair
owners for those registered CRISC Bhanu Kumar Theresa Grafenstine, CISA, CRISC, CGEIT,
with the Copyright Clearance
Hiu Sing (Vincent) Lam, CISA, CPIT(BA), CGAP, CGMA, CIA, CPA
Center (CCC) (www.copyright. Advertising ITIL, PMP
Director
Edward A. Lane, CISA, CCP, PMP
com), 27 Congress St., Salem, media@isaca.org Romulo Lomparte, CISA, CISM, CGEIT, Zubin Chagpar, CISA, CISM, PMP
MA 01970, to photocopy CRISC, CRMA, ISO 27002, IRCA Director
articles owned by ISACA, Media Relations Juan Macias, CISA, CRISC Rob Clyde, CISM
for a flat fee of US $2.50 per Larry Marks, CISA, CGEIT, CRISC Director and Chief Executive Officer
news@isaca.org
article plus 25¢ per page. Norman Marks Matthew S. Loeb, CGEIT, CAE
Send payment to the CCC Tamer Marzouk, CISA
Reviewers Krysten McCabe, CISA Director
stating the ISSN (1944-1967),
Matt Altman, CISA, CISM, CGEIT, CRISC Brian McLaughlin, CISA, CISM, CRISC, Leonard Ong, CISA, CRISC, CISM, CGEIT,
date, volume, and first and COBIT 5 Implementer and Assessor,
Sanjiv Agarwala, CISA, CISM, CGEIT, CIA, CISSP, CPA
last page number of each CFE, CFP, CGFA, CIPM, CIPT, CISSP
CISSP, ITIL, MBCI Brian McSweeney
article. Copying for other Irina Medvinskaya, CISM, FINRA, Series 99 ISSMP-ISSAA, CITBCM, CPP, CSSLP,
Vikrant Arora, CISM, CISSP
than personal use or internal David Earl Mills, CISA, CGEIT, CRISC, GCIA, GCIH, GSNA, PMP
Cheolin Bae, CISA, CCIE
reference, or of articles or Sunil Bakshi, CISA, CISM, CGEIT, CRISC, MCSE Director
columns not owned by the ABCI, AMIIB, BS 25999 LI, CEH, Robert Moeller, CISA, CISSP, CPA, CSQE Andre Pitkowski, CRISC, CGEIT,
association without express CISSP, ISO 27001 LA, MCA, PMP David Moffatt, CISA, PCI-P COBIT 5 Foundation, CRMA, ISO
permission of the association Brian Barnier, CGEIT, CRISC Ramu Muthiah, CISM, CRVPM, GSLC, 27kLA, ISO 31kLA
or the copyright owner is Pascal A. Bizarro, CISA ITIL, PMP
Ezekiel Demetrio J. Navarro, CPA Director
expressly prohibited. Jerome Capirossi, CISA R.V. Raghu, CISA, CRISC
Joyce Chua, CISA, CISM, PMP, ITILv3 Jonathan Neel, CISA
Ashwin K. Chaudary, CISA, CISM, CGEIT, Anas Olateju Oyewole, CISA, CISM, CRISC, Director
ISSN 1944-1967 CISSP, CSOE, ITIL Edward Schwartz, CISA, CISM, CAP,
CRISC
Burhan Cimen, CISA, COBIT Foundation, David Paula, CISA, CRISC, CISSP, PMP CISSP, ISSEP, NSA-IAM, PMP, SSCP
ISO 27001 LA, ITIL, PRINCE2 Pak Lok Poon, Ph.D., CISA, CSQA, MIEEE Director
Ian Cooke, CISA, CGEIT, CRISC, COBIT John Pouey, CISA, CISM, CRISC, CIA Jeff Spivey, CRISC
Foundation, CFE, CPTS, DipFM, ITIL Steve Primost, CISM
Foundation, Six Sigma Green Belt Parvathi Ramesh, CISA, CA Director
Ken Doughty, CISA, CRISC, CBCP Antonio Ramos Garcia, CISA, CISM, CRISC, Jo Stewart-Rattray, CISA, CRISC,
Nikesh L. Dubey, CISA, CISM, CDPP, ITIL CISM, CGEIT
CRISC, CISSP Michael Ratemo, CISA, CRISC, CISM, Director
Ross Dworman, CISM, GSLC CSXF, ACDA, CIA, CISSP, CRMA Tichaona Zororo, CISA, CRISC, CISM,
Robert Findlay Ron Roy, CISA, CRP CGEIT, COBIT Assessor and Trainer,
Subscription Rates: John Flowers Louisa Saunier, CISSP, PMP, Six Sigma CIA, CRMA
Jack Freund, CISA, CISM, CRISC, Green Belt
Daniel Schindler, CISA, CIA Past Chair
US: CIPP, CISSP, PMP Robert E Stroud, CRISC, CGEIT
Sailesh Gadia, CISA Nrupak D. Shah, CISM, CCSK, CEH,
one year (6 issues) $75.00
Amgad Gamal, CISA, COBIT Foundation, ECSA ITIL Past Chair
CEH, CHFI, CISSP, ECSA, ISO 2000 Shaharyak Shaikh Tony Hayes, CGEIT, AFCHSE, CHE, FACS,
All international orders: Sandeep Sharma FCPA, FIIA
LA/LP, ISO 27000 LA, MCDBA, MCITP,
one year (6 issues) $90.00. Catherine Stevens, ITIL
MCP, MCSE, MCT, PRINCE2 Past Chair
Robin Generous, CISA, CPA Johannes Tekle, CISA, CFSA, CIA Greg Grocholski, CISA
Remittance must be made Anuj Goel, Ph.D., CISA, CGEIT, Robert W. Theriot Jr., CISA, CRISC
in US funds. CRISC, CISSP Nancy Thompson, CISA, CISM,
Tushar Gokhale, CISA, CISM, CISSP, CGEIT, PMP
ISO 27001 LA Smita Totade, Ph.D., CISA, CISM,
Tanja Grivicic CGEIT, CRISC