Journal

Learn the essentials of managing
compliance & ethics programmes
INTERNATIONAL
PLAN NOW TO
BASIC COMPLIANCE TAKE THE CCEP-I
®
& ETHICS ACADEMIES

CERTIFICATION
EXAM AFTER YOU
FROM THE SOCIETY OF CORPORATE COMPLIANCE & ETHICS ®
COMPLETE THIS
INTENSIVE TRAINING
28 NOV – 1 DEC | MADRID, SPAIN

GET CERTIFIED
ENROLL NOW
9,100+
COMPLIANCE
PROFESSIONALS
HOLD A COMPLIANCE
CERTIFICATION BOARD
(CCB) CREDENTIAL
®
CLE APPROVED
REGISTER EARLY TO RESERVE YOUR PLACE

LIMITED TO 75 FOR EACH ACADEMY
SCCE Academies. Training more than 3,600

compliance and ethics professionals around the world.
www.corporatecompliance.org/academies
Questions: lizza.catalano@corporatecompliance.org
Journal
The ISACA® Journal
tiene por objeto mejorar el
nivel de competencia y la
ventaja competitiva de sus
lectores internacionales,
proporcionando orientación
técnica y de gestión de autores
experimentados globales. Los
4 33
Materias seguridad de la Información: El G7 Entregando cumplimiento con protección de artículos son revisados por
y la ciber seguridad datos personales en una escala global
Steven J. Ross, CISA, CISSP, MBCP Ilya Kabanov, Ph.D. pares y se centran en temas
(Disponible également en français) críticos para los profesionales
7
Auditoría básica de SI: El desafío de las 39 que intervienen en auditoría
habilidades blandas, Parte 6 Mejorando el proceso de seguimiento de
Ed Gelbstein, Ph.D., and Stefano Baldi Auditoría usando COBIT 5 de TI, gobierno, seguridad y
Ian Cooke, CISA, CRISC, CGEIT, COBIT Foundation,
12 CFE, CPTS, DipFM, ITIL Foundation, Six Sigma cumplimiento.
La red Green Belt
Marcus Chambers, CISM, CGEIT, CEng
47
14 Análisis avanzado de datos para auditores de TI
Etica de la información: Etica de la información a Spiros Alexiou, Ph.D., CISA
mediados del siglo 21
Vasant Raval, DBA, CISA, ACMA
MAS
ARTICULOS 56
Palabras cruzadas
21 Myles Mellor
Medición del desempeño métrica para el
gobierno de TI 57
Sunil Bakshi, CISA, CRISC, CISM, CGEIT, ABCI, CPE prueba
AMIIB, BS 25999 LI, CEH, CISSP, ISO 27001 LA, Prepared by Kamal Khan CISA, CISSP, CITP, MBCS
MCA, PMP
(Disponible également en français) 59
Estándares, guías, herramientas y técnicas
29
La evaluación de los controles de seguridad S1-S4
Lance Dubsky, CISM, CISSP ISACA Bookstore Supplement Lea más acerca
de los autores del
Journal...
Los blogs de los escritores

del Journal estan en
www.isaca.org/journal/
Reconocimiento por
Traducción
blog. Visita el blog de
ISACA Journal, en términos
prácticos, para adquirir
conocimientos prácticos de
ISACA le agradece al Capítulo de Chile por la traducción y la donación de la traducción de este volumen del
colegas y participar en la
ISACA Journal. comunidad cada vez mayor
de ISACA.
Sr. Julian Rodrigo Davis Toledo, CISA, CISM Sr. Jorge Serrano Rodríguez, CISA, CGEIT,
Mr. Jesús Soto Valbuena, CISA CRISC
Sr. Leonardo Vinett Herquiñigo, CISA Mr. Maximiliano Rojas Hinrichsen, CISM
Mr. Pablo Idiaquez Ríos Sr. Sergio Molanphy , CISM, CRISC
Sr. Fernando Méndez Erazo, CISA Sr. Pablo Caneo Gutiérrez, CISA, CGEIT, CRISC
3701 Algonquin Road,

Suite 1010
Rolling Meadows, Illinois
60008 USA
Discuss topics in the ISACA® Knowledge Center: www.isaca.org/knowledgecenter
Telephone +1.847.253.1545
FPO
Follow ISACA on Twitter: http://twitter.com/isacanews; Hashtag: #ISACA
Follow ISACA on LinkedIn: www.linkedin.com/company/isaca Fax +1.847.253.1443
Like ISACA on Facebook: www.facebook.com/ISACAHQ
www.isaca.org
THERE’S
THERE’SNO
NOSHORTAGE
SHORTAGEOF
OF
CYBER
CYBER SECURITY
SECURITY THREATS
THREATS
BUT THEREISISAASHORTAGE
BUTTHERE SHORTAGEOF
OFITITSECURITY
SECURITYPROFESSIONALS
PROFESSIONALS
DO YOU HAVE WHAT IT TAKES TO BE PART OF THE SOLUTION?
Get up-to-date security skills with Capella University’s

Master’s in Information Assurance and Security (MS-IAS).
Specializations include Digital Forensics, Network Defense, and Health Care Security.
Along the way to your MS-IAS, earn up to 3 NSA focus area digital badges showcasing your
mastery of skills in specific cybersecurity areas.
Plus, the knowledge you gained for your CISSP®, CEH®, or CNDA® certifications can help you
earn credit toward your MS-IAS, saving you time and money.
ANSWER THE CALL. START TODAY. CAPELLA.EDU/ISACA OR 1.866.933.5836
See graduation rates, median student debt, and other information at www.capellaresults.com/outcomes.asp.
ACCREDITATION: Capella University is accredited by the Higher Learning Commission.

HIGHER LEARNING COMMISSION: https://www.hlcommission.org, 800.621.7440
CAPELLA UNIVERSITY: Capella Tower, 225 South Sixth Street, Ninth Floor, Minneapolis MN
55402, 1.888.CAPELLA (227.3552)
©Copyright 2016. Capella University. 16-8594

Información
seguridad
materia El G7 y la Ciberseguridad
Me enteré por primera vez del término MEGO en es esencialmente una declaración de principios
una columna del gran erudito conservador, William y contiene la siguiente declaración: “Nosotros
Safire1. En su Diccionario Político, Safire2 define este apoyamos firmemente un ciberespacio accesible,
término como un acrónimo de la frase “mis ojos se abierto, interoperable, seguro y confiable, como un
ponen vidriosos (My Eyes Glaze Over)” y como “algo aspectos esencial para el crecimiento económico y
¿Tienes algo que que, sin duda, es importante pero paralizantemente la prosperidad”. Al igual que muchos lectores de esta
comentar sobre aburrido”3. Hay pocos temas tan MEGO como las revista, he pasado toda mi carrera profesional tratando
este artículo? reuniones del G7, las cuales son las reuniones de de construir sistemas de información accesibles,
Visita las páginas del los líderes de las democracias industrializadas del abiertos, interoperables, confiables y seguros, así
Journal en el sitio web mundo. Sabes que ellas ocurren; sabes que son que encontré particularmente gratificante este
de ISACA (ww.isaca. importantes. Pero, ¿puedes nombrar a los siete reconocimiento de parte de los líderes mundiales.
org/journal), encuentra países que componen el G74, y peor aún, acordarte
el artículo y da click de los nombres de sus líderes?, ¿Tienes alguna idea El hecho de que este tema se tratara en la agenda del
en el link Comments de lo que hablan o hacen? G76, es el reconocimiento de que el ciberespacio no
para compartir tus es seguro; es lo suficientemente inseguro como para
pensamientos. Con esta provocativa introducción, tus ojos que los intereses individuales y colectivos de estos
probablemente comenzaron también a nublarse y ya países estén en peligro. Para poner esto en contexto,
tienes la mano en la esquina de la página, a punto de los otros temas que se abordaron en el mismo
cambiarla. Por favor, permanece un rato más por una comunicado son: la economía mundial, la migración y
de las MEGO del G7 que deberías conocer. En mayo los refugiados, el comercio, la infraestructura, la salud,
de 2016, los líderes del G7 se reunieron en la ciudad las mujeres, la lucha contra la corrupción, el clima y la
de Ise-Shima, Japón, y elaboraron un documento energía. La ciberseguridad, como una preocupación
que tiene un significado real para todos nosotros a global, ha alcanzado un nivel realmente alto.
los que nos preocupa la seguridad cibernética.
El comportamiento del estado
La declaración de los líderes del G7
de Ise-Shima La sección ampliada del comunicado7 profundiza
sobre este tema y contiene la siguiente frase:
El comunicado oficial de la reunión5 contiene un
párrafo introductorio bajo el título de Cyber. Esta “Nos comprometemos a promover un
marco estratégico para la estabilidad
cibernética internacional, el cual consiste
en la aplicabilidad del derecho internacional
existente para establecer el comportamiento
en el ciberespacio, la promoción de normas
voluntarias de un comportamiento estatal
responsable en tiempos de paz, y el desarrollo
y la implementación de medidas prácticas de
fomento de la confianza cibernética entre los
estados”8.
He destacado con letra cursiva la frase de la cita

anterior porque ésta tiene una carga significativa.
Esta clama por la promoción de “normas”, las
cuales yo entiendo significan estándares. Me había
quejado previamente de la falta de normas para la
ciberseguridad9, de manera que encontré esta llamada
muy alentadora. Estas normas serán necesariamente
“voluntarias” porque no existe ningún organismo
Steven J. Ross, CISA, CISSP, MBCP internacional que las fuerce a cumplir. Pero, como en
Es director ejecutivo de Risk Masters International LLC. Desde el año otras declaraciones supranacionales (por ejemplo,
1998 Ross ha estado escribiendo en una de las columnas más populares las directivas de la Unión Europea), está implícito que
de esta revista. Ross puede ser contactado en la dirección
estas normas deben ser incorporadas en las leyes y
stross@riskmastersintl.com. reglamentos de las naciones que han suscrito este
4 ISACA JOURNAL VOL 6

compromiso. La referencia a “un comportamiento • Promoción y protección de los derechos humanos
estatal responsable” implica que aquellos países y los principios de la norma jurídica en línea
que están comprometidos con desarrollar ataques
cibernéticos de estado a estado, están actuando Sin embargo, hay algunas pocas afirmaciones
de manera irresponsable. El calificativo “en tiempos que podrían tener un impacto real si realmente los
de paz” no dice nada en cuanto a que los ataques países del G7 se adhieren a ellas. La principal de
cibernéticos sean acciones legítimas en tiempo de ellas es la afirmación de que “las ciber actividades
guerra. podrían llevarnos al uso de la fuerza o a un ataque
armado, considerando el significado de la Carta de
Los líderes del G7 se limitaron a las acciones de las Naciones Unidas y las leyes internacionales”.
los estados, a pesar de que son también parte los Hasta ahora, no ha habido incidentes en los
“actores no estatales, incluyendo los terroristas”. cuales ataques cibernéticos hayan conducido a
Es difícil imaginar que ISIS o Al Qaeda se vayan enfrentamientos, aunque es evidente que tales
a impresionar por una declaración de los líderes ataques ya han sido utilizados como parte de una
responsables de las naciones industrializadas del guerra ya en marcha, específicamente la guerra entre
mundo. Tal vez, y más bien importante, la inclusión Rusia y Georgia en el año 200812. El ex Secretario de
de estos actores no estatales es una declaración Defensa estadounidense, Leon Panetta, ha advertido
de facto de la ciberguerra a los grupos e individuos la posibilidad de un “Ciber Pearl Harbor”.13 La
terroristas. Para mí esto estaría bien, ya que los aceptación de esta preocupación por las otras seis
terroristas han declarado claramente una guerra naciones como un “casus belli” (acto de guerra) es, en
cibernética en el mundo. mi entender, una condición necesaria, pero más bien
alarmante, solo un paso.
Más abierto a la interpretación es el efecto de este
Los principios contienen una declaración tan
acuerdo en las naciones que no fueron invitadas a
específica que su inclusión entre las otras
la reunión. Una investigación reciente10, tan reciente
declaraciones con menor sentido nos viene como
como el año 2011, indica que ninguno de los países
un pequeño golpe: “También damos la bienvenida a
del G7, a excepción de los Estados Unidos, ha
enfoques proactivos tales como –Privacidad desde
sido vista haber perpetrado ataques cibernéticos
el Diseño-, que toma en cuenta la privacidad y la
de estado a estado. No está claro, al menos para
protección de los datos personales durante todo el
mí, si la declaración del G7 es un reproche directo
proceso de ingeniería”. El término “Privacidad desde
a los países que se dedican a desarrollar ataques
el Diseño” se originó en la década de 1990 por parte
cibernéticos o, bien, es la aceptación de que al
de Ann Cavoukian, quien había sido la Comisionada
menos uno de los países del G7 ya se está llevando
de Ontario para la Información y su Privacidad14.
a cabo ataques contra otros estados que considera
Desde entonces, se ha convertido en un estándar
como adversario. global de privacidad, ampliamente aceptado, que
. ciertamente se reafirma con la mención por parte
Principios del G7 y acciones sobre del G7.
el ciberespacio
Los siete líderes nacionales comprometieron a
Acompañando al comunicado y referenciado en sus países a la cooperación entre los equipos
él, existe un anexo titulado “Principios del G7 y nacionales de respuesta ante incidentes de
acciones sobre el ciberespacio”11. Se trata de seguridad informática. (Bueno, en realidad ellos no
un documento breve, de apenas tres páginas están comprometidos. Ellos prometieron hacer el
punteadas con viñetas que, en su mayor parte, es “esfuerzo”). Estos equipos, más conocido como
una enumeración de objetivos de alto nivel, con CERT nacionales, tales como CERT-FR, US-CERT
poca o ninguna mención de cómo éstos podrían ser y el CERT en el Reino Unido, son repositorios
logrados. Estos principios incluyen: de información sobre los ataques cibernéticos
• Acceso justo e igualitario al ciberespacio y son proveedores de ayuda en sus respectivas
naciones para aquellas personas que hayan sido
• Respeto y promoción de la privacidad, la atacadas. La cooperación internacional para la
protección de datos y la ciberseguridad seguridad cibernética no es nueva, pero lo nuevo
es el reconocimiento de la necesidad de que las
• Un enfoque de múltiples partes interesadas para el
naciones trabajen juntas para combatir los ataques
gobierno de la Internet
ISACA JOURNAL VOL 6 5

cibernéticos, todo ello liderado por sus jefaturas de 5 G7 2016 Ise-Shima Summit, “G7 Ise-Shima
gobierno. Desde el momento que no hay una sola Leaders’ Declaration,” 26-27 May 2016,
¿Disfrutto este empresa que pueda resolver por sí sola el problema www.mofa.go.jp/files/000160266.pdf
artículo?? de la seguridad informática (lo que sea que 6 Full disclosure: My colleague at Risk Masters
signifique “resolver” en este contexto), el G7 está International, Allan Cytryn, is also an executive
• Aprenda más acerca, diciendo que tampoco ningún país puede hacerlo board member of the Boston Global Forum,
discute y colabora con por sí solo. which contributed to the agenda for the
la gestión de seguridad Cyber portion of the Ise-Shima meeting,
de la información Los pronunciamientos del G7 sobre ciberseguridad http://bostonglobalforum.org/2016/05/the-bgf-
en el Centro de no han sido ampliamente difundidos, tal vez porque g7-summit-initiative-ise-shima-norms/.
Conocimiento. también muchos editores tienen los ojos vidriosos. 7 Op cit, G7 2016 Ise-Shima Summit
www.isaca.org/ Estos pronunciamientos no son un tratado; no 8 Ibid.
Information-Security- tienen fuerza de ley; y también muy pocos países 9 Ross, S.; “Frameworkers of the World, Unite,
Management estuvieron de acuerdo con ellos. Pero estos Part 2,” ISACA® Journal, vol. 3, 2015, www.
pronunciamientos constituyen una importante isaca.org/Journal/archives/Pages/default.aspx
afirmación que el tema de la ciberseguridad ha 10 Valeriano, B.; R. C. Maness; “The Dynamics
alcanzado un nivel de preocupación tal que los of Cyber Conflict Between Rival Antagonists,
presidentes y primeros ministros deban abordarlo. 2001–11,” Journal of Peace Research, vol. 51,
Nosotros, los profesionales de la seguridad iss. 3, 2014, p. 347-360
que estamos haciendo el trabajo de construir 11 G7 2016 Ise-Shima Summit, “G7 Principles and
protecciones adecuadas contra los ataques Actions on Cyber,” 26-27 May 2016
cibernéticos, podemos tener algún consuelo al 12 Markoff, J.; “Before the Gunfire, Cyberattacks,”
saber que nuestros esfuerzos no van a quedar sin The New York Times, 12 August 2008,
reconocimiento por parte de los líderes del mundo. www.nytimes.com/2008/08/13/
. technology/13cyber.html
Notas finales 13 Department of Defense, “Remarks by
Secretary Panetta on Cybersecurity to the
1 Safire, W.; “MEGO,” The New York Times, Business Executives for National Security,
6 September 1973, www.nytimes. New York City,” USA, 11 October 2012,
com/1973/09/06/archives/mego-essay.html?_r=0 http://archive.defense.gov/transcripts/transcript.
2 Safire, W.; Safire’s Political Dictionary, Oxford aspx?transcriptid=5136
University Press, UK, 2008 14 Cavoukian, A.; “Privacy by Design: The
3 Ibid., p. 423 7 Foundational Principles,” Information and
4 Canada, France, Germany, Italy, Japan, the Privacy Commissioner of Ontario, August 2009
United States and the United Kingdom (revised in January 2011), https://www.ipc.on.ca/
images/Resources/7foundationalprinciples.pdf
NOW AVAILABLE MONTHLY!
COBIT Focus
News and Case Studies About COBIT 5
More timely content, delivered more frequently.

COBIT Focus provides practical-use articles, case studies, best practices and news—
and now you can connect and share knowledge with the COBIT community by having this
ISACA newsletter delivered to your email inbox every month.
Subscribe for free at www.isaca.org/info/cobit-focus/index.html

IS auditoría
basica El desafío de las habilidades blandas,
Parte 6
Barreras del aprendizaje para aprender
En columnas anteriores he examinado en cómo El punto es hacer la búsqueda y comenzar a tomar

facilitar el proceso de aprendizaje para aprender, medidas ahora. ¿Tienes algo
cubriendo la adquisición de conocimientos, la que comentar
taxonomía del conocimiento y herramientas tales El cerebro perezoso sobre este
como el mapeo mental y la desconstrucción de artículo?
documentos. Mientras que el cerebro representa, en promedio, Visita las páginas del
sólo el 2 por ciento del peso corporal, consume el 80 Journal en el sitio web
Si bien es cierto el aprendizaje continuo es esencial, por ciento de energía de una persona normal y está de ISACA (ww.isaca.
existen muchas barreras para lograrlo. En esta increíblemente ocupado controlando todo lo que una org/journal), encuentra
columna se exploran las barreras más comunes y, de persona hace, siente, dice y piensa. el artículo y da click
ser posible, se proporcionan consejos y sugerencias en el link Comments
La naturaleza ha tomado medidas para esto, forzando para compartir tus
para superarlas.
al cerebro a descansar de varias formas, las que pensamientos
Postergación incluyen al sueño, dormir y la construcción de rutinas.

Las rutinas son como una vía de ferrocarril que hace
Natural, casi instintiva, la postergación es la filosofía que el cerebro siga caminos bien definidos, creados
de “No hagas hoy lo que puedes hacer mañana”. a lo largo de los años, para reducir su carga de
La definición de “mañana” varía en muchas culturas trabajo, proceso que se conoce como “competencia
y lugares. Puede que no signifique el día después inconsciente”.
de hoy, sino más bien en un tiempo futuro no
especificado. El proceso de aprendizaje empuja al cerebro hacia
caminos conocidos, irregulares y que no se repiten,
Independiente de los detalles, la postergación es pasando por este nuevo camino muchas veces,
un enemigo poderoso del progreso y del éxito. Se reforzándolo hasta el punto en que se convierta en
necesita disciplina considerable para superar la útil y lo retenga largo tiempo en la memoria. Esto
tentación de evitar hacer ahora lo que ahora necesita representa una progresión de la incompetencia
ser hecho. Una búsqueda rápida en Internet sobre inconsciente (donde el alumno no sabe lo que él/ella
“técnicas para evitar la postergación” revelará que no sabe) a la incompetencia consciente (una etapa en
existen muchas fuentes o tácticas que pueden la que el nuevo conocimiento todavía no se ha logrado
ayudar a superar la tentación de posponer las cosas. completamente).
Ed Gelbstein, Ph.D., 1940-2015 Stefano Baldi

Trabajó en SI/TI, tanto en el sector público como Es un diplomático de carrera italiano y uno de
en el privado, en varios países por más de 50 años. los pioneros en la adopción de los sistemas de
Gelbstein hizo desarrollo analógico y digital en información y comunicaciones, además de un
la década de 1960, incorporando computadores impulsor del uso extensivo del aprendizaje en línea.
digitales en el sistema de control para procesos Baldi es director de entrenamiento en el Ministerio
continuos a finales de los años 60 y principios de de Asuntos Exteriores de Italia. Sus puestos
los 70, y administró proyectos de gran tamaño diplomáticos han incluido servir como representante
y complejidad hasta principios de 1990. En los permanente de Italia en la ONU en Ginebra, Suiza,
años 90, se convirtió en un ejecutivo de los pre- y, posteriormente, en la ciudad de Nueva York,
privatizados ferrocarriles británicos y luego fue Nueva York, EE.UU., y en la Unión Europea en
proveedor global de comunicaciones informáticas Bruselas, Bélgica. Baldi es autor y coautor de varios
y de datos en las Naciones Unidas. Después de libros sobre temas relacionados con la diplomacia
su (semi) retiro de la ONU, se unió al equipo de y ha realizado cursos para diplomáticos de todo
auditores del Consejo de Auditores de las Naciones el mundo sobre temas tales como la gestión de la
Unidas y a la Oficina de Auditoría Nacional Francesa. información y la seguridad de la información.
Gracias a su espíritu generoso y su escritura
prolífica, su columna continuará siendo publicada en
el diario póstumo de ISACA.
Si la progresión no continúa más allá de la La dificultad en hacerse el tiempo
incompetencia consciente, el aprendizaje será para concentrarse y pensar
olvidado rápidamente (por ejemplo, un idioma
extranjero aprendido hace muchos años y muy Tal vez uno de los desafíos predominantes en
poco retenido hoy día). La memoria a corto plazo es muchas sociedades, es la presión incesante que
rápidamente borrada (por ejemplo, la experiencia existe en el lugar de trabajo debido a que se tiene
común de buscar las llaves del auto o la de tus lentes que asistir a reuniones, gestionar una variedad
utilizados solo unos momentos antes). de asuntos administrativos, estar ubicable 24/7,
responder inmediatamente el correo electrónico
Incluso si se ha alcanzado una competencia y atender mini-crisis. Esto crea un ambiente de
consciente, si no se mantiene con la práctica continua urgencia artificial.
se degradará debido a que la memoria a largo plazo
se sobrescribe con otros temas. El conocimiento Para aquellos que deseen aprender desde su casa,
común sugiere que montar una bicicleta es una los retos son igualmente exigentes: el calendario
habilidad que, una vez aprendida, nunca se olvida; doméstico de eventos (cenas, visitas, actividades
la sabiduría común sugeriría no poner esto a prueba domésticas) y, lo más importante, las necesidades
cuando haya mucho tráfico. humanas de contacto y apoyo de los demás
miembros de la familia.
Para obtener más información sobre los mecanismos
del cerebro, un buen comienzo es leer el libro Las Sin embargo, el aprendizaje se vuelve imposible si
Reglas del Cerebro1. Edward de Bono y Tony Buzan no nos hacemos el tiempo para estudiar y pensar
son otros dos autores que han hecho valiosas (el encontrar el tiempo es poco probable).
contribuciones a los procesos del pensamiento y el
aprendizaje. Puede ser gratificante descubrir más Una de las organizaciones con las cuales los autores
sobre su trabajo. Después de todo, el cerebro humano han colaborado, proporciona entrenamiento en línea
no viene con un manual de usuario, por lo que no a diplomáticos con trabajo de tiempo completo. Los
siempre es obvio cómo hacer un mejor uso de sus módulos de estudio están diseñados para ofrecer
capacidades. contenido atractivo de una manera concisa que
permite su realización en un tiempo relativamente
Equilibrio vida/trabajo corto. A los estudiantes del curso se les ha
distribuido cientos de copias de las tarjetas, como
Para estar comprometidos en el trabajo de uno es vital la que se muestra en la figura 1, que son también
la satisfacción en el trabajo, el sentido de creación de consejos para conversar y acordar sobre sus
valor y de ser reconocido. Fuera del trabajo, cada uno necesidades de tiempo con sus jefes y sus familias.
de nosotros tiene un conjunto diferente de valores,
aspiraciones, compromisos y relaciones. La calidad Figura 1—Tiempo para estudiar ayuda
de vida mejora cuando todos estos factores están
equilibrados.
El aprendizaje de una nueva materia rompe este

equilibrio y requiere compromiso que, si se deja
sin atender, pueden convertirse en estrés aun
cuando este tipo de aprendizaje es esencial para la
sobrevivencia profesional.
Es más probable que el proceso de aprendizaje

tenga éxito cuando el individuo está organizado y
motivado y mantiene un estilo de vida saludable que
incluye horas de descanso de calidad y ejercicio
físico. Los antiguos romanos abogaban por un mens Fuente: DiploFoundation. Reimpresa con permiso.
in corpore sano (mente sana en un cuerpo sano). En
estos tiempos los neurólogos y psicólogos coinciden
plenamente.

Distracciones e interrupciones aprendizaje mencionadas anteriormente, o ni
La mayoría de las personas están diariamente

siquiera consideran el apoyo para asistir a clases ¿Disfrutto este
nocturnas, conferencias o reuniones de una artículo??
llenas de solicitudes (“¿Cuándo llegarás a casa?”, asociación, por ejemplo, las reuniones locales
“¿Tienes un minuto?”). Estas solicitudes, aunque de los capítulos de ISACA. No siempre es ideal
sean legítimas y justificadas, interfieren con el • Aprenda más acerca,
intentar estudiar en la casa, a menos que exista una
estado de flujo mental que requiere el aprendizaje. discute y colabora
habitación donde el estudiante pueda esconderse
En ocasiones es fácil preguntar si la solicitud puede con la gestión
durante algunas horas sin el riesgo de tener que
esperar hasta más tarde, a veces no. A veces es útil del aprendizaje
aislarse del resto de la familia.
un cartel de “no molestar”. En última instancia, les en el Centro de
corresponde a las personas proteger su tiempo de Conocimiento.
La calidad del material didáctico www.isaca.org/topic-
aprendizaje de interrupciones, lo que requiere contar
con buenas habilidades en el arte de decir “no”. Una El material didáctico ideal debe ser conciso, career-management
búsqueda en Internet apuntará a muchas fuentes contener material “justo a tiempo” en lugar de “por
relacionadas con esta habilidad. si acaso”, contar con un amplio uso de ilustraciones,
estar estructurado en módulos manejables e incluir
Crear un nivel adecuado de aislamiento y pruebas para validar hasta qué grado el lector ha
concentración mientras se aprende, puede comprendido el módulo.
requerirle al alumno ejercer fuerza de voluntad para
desconectarse y evitar todo tipo de dispositivos Desafortunadamente no siempre este es el caso,
(por ejemplo, teléfonos inteligentes, tablets, correo como por algunos materiales que están diseñados
electrónico). Desafortunadamente, muchos parecen para presentar unas 500 páginas o una guía muy
incapaces de hacerlo. Es bastante común que esta completa de un tema. El contenido del material
incapacidad tenga un nombre (o dos): miedo de podría ser brillante, pero pasar por él resultaría
llevar la misión a cabo (FOMO—Fear of Mission Out) similar a tener que leer un diccionario como si se
e incapacidad de desconectarse (ITSO—Inability to tratara de una novela. Mientras que los mapas
Swich Off). mentales y la deconstrucción del documento
pueden ayudar a cambiar el formato del material
Poco o nulo apoyo en el trabajo o en en partes más digeribles, el proceso de aprendizaje
el hogar está en desventaja cuando los autores del material
no están familiarizados con el cómo construir un
Existen muchas combinaciones de factores que material didáctico.
apoyan o dificultan el aprendizaje en el trabajo,
relacionado con las herramientas y técnicas. Una Compromiso personal con el
condición ideal es que la organización cuente con aprendizaje
políticas que alienten a las personas a adquirir tales
conocimientos durante las horas de trabajo. Estos Esto es absolutamente esencial. Un proverbio
pueden incluir la hora del almuerzo o seminarios o nigeriano dice “No saber es malo; no desear saber
talleres temprano en la tarde, el fomento al acceso es peor”2. Para aquellos que desean mantener sus
a material de aprendizaje en línea (propio de la conocimientos frescos, actualizados y adecuados a
empresa o de otra persona), grupos de discusión sus actividades profesionales, es importante tener
sobre temas específicos, y el entrenamiento esto en cuenta en todo momento, lo mismo es
interno dirigido por un instructor o facilitador. Por aplicable, por supuesto, para el material relacionado
supuesto, estos apoyos pueden ser acompañados con los intereses personales, que van desde cambios
por un requerimiento formal del empleado de en la legislación tributaria a las artes.
querer adquirir y retener las certificaciones
correspondientes. Para aquellos que tienen tal nivel de compromiso,
existen oportunidades fascinantes para explorar
Otras organizaciones, menos apoyadores, material excepcional, la mayoría gratuito, de varios
consideran que la adquisición de nuevos proveedores de cursos online masivo (MOOC—
conocimientos es responsabilidad del empleado, Massive Open Online Course).
y no proporcionan ninguna de las opciones de

Habilidades de aprendizaje así es, hacer nada no es una opción real. El lector
personales está invitado a desarrollar un plan de aprendizaje
personal y ponerlo en práctica. Idealmente, el
La parte 1 de esta columna, la cual fue publicada resultado será la percepción de que la adquisición
en el año 2015, volumen 3 de la revista Journal de nuevos conocimientos es un placer, no un
de ISACA, analiza las formas en que las personas problema.
adquieren la información y lo que se necesita para
convertirla en conocimiento para que pueda ser Notas finales
aplicado a situaciones específicas. Se invita al lector
a reflexionar y experimentar en diferentes formatos, 1 Medina, J.; Brain Rules (Updated and Expanded):
tales como libros de audición, aprendizaje en línea, 12 Principles for Surviving and Thriving at Home,
material visual, interacción con otros, y el juicio Work, and School, Pear Press, USA, 2014,
personal y error para identificar cuál de estos, o la www.brainrules.net
combinación de estos, es la más eficaz para él/ella. 2 Boston University Pardee School of Global
Studies, African Studies Center, Massachusetts,
Conclusión USA, www.bu.edu/africa/outreach/resources/np/
Se espera que el lector acepte la doble noción

de que, adquirir y mantener las habilidades son
esenciales para la supervivencia profesional. Si
MINIMIZE THE IMPACT OF PREVALENT

CYBER THREATS
Better understand critical cyber threats to global enterprises and discover which controls best defend
against these specific threats. The new Threats & Controls tool from CSX can help you quickly identify key
controls to counter many of today’s top cyber security threats. Prepare to minimize and mitigate growing cyber
threats, enhance your expertise and easily share what you learn with colleagues to increase your influence and
ready your career for advancement.
Try the Threats & Controls tool free at: www.isaca.org/threats-and-controlsjournal

CYBER STRONG.
Claim your future in the high demand Cybersecurity and information assurance/security fields.
Students will be educated in the technical aspects of Cybersecurity systems and will be prepared
for the management, operations and oversight of these systems.
Classes are forming now in our state-of-the-art Cybersecurity laboratory and online.
Saint Leo University offers competitive degree programs

designed to train students in the field of cybersecurity.
B.S. Computer Science - Information Assurance
B.S. Cybersecurity
M.S. Cybersecurity
800.707.8846 | SaintLeo.edu
National Security Agency and the Department of Homeland Security have designated Saint Leo University as a National Center of
Academic Excellence in Cyber Defense Education (CAE-CDE) through academic year 2021.
Q: ¿Cómo piensas diferentes países han Las principales
que el rol de los respondido. certificaciones que
profesionales de busco son la Certified
seguridad de la Q: ¿Cómo ves que Information Security
información está los roles de seguridad Manager® (CISM®) o la
cambiando o ha de la información y CISSP, y la mayoría de
cambiado? en específico la ciber las especificaciones para
seguridad cambiarán en empleos de seguridad
A: Actualmente podemos el largo plazo? pedirán una de estas dos
basar las decisiones de de manera obligatoria.
inversión en evidencia de A: Creo que veremos un También busco el
eventos que han ocurrido. mayor interés del público interés por la profesión
Los clientes comúnmente en general en mantener y un ávido deseo por
preguntan si ellos están segura su información aprender, mantenerse
gastando mucho o personal. Actualmente, actualizado en los temas
muy poco dinero en si a la gente se le actuales y entendimiento
comparación con los pregunta por sus detalles del contexto en el que
pares de la industria, personales, incluso si estamos operando. Es
y ahora podemos sólo se están registrando importante ser capaz
generar comparaciones en, por ejemplo, un de relacionar eventos
(benchmarks) de gastos nuevo dentista o grupo de seguridad al riesgo,
dentro de diferentes social, es probable que cualificaciones tan aptas
industrias para informar pregunten: “Si le paso tales como Certified in
Marcus Chambers, los balances de los mi información personal, Risk and Information
CISM, CGEIT, CEng clientes en materia de ¿será capaz de garantizar Systems ControlTM
Es un profesional decisiones de inversión su seguridad?”. (CRISCTM) también son
de seguridad de la en una forma que no era altamente consideradas.
información experimentado posible anteriormente, a Ceo que más
quien ha trabajado en medida que la seguridad consumidores deberían Q: ¿Cuáles crees
una gran variedad de no era considerada con realizar esta pregunta en que son las formas
diferentes sectores a través suficiente importancia toda ocasión que les sea más efectivas para
de un amplio rango de para garantizar su propio preguntado su nombre, atender las brechas en
compañías. Ha trabajado presupuesto. dirección o fecha de habilidades de ciber
a un nivel senior por un
gran número de años nacimiento. seguridad?
La proliferación de la
que incluyen el sector
tecnología significa que Q: ¿Cómo es que las A: Este es un problema
de servicios financieros,
y es experimentado en más gente es capaz certificaciones que complejo y tardará un
la conducción de temas de entender nuestros has obtenido te han tiempo en atenderse.
desafiantes y en el diálogo desafíos. Será más ayudado a avanzar o En el Reino Unido,
con partes interesadas fácil traducir amenazas potenciar tu carrera estamos haciendo más
(stakeholders) de nivel y riesgos usando un profesional? mediante la enseñanza
senior. Chambers ha léxico común y por ende ¿Cuáles son las de código en las escuelas
creado road maps y invertir de manera más certificaciones que y promoviendo la ciencia,
entregado programas efectiva, entendimiento y buscas cuando reclutas tecnología, ingeniería
de mejora en materia cumplimiento de la gente a un nuevo miembro de y matemáticas (STEM
de seguridad en dentro de la organización tu equipo? como acrónimo del
varias corporaciones entera. Yo creo que nombre de las disciplinas
multinacionales. Él obtiene veremos un incremento A: No habría podido en inglés), pero tomará
gran satisfacción personal
en los beneficios desde obtener mi rol actual sin algunos años para ver
en la entrega efectiva y
nuestra habilidad para la certificación Certified realizados los frutos de
el gobierno robusto de
trabajar en conjunto Information Security esta labor. En el corto
programas de cambio.
a través de múltiples Manager® (CISM®) y tiempo, necesitamos
sectores compartiendo estoy muy orgulloso de ampliar nuestra base
información en amenazas tener una cualificación de reclutamiento para
y en cómo organizaciones que es ampliamente asegurar una mayor
en diferentes industrias reconocida. paridad de género y
12 ISACA JOURNAL VOL 6 y potencialmente en también necesitamos
la
red
hacer las certificaciones datos de la Unión existentes tales como
más accesibles a Europea post-Brexit. Si el la OTAN (Organización
1
aquellos quienes son Reino Unido no promulga del Tratado del ¿Cuál es el mayor desafío de
nuevos en la industria. una ley similar bajo la Atlántico Norte), seguridad que será
ISACA® está realizando legislación del Reino para el incremento enfrentado en 2017? ¿Cómo
un buen trabajo con Unido (concerniente a en la cooperación debiera ser enfrentado?
el certificado de los datos mantenidos internacional y la Imponiendo leyes internacionales en contra de
fundamentos de ciber dentro del Reino Unido disuasión de amenazas. los cibercriminales quienes operan a través de los
seguridad. para los ciudadanos del El uso de organizaciones límites internacionales. Asegurar que se puede
Reino Unido), temo que como un vehículo para operar en línea en un sistema internacional basado
Q: El Reino Unido el Reino Unido pueda mayor cooperación en reglas dónde las leyes apliquen a todos, sigue
es ampliamente perder si sus estándares debería actuar como siendo un desafío que perdura.
considerado como de protección de datos un ejemplar para
el centro de Europa
de la ciber seguridad
son percibidos como más
bajos que los países de la
organismos comerciales
y no de Estado para 2
¿Cuáles son tus tres metas
para 2017
• Completar mi tercer y última maestría de
con el mayor talento Unión Europea. trabajar en conjunto para
postgrado, Maestría en Ciencia (MSc por sus
de ciberprofesionales. combatir amenazas,
siglas en inglés) de Seguridad de la Información.
¿Cuál crees que será el Los niveles de privacidad compartir información y
• Aprender a tocar la guitarra (después de los
impacto a largo plazo y seguridad de datos son aprender el uno del otro.
exámenes de verano de la MSc)
que el Brexit tendrá preocupaciones válidas y • En materia deportiva, hacer flexiones parado de
en materia de ciber los consumidores podrían Q: ¿Cuál ha sido el manos (¡mira la pregunta final!)
seguridad en Europa y elegir la mejor ubicación mayor desafío de tu
3
de manera global? para mantener sus lugar de trabajo o de ¿Cuál es tu blog favorito?
datos almacenados, o el carrera profesional y • Krebs on Security
A: El Reino Unido régimen más amigable cómo lo enfrentaste? • Actualizaciones de seguridad del Instituto Nacional
en la actualidad está con el cual operar. La para los Estándares y la Tecnología de Los
sólidamente afianzado Unión Europea debe A: Mi transformación Estados Unidos (NIST por sus siglas en inglés)
como el centro de la mantener la elección más desde las fuerzas • Artículos de tecnología de las publicaciones: The
comunidad de negocios óptima en el mercado. armadas fue un desafío Wall Street Journal y el Financial Times.
internacionales y aun así significativo. Para
ha tenido que invocar el
Artículo 50, que significa
Q: Tú tienes una
considerable
superar el desafío tomé
el consejo de colegas 4
¿Qué cosa está en tu
escritorio en este momento?
Mi botella de agua, mi MacBook Air y mi cuaderno
que en el corto al experiencia militar. quienes dejaron las
mediano plazo el impacto ¿Qué rol crees que fuerzas armadas antes organizador (Bullet Journal) tamaño A5
es probable que sea bajo. las fuerzas armadas que yo, me hice de
Existe el riesgo potencial tomarán para combatir redes de contacto y
en el largo plazo que la
cooperación en materia
las amenazas de
ciberterrorismo y
me aseguré que tuviera
las cualificaciones
5

¿Cuál es tu consejo número
uno para otros profesionales
en Seguridad de la Información?
de ciber seguridad con la ciberguerra? apropiadas para
Aprender bien los fundamentos y todo lo demás
Unión Europea, a pesar exhibir mi conjunto de
fluye.
de los obstáculos podría A: La ciberguerra, o habilidades. Hice que el
no ser del interés de cuando menos las desafío fuera un poco
nadie. ciberinterferencias
estado a estado ya
más duro al querer
integrarme almundo
6
¿Cuál es tu beneficio favorito
de tu membresía de ISACA®?
Acceso a materiales de investigación, marcos de
En términos de la han tenido lugar y no comercial, más que trabajo y otros informes y artículos
posición del Reino tengo duda que las trabajar en los sectores
7
Unido en Europa, un fuerzas armadas del de defensa o público en ¿Qué haces cuando no estás
ejemplo relevante es la Oeste están trabajando los cuales estaba más en el trabajo?
introducción planificada con otros organismos familiarizado, pero estoy Leo tan ampliamente como puedo la historia militar
de la Regulación gubernamentales para muy contento con el y política así como un amplio rango de ficción y amo
de la Protección de compartir información resultado, he aprendido hacer ejercicio. Recientemente me convertí en un
Datos Generales de para asegurar un nivel muchísimo y disfruto los adicto al CrossFit pero trato de no hablar de ello.
la Unión Europea, la apropiado de protección. desafíos de cada día.
cual aún afecta a las Las fuerzas armadas del
organizaciones del Oeste convencionales
Reino Unido con base son muy buenas usando
en Europa, que maneja marcos de trabajo
Ética de la información a mediados del
siglo 21
A la par de los observadores del ciberespacio de
Esta es la última entrega de la columna de la Ética de la Información. ISACA®
desea reconocer con profunda gratitud al autor de esta columna, Vasant Raval, primera generación, una comunidad de especialistas
por su significativa contribución de liderazgo de pensamiento al Journal de en ética evolucionó para dar dar forma a las
ISACA® y a los lectores de todo el mundo a través de los años. La columna cuestiones morales en el espacio de la información
permanecerá archivado en el sitio web de ISACA para su referencia. cada vez más dominante. Cuando uno predijo el
impacto de las computadoras en la sociedad desde
En su libro Código1, Lawrence Lessig habla sobre el principio, varios líderes de opinión siguieron el
¿Tienes algo los dos teóricos de la primera generación del hilo, incluyendo uno que define la ética informática
que comentar ciberespacio que dieron a luz historias sobre el futuro como “un ámbito en cuestión con las aspiradoras
sobre este del ciberespacio en 1996. Uno contempla que el de política y confusiones conceptuales en relación
artículo? futuro será un pacto entre dos fuerzas de orden— con el uso social y ético de la tecnología de la
Visita las páginas del código social y comercio—mientras que el otro hizo información (el subrayado es nuestro)”2.
Journal en el sitio web hincapié en cómo el Internet ofrecerá más control
de ISACA (ww.isaca. al gobierno. El paso de unos 20 años desde estas
org/journal), encuentra predicciones ha traído cambios tectónicos en el
el artículo y da click código y el comercio, lo que afecta el orden social a La aparición del
en el link Comments lo largo del camino. En un corto período de tiempo,
para compartir tus hemos dado paso precipitadamente en la segunda ciberespacio ha
pensamientos. generación del ciberespacio. producido una
Existen diferencias significativas entre la primera y nueva cosecha de
la segunda generación del ciberespacio. La primera
generación se dedicó a compartir la información,
dilemas difíciles de
especialmente en el mundo académico y sobre todo resolver, aunque
para la investigación. La seguridad, la confidencialidad
y la autenticación de usuarios eran nominalmente los preceptos y
importante; la emoción primaria surgió de la paradigmas para
capacidad de conectarse y compartir proyectos, el
intercambio de información en tiempo real, y trabajar hacerles frente
con sus compañeros y profesionales de forma remota.
La segunda generación vio la migración del código
siguen siendo los
para el mundo del comercio, donde la creación de mismos.
valor económico, la eficiencia, la autenticación y la
seguridad de la información adquirió importancia
primordial. La velocidad de llegar al mercado, la
globalización, la ampliación de las masas, éstas IEs importante examinar la posible conexión entre
se hizo cargo de la agenda para el establecimiento la llegada del ciberespacio y un mayor nivel de
de prioridades y la asignación de recursos en las interés en la ética de la información. Las cuestiones
empresas. Sin problemas de la primera generación éticas son derivados de los cambios en el dominio
del ciberespacio se convirtió en preocupaciones en cuestión que dan lugar a nuevos conjuntos de
significativas de la segunda generación. dilemas. La aparición del ciberespacio ha producido
una nueva cosecha de los dilemas más difíciles a
Vasant Raval, DBA, CISA, ACMA resolver, a pesar de los preceptos y paradigmas
Es un profesor de contabilidad en la Universidad de Creighton (Omaha, para hacer frente a ellos siguen siendo los mismos.
Nebraska, EE.UU.). El co-autor de dos libros sobre los sistemas de Por lo tanto, la práctica de la ética es desafiado,
información y seguridad, sus áreas de enseñanza e intereses de investigación mientras que los principios éticos subyacentes
incluyen la seguridad de la información y la gestión empresarial. Las opiniones permanecen estables. En ausencia del ciberespacio,
expresadas en esta columna son personales y no las de la Universidad de la información que existía en el momento estaba
Creighton (Nebraska, USA). Él puede ser contactado en vraval@creighton.edu.
controlada, y el intercambio de información ha sido

informacion
etica
protegida y con un propósito intencional. Con el lógica. Así es como el transporte como un servicio
advenimiento del ciberespacio, la compartibilidad de nace con Uber y la hospitalidad como un servicio
la información ha alcanzado niveles astronómicos con Airbnb. Evidentemente, los dispositivos son
(¡y hay más lejos que ir!). Preguntas acerca de quién necesarios; sin embargo, es maleabilidad lógica que
controla la información compartida de repente crea valor.
disponibles en el ciberespacio y como tal control
pueden ser utilizados por aquellos que poseen la
información son fundamentales para las cuestiones
de justicia, la equidad, el trato justo, la privacidad,
la confidencialidad y así sucesivamente. Cómo se
El ciberespacio
abordarán estas cuestiones tiene una connotación apalancado por
de valor y, como resultado, las consecuencias
éticas. el comercio crea
una compleja red
Incluso en la era del ciberespacio, los dilemas
éticos varían en el grado de criticidad. El uso de de interacciones
Roomba para aspirar mi hogar tiene problemas
éticos limitados o inexistentes, mientras que el
entre las partes
uso de drones para atacar a los insurgentes es interesadas, que
un ejercicio diferente y valioso3. Además, la era
del ciberespacio funciona en ambos sentidos: A repercuten en el
veces, ayuda a resolver un dilema ético, mientras orden social.
que, en otras situaciones, puede crear uno nuevo
con el que hay que tratar. Por ejemplo, en las
carreras de camellos en Doha, cuando el sistema
de posicionamiento global (GPS) habilitado para, los Orden social
robots automatizados reemplazaron a muchachos
sudaneses y esclavos muertos de hambre como El ciberespacio apalancado por el comercio crea
jinetes4, las atrocidades ocasionadas a los niños una compleja red de interacciones entre las partes
secuestrados fueron aliviados. En el mismo interesadas, que repercuten en el orden social.
ciberespacio, el clásico problema del tranvía, “¿Es Debido a que el orden social es la cara de la
ético para matar a una persona para salvar cinco?”5 humanidad, refleja la aceptación y el respeto de
resurge como un rompecabezas en el tablero de la conducta centrada en el valor por parte de los
dibujo de la lógica que regirá coches totalmente individuos y las organizaciones. El orden social, en
automatizados. otras palabras, es donde la prueba de fuego de los
valores humanos practicadas es evidente7.
En un análisis, los jinetes, robots automatizados
con GPS habilitado serían un ejemplo de la Se puede argumentar que los valores son de dos
maleabilidad lógica del ciberespacio. “La lógica de tipos: estructurales y sustantivos. De acuerdo con
las computadoras puede ser masajeada y formada un experto en ética, la Constitución de Estados
de manera interminable”6 para crear beneficios Unidos y la Declaración de Derechos son indicativos
económicos, una fuerza suprema que conduce de estos valores, respectivamente8. Si bien ambos
a innovaciones como Facebook, Airbnb y Uber. son críticos y complementarios en los juicios de
Dados los mismos recursos de información del valor, es el aspecto sustantivo del ciberespacio que
ciberespacio, la creatividad puede ser el único cambia constantemente, creando nuevas realidades
límite para desatar poderosos nuevos modelos de económicas y presentando nuevos desafíos éticos.
negocio. Una vez que nace una idea de negocio, sus Al proporcionar una plataforma para el llamado de
procesos de información pueden ser estructurados un viaje, Uber y sus competidores han cambiado la
para apoyar el nuevo modelo usando maleabilidad dimensión sustantiva del ciberespacio. El proveedor

no necesita un vehículo dedicado llamado “taxi” y el La regulación es el proveedor de estabilidad en
viajero no tiene que buscar un taxi. Las plataformas medio del caos. En este sentido, es el aliado más
para llamados de viajes en el ciberespacio organizan cercano a la ética empresarial. A medida que
para que el proveedor cumpla con el cliente, una maduran las industrias, las regulaciones se vuelven
nueva orientación de servicio a la vieja industria, más eficaces y previsibles en sus resultados. Ellos
gracias a la maleabilidad lógica del ciberespacio. proporcionan el mínimo común denominador de
las normas de comportamiento. Sin embargo,
Cuando las innovaciones disruptivas entran en el en el ciberespacio de segunda generación, la
mercado, lanzan el orden social fuera de equilibrio. sociedad es constantemente golpeada por cambios
Por ejemplo, con Airbnb y Uber, sus rivales considerables. Además, estos cambios no son
tradicionales se enfrentan a posibles recortes de lineales en un grado en que cualquier aprendizaje
empleo, mientras que otros que necesitan ingresos del marco regulatorio establecido no sea muy útil.
adicionales acuden a la idea de trabajo a tiempo
parcial. En última instancia, el empleo a tiempo La química notablemente diferente del ciberespacio
completo puede reducirse mientras que el trabajo hace que gran parte de la regulación carezca de
a tiempo parcial y sin apenas beneficios marginales sentido; su traducción no es ni simple ni efectiva.
asociados crecerán. Con los vehículos sin conductor, Después de casi 20 años de proporcionar la debida
incluso el negocio tradicional de taxi no necesita una diligencia para el ciberespacio, el gobierno de
persona al volante, haciendo que el escenario se Estados Unidos está abandonando el control sobre
vuelva más complejo. Estos cambios estructurales el sistema de nombres de dominio administrado
en el mercado de trabajo no son fuerzas neutras en por la Corporación de Asignación de Nombres y
cuanto al valor. En todo caso, los dilemas éticos de los Números de Internet (ICANN), el 1 de octubre 20169.
modelos de negocios de hoy en día del ciberespacio Lo que esto hará a la dimensión estructural presente
podrían resultar mucho más difícil de resolver. globalmente del ciberespacio es, en el mejor de los
casos, incierto.
Vemos la lucha reguladora en la industria de la

hospitalidad, el negocio de paseos, el despliegue
de aviones no tripulados y los automóviles
No hay buenas completamente autónomos. No hay buenas
respuestas a respuestas a la pregunta de cómo regular las
radicalmente nuevas versiones de los antiguos
la pregunta de ecosistemas. La revolución tecnológica financiera
cómo regular (FinTech) refuerza el mismo rompecabezas; es
difícil determinar cómo y cuánto de la elaborada
las radicalmente estructura reguladora de la industria bancaria y de
servicios financieros podría aplicarse a los nuevos
nuevas versiones actores de la industria de pagos electrónicos. La
de los antiguos cita “no hay sustituto y no hay mejor” regulador
“que el punto de vista moral con su atención a las
ecosistemas. necesidades y preocupaciones de otros (énfasis
agregado)”,10 enfatiza que una mayor dependencia
de la moral reflexiva sería más beneficiosa que
obediencia irreflexiva a la ley.
La ironía es que mientras las carreras tradicionales
se enfrentan a la extinción, habrá nuevas habilidades El futuro de la ética de la
en la demanda, creando carreras florecientes en información
dominios como el análisis de datos. Sin embargo,
el tiempo, los recursos, habilidades y aptitudes A medida que la lógica hace que las máquinas
necesarias para la transición podría ser un obstáculo entreguen más, un papel cada vez más responsable
importante para la mayoría de las personas es asignado a la máquina en una asignación de tareas
necesitadas. Como resultado, muchos podrían sufrir, de una máquina de manufactura. Con el tiempo,
exigiendo justicia y la equidad para su tratamiento. se diseñan sistemas de aprendizaje de máquina

más complejos, dejando muy poco para los seres individual y colectivamente con esta orden de altura.
humanos, excepto en el diseño y codificación del Presumiblemente, los objetivos materiales tienen
sistema. Este papel humano aparentemente limitado prioridad en un negocio en comparación con los
es, sin embargo, muy importante para la ética de la objetivos no relacionados con metas no materiales15
información. Esto se debe a que los juicios de valor y es poco probable que cambien en el ciberespacio.
se ejercen y se incrustan en el ciberespacio por En todo caso, el impulso de ser el primero en el
personas, no máquinas. La moralidad de una máquina mercado se vuelve más febriles. Ya vemos los signos
está cerca de la base moral de los seres humanos que de las compañías de carreras que acumulan riqueza
crean la máquina, al menos por ahora. A medida que sin precedentes en el mercado y pronto obtienen
las máquinas aprendan, el problema de la carretilla la influencia de un jugador casi monopolista en el
clásica puede ser abordado por la propia máquina. espacio global. Curiosamente, a pesar de su tamaño,
ningún jugador tendrá la influencia para silenciar
El aumento de los malos elementos continuará, a otros en el espacio. Sus esfuerzos individuales
debido principalmente a dos razones. En primer probablemente serían considerados como mejores
lugar, los seres humanos son ingenuos y propenso a prácticas.
errores. Cometen errores y están sujetas a errores de
juicio. El surgimiento de la ingeniería social presenta Otra fuente alentadora para buscar orientación
pruebas irrefutables de que la gente sucumbe a los sobre el código de conducta son las instituciones
estafadores, incluidos los esquemas de Ponzi11 y los que representan a varias profesiones en el centro de
estafadores. Segundo, cuando la tecnología obvia el la revolución del ciberespacio. De hecho, deberían
juicio humano en una situación que crea un dilema tener conocimiento e influencia para aprovechar
ético, a menudo los seres humanos son tentados a las ideas colectivas para enmarcar las reglas de
comprometerse12. Esto es, quizás, debido a la lejanía conducta en este espacio. Es difícil predecir si esto se
del impacto de su decisión. Ashley Madison es un materializará. El Consejo Internacional de Estándares
ejemplo gráfico de cómo esto podría suceder; ya que Éticos para Contadores publicó recientemente un
se presenta a través de la tecnología, el tener una Manual del Código de Ética para Profesionales
relación extramatrimonial no parece ser un problema Contadores16. Sin embargo, la publicación hace
para muchos. Como otro ejemplo, los estudios hincapié en gran medida el cumplimiento, cuando se
sobre la firma electrónica sugieren que las personas requiere mucho más de las profesiones para hacer
que firman electrónicamente no son dueños de su frente a los cambios sísmicos en el ciberespacio
responsabilidad tanto como si se hubieran firmado en sustantiva.
papel o, a veces, cuando no firmaron en absoluto13.
La dimensión estructural del ciberespacio ha
Ciberespacio continuará creando empresas muy marginado la importancia de las fronteras nacionales
potentes con un enorme alcance. Algunas de y regionales. Hay mucho más que una empresa, o
estas empresas serán bastante joven, dotado de
baja madurez de la organización o una voluntad
débil. Estos negocios serán más grandes en
su impacto económico de algunas economías
nacionales (Alphabet, Facebook y Uber son buenos
ejemplos de empresas con muy grandes impactos
económicos). La necesidad de garantizar cierto
grado de equidad parece ir en aumento a través de
estas plataformas tecnológicas de gran influencia14.
Estas empresas se convertirán en los guardianes
de facto de la privacidad, la confidencialidad, el
interés público y otros valores importantes para
el mantenimiento del orden social. Porque crean,
saben mucho más sobre él que los que guardan a
los guardianes. Por lo tanto, tiene sentido, depender
de estos negocios influyentes a la vanguardia para
liderar el camino hacia el comportamiento ético.
Queda por ver qué tan bien van a cumplir en forma

cualquier grupo de personas, pueden hacer hoy en día proporcionar datos de identidad y autenticación que
¿Disfrutto este con poca preocupación por las fronteras nacionales. trascienden las fronteras nacionales y autoridades
artículo?? Sí, las naciones tienen la palabra en el control de los locales18. La idea merece experimentación y, a largo
destinos de la región; sin embargo, será difícil para plazo, podría proporcionar medios de identidad y
una región prosperar yendo en contra la corriente de autenticación globales más eficaces y humanitarios.
• Aprenda más
la revolución del ciberespacio sustantiva. Por lo tanto,
acerca, discute
el futuro es un arma de doble filo; colaborar a través Y, por último, los reguladores no pueden regular
y colabora con
de fronteras, mientras que la gestión de los destinos de manera efectiva lo que no saben o no pueden
la seguridad de
de la nación será un acto de equilibrio para los futuros predecir. Por esta razón, van a tener que trabajar
la información,
líderes políticos. En el proceso, colapsos éticos con líderes de la industria para comprender la nueva
políticas y
pueden suceder cuando se toman atajos para obtener dinámica y, por lo tanto, descifrar los factores de
procedimientos
una ventaja sobre los objetivos nacionales. riesgo para ser mitigados. Un enfoque colaborativo
en el Centro de
para desarrollar las regulaciones es la única manera.
Conocimiento.
Ahora, las naciones ponderan si pueden vivir con En los Estados Unidos, los reguladores han hecho
www.isaca.org/
algún sacrificio de la intimidad en los intereses eco de este sentimiento cuando, en el caso de las
information-security-
de la sociedad. Mientras investigaba las escenas directrices para el uso de aviones no tripulados,
policies-and-
del crimen, la policía alemana ha encontrado divergieron del pasado buscando un enfoque
procedures
recientemente que no captura suficientes datos de colaborativo e incremental para el desarrollo de
vigilancia para rastrear el movimiento de personas. En regulaciones de uso de aviones no tripulados. En
los intereses más amplios de la sociedad, una nación cuanto a los automóviles autónomos, los reguladores
que es un firme defensor de la privacidad ahora está estadounidenses han abrazado la idea de que, si los
considerando si se puede sacrificar alguna privacidad automóviles sin conductor podrían salvar muchas
para cazar criminales17. vidas, ¿por qué no antes que tarde?19 Los reguladores
están preparados para trabajar con los fabricantes
de automóviles y sus colaboradores electrónicos
para obtener más información sobre los riesgos
Etica de la relacionados y cómo mitigarlo en el nuevo mundo del
transporte.
información es
discrecional y, por La ética de la información es discrecional y, por
sí misma, no puede producir valor, al menos en el
sí sola, no puede corto plazo. Incluso para los valientes que quieren
producir valor, al hacer lo correcto, la experiencia pasada puede no
ser suficiente para identificar los dilemas éticos, y
menos en el corto mucho menos resolverlos. Se exigirá un esfuerzo
importante para proteger los valores humanos
plazo. mientras que el progreso material sigue avanzando.
Nosotros podemos ser rehenes de los dispositivos
y medios de la eficiencia, por lo tanto, más cómodo,
La situación en Siria personifica toda una nueva ola pero no feliz.
migratoria de las personas procedentes de Oriente
Medio a varios países de Europa y más allá. Esto Este pensamiento lo resume así: “La humanidad
no es un resultado directo del ciberespacio; sin es desordenada y la limpieza nos corresponde a
embargo, tiene un impacto significativo en el futuro nosotros”20.
de la verificación de la identidad y la autenticación.
Hasta el momento, las personas han recurrido Notas finales
a las autoridades nacionales para proporcionar
identificación y autenticación de certificados (por 1 Lessig, L.; Code, Basic Books, USA, 1999
ejemplo, pasaportes). Los refugiados pueden no 2 Moor, J. H.; “What is Computer Ethics?”
tener cualquiera de estos si las perdieron o no Computers and Ethics, 1985, p. 266-275,
podían llevar tales objetos personales. Y, si poseen http://web.cs.ucdavis.edu/~rogaway/
documentos de identificación, aún es difícil de classes/188/spring06/papers/moor.html
identificar a las personas basándose únicamente en 3 Washington Post, “How Drone Strikes Get the
documentos de su país de origen. Una alternativa es OK,” article reprinted in Omaha World-Herald,
el uso de tecnología de la cadena de bloques para 8 August 2016, 3A

4 Raval, V., “Machine Ethics,” ISACA® Journal, 14 Fisman, R.; T. Sullivan; The Inner Lives of
vol. 5, 2014, www.isaca.org/Journal/archives/ Markets: How People Shape Them and They
Pages/default.aspx Shape Us, PublicAffairs, USA, 2016
5 Dockser Marcus, A.; “The Refurbished Trolley 15 Raval, V.; “Moral Dialogue on the IT-leveraged
Problem,” The Future of Everything, The Wall Economy,” ISACA Journal, vol. 3, 2016,
Street Journal supplement, June 2016, p. 76-79 www.isaca.org/Journal/archives/Pages/
6 Op cit, Moor, p. 3 default.aspx
7 Ibid. 16 International Federation of Accountants, 2015
8 Op cit, Lessig Handbook of the Code of Ethics for Professional
9 McKinnon, J. D.; “Obama Administration to Accountants, www.ethicsboard.org/iesba-code
Privatize Internet Governance on Oct. 1,” 17 Turner, Z.; “Germans Reconsider Tough Privacy
The Wall Street Journal supplement, 16 Laws After Terrorist Attacks.” The Wall Street
August 2016, www.wsj.com/articles/ Journal, 24 August 2016, www.wjs.com/articles/
obama-administration-to-privatize-internet- germans-reconsider-tough-privacy-laws-after-
governanceon-oct-1-1471381820 terrorist-attacks-1471628581
10 Spinello, R. A.; “Code and Moral Values 18 Warden, S.; “A Digital Fix for the Migrant Crisis,”
in Cyberspace,” Ethics and Information The Future of Everything, The Wall Street
Technology, vol. 3, 2001, p. 137-150 Journal supplement, June 2016, p. 46-47
11 Securities and Exchange Commission, “Ponzi 19 Stoll, J. D.; “US Won’t Impede Self-drive Cars,”
Schemes,” USA, https://www.sec.gov/answers/ The Wall Street Journal, July 2016,
ponzi.htm p. 23-24
12 Ariely, D.; The Honest Truth About Dishonesty, 20 Parish, S.; “A Far-Out Affair,” The Future of
Harper-Collins, USA, 2013 Everything, The Wall Street Journal supplement,
13 Chou, E. Y.; “What’s in a Name? The Toll June 2016, p. 17-21
E-signatures Take on Individual Honesty,”
Journal of Experimental Social Psychology,
vol. 61, 2015, p. 84-95
Pinpoint your next job opportunity

with ISACA’s CareerLaser
ISACA’s CareerLaser newsletter offers monthly updates on the latest jobs, top-of-mind industry news,
events and employment trends to help you navigate a successful career the information systems industry.
Let CareerLaser become your top resource for quality jobs matched specifically to your talents in audit,
assurance, security, governance, risk management and more.
Subscribe today by visiting www.isaca.org/careerlaser
Visit the ISACA Career Centre at www.isaca.org/careercentre to

find additional career tools, including access to top job candidates.

TOMORROW’S
SECURITY IS HERE
Evolve your security and see what you’re missing.
ATTACK SURFACE VISIBILITY

• Bring hybrid IT environments, geographic locations
and business units into a single, interactive view
• Quickly spot Indicators of Exposure (IOEs) and
proactively identify root causes of risk
• Neutralize critical attack vectors
• Meet regulatory and compliance requirements
through improved auditing and reporting
www.skyboxsecurity.com
Modeling | Simulation | Security Analytics

Solve complex challenges in vulnerability and threat management
and security policy management — with one platform.
artículo
artículo
Medición del desempeño
métrica para gobierno de TI
empresas asignar y gestionar recursos. Métricas

Disponible también en francés de rendimiento aumentan e influencian decisiones ¿Tienes algo
www.isaca.org/currentissue que están relacionadas con el negocio como ser que comentar
presupuesto, prioridades, recursos y actividades. sobre este
KPI y métricas son herramientas esenciales para artículo?
Durante los últimos 30 años, las empresas la gerencia que son implementadas en todas Visita las páginas del
han estado adoptando nuevos métodos para las áreas del negocio. Hoy día, el uso de TI y Journal en el sitio web
transformar sus operaciones para utilizar TI y tecnologías relacionadas por las empresas requiere de ISACA (ww.isaca.
tecnologías relacionadas para proveer un nivel de grandes inversiones de TI. Por lo tanto, las partes org/journal), encuentra
mayor de servicio al cliente. El paso al cual las interesadas (stakeholders) están interesadas en el artículo y da click
empresas están adoptando estos nuevos métodos confirmar que las inversiones de TI estén alineados en el link Comments
es rápido. Para manejar la velocidad de esta para compartir tus
estratégicamente, administrados efectivamente y
transformación, a administración depende en los pensamientos.
ayudan en lograr las metas de negocio comunes.
recursos tecnológico y proveedores, resultando Para asegurar que las expectativas de las partes
en un aumento en la dependencia en tecnología interesadas se cumplan, la gerencia utiliza prácticas
y recursos cualificados. El paso y dependencias de Gobierno TI que están definidas por el estándar
pueden crear una falta de controles de la empresa; global por la Organización Internacional de
por lo tanto, las empresas usan indicadores clave de normalización (ISO) ISO38500 y COBIT® 5.
indicadores clave de rendimiento (KPIs) para medir
el desempeño de la entrega del servicio de TI. Gobierno de TI y métricas
Aunque muchas empresas hoy día efectúan un El mecanismo de gobierno TI asegura que las
análisis del retorno de la inversión (ROI) de nuevos necesidades, condiciones y opciones de las artes
proyectos de TI y algunas veces incorporan el
cálculo del costo total de la propiedad (TCO) dentro
del caso de negocio que presentan al directorio para
su aprobación, solo el 25 por ciento de las empresas
efectúan un análisis de ROI después de completar
el proyecto1,2,3. Sin embargo, ROI y TCO no son los
únicos criterios para la aprobación de proyectos de
TI; ellos son solo dos de muchas consideraciones
en el proceso de la toma de decisión. Un ROI
positivo no necesariamente significa que el proyecto
será aprobado. Es una decisión estratégica que esté
basado en requisitos del negocio y expectaciones
de las partes interesadas (Stakeholders). Por lo
tanto, las empresas debiesen que pueda requerir
indicadores cuantitativos y cualitativos.
Empresas que quieren monitorear efectivamente

las actividades de TI para estar alineados con
las metas del negocio utilizan KPIs o de métricas Sunil Bakshi, CISA, CRISC, CISM, CGEIT, ABCI, AMIIB, BS 25999
clave de medición. Indicadores de rendimiento/ LI, CEH, CISSP, ISO 27001 LA, MCA, PMP
métrica no solo ayudan a monitorear logros Ha trabajado en TI, gobierno de TI, seguridad de la información y gestión
comparados con las metas, pero también ayuda a de riesgos de TI. Tiene 40 años de experiencia en diversas posiciones en
diferentes industrias. Actualmente, es consultor independiente y profesor
evaluar la efectividad y eficiencia de los procesos
visitante en el Instituto Nacional de Gestión de Bancos en la India.
de negocio. Las métricas también ayudan a las

interesadas son evaluadas para determinar objetivos reportados fueron resueltos dentro de las dos horas.
balanceados y acordados con la empresa. Gobierno Estas mediciones demuestran carga de trabajo
TI también asegura que la dirección este definida y actividad. Las métricas son útiles para evaluar
a través de priorización y toma de decisión y que cumplimiento y efectividad de procesos y medir
el rendimiento y cumplimiento son monitoreados el éxito contra objetivos establecidos. Empresas
contra dirección acordada y objetivos. La gerencia esperan resultados positivos de TI y recursos de TI
planifica, construye, ejecuta y monitorea actividades incluyendo recursos humanos capacitados, Para
alineados con la dirección establecida por el órgano administrar el rendimiento de TI, la gerencia está
del gobierno para obtener los objetivos de la interesada en obtener las respuestas de la primera
empresa4. columna en la figura 1. La segunda columna
muestra el tipo de indicadores que son requeridos
Los procesos de gobierno TI son evaluar, dirigir y para obtener las respuestas a estas preguntas
monitorear (EDM). Las métricas son un mecanismo
de monitoreo y ayudan a la gerencia a monitorear Desarrollando métricas de
los logros de las metas relacionadas al negocio de rendimiento
la empresa como también las metas relacionadas
a TI. Métricas apropiadas ayudan al órgano de Desarrollar métricas de rendimiento usualmente
gobierno proveer dirección que están basados en sigue un proceso de:
metas definidas y una evaluación de las métricas. 1. Estableciendo procesos críticos para cumplir
Las métricas ayudan a las empresas responder con los requisitos de los clientes (esto ayuda
preguntas valiosas como ser5: a las empresas con el desarrollo de métricas
• ¿Es el rendimiento de TI mejor que el del año manejables.)
pasado? 2. Identificación de los resultados específicos y
• ¿Qué es lo que la empresa está obteniendo de la cuantificables de trabajo a partir de los procesos
inversión de TI? identificados en el paso 1.
• ¿Cómo puede la empresa efectuar un punto de 3. El establecimiento de objetivos contra los cuales
referencia (benchmark) del rendimiento? los resultados se pueden calificar
• ¿Que debiese hacer la empresa en la ausencia El desarrollo de las métricas incluye la definición de
de métricas medibles? ¿Puede usar gestión de un equilibrado conjunto de objetivos de rendimiento,
riesgos, expectativas de perdidas, vectores de métricas, objetivos y puntos de referencia. La
ataques o correlación? métrica debe cubrir las actividades y resultados
que se miden utilizando indicadores de avance y
Las métricas describen una calidad y requiere una retroceso y un equilibrio adecuado de medidas
base de medición, ej. 87 porciento de incidentes financieras y no financieras. Las métricas debiesen
Figura 1—Preguntas Rendimiento TI

Preguntas a las cuales la gerencia requiere respuestas Tipo indicadores que pueden ayudar a proveer una
respuesta
¿Se han logrado alcanzar las expectativas de las partes Indicadores de retraso:
interesadas de TI? • Pueden ser monitoreados solo después que las actividades/
procesos están parcialmente o completos totalmente.
¿Se han alcanzado las metas del negocio? ¿Cómo apoyó TI
Proveen garantías después de los hechos.
para lograr las metas del negocio?
• Pueden ser cuantificados
¿Los recursos de TI siguen el ciclo de vida? Indicadores de avance:
• Proveer seguridad basado en un plan/proceso documentado
¿Están los procesos implementados para monitorear el ciclo de
y mejores prácticas implementadas
vida de los recursos de TI?
• Son ante todo cualitativo y difícil de cuantificar
¿Cumple la empresa con estándares globales y mejores
prácticas de nivel industrial?
Fuente: S. Bakshi. Reimpreso con permiso.

ser revisadas y acordados con TI, otras funciones de • Evite comparativos contra otras empresas
negocio y otras partes interesadas relevantes7. similares—Cada empresa es diferente y puede
tener diferentes metas y objetivos. La excepción a
Métricas e indicadores están basados en esto es la métrica de rendimiento de la evaluación
información recibida de operaciones. Cuando esta comparativa.
información representa la medición de rendimiento, Desarrollar métricas que se enfocan en
es referida como métricas basadas en medios. comparativos específicos cuantificados de
Métricas que son designados para monitorear actividades operacionales documentadas
logros de objetivos son llamadas métricas basadas que son responsable para contribuir a los
en terminación. Métricas basadas en terminación acontecimientos. Utilice rutinas o proporciones
pueden incluir: y evite comparaciones al por mayor de líneas de
• Cambios en el Inventario de la empresa de la negocio porque esta comparación es subjetiva y
exposición al riesgo (utilizar el reporte del perfil de usualmente amplia y cualitativa.
riesgo)
•C
omparando metas definidas de crecimiento del
negocio con la inversión en TI y estableciendo una
relación El reto que
Métricas basadas en medios pueden incluir:
usualmente las
• Numero de vulnerabilidades de aplicaciones sobre
empresas enfrentan
un año a menudo es
• Porcentaje de cajeros automáticos (ATM) del cuantificar los
tiempo de inactividad durante horas activas (debe
ser menor a dos por ciento de horas activas) resultados para la
• Porcentaje de incidentes que son resueltos comparación contra
dentro del tiempo de SLAs (incluyendo incidentes
escalados)
costos.
Las siguientes recomendaciones debiesen ser
observadas mientras se desarrollan las métricas y se • Reducir al mínimo las comparaciones
identifican los indicadores de rendimiento8. relacionadas a costos—Limite métricas
•N
ormalizar las Métricas a un parámetro de relacionadas al costo para medir solo los beneficios
atributo común—Para entender tendencias (valor) de TI. Una comparación con la industria u
apropiadamente, normalizar métricas a un otras empresas puede ser no relevante. El reto que
parámetro común; por ejemplo: las empresas usualmente enfrentan es cuantificar
– Tiempo—es tiempo definido como ocurrencia los resultados para la comparación contra costos.
anual, transacciones por segundo/minuto/hora, Por ejemplo, un servicio para mejorar la satisfacción
promedio de intervalos entre eventos, tiempo del cliente puede costarles a las empresas; sin
medio entre fallas (MTBF) embargo, cuantificar la mejora en la satisfacción
– ¿Costo—El costo es por unidad o por millón? del cliente puede no ser posible. En tales casos,
indicadores indirectos, ej. repetir/más oportunidades
• Entender las características de una de negocio, puede ser más útil.
buena métrica—Una buena métrica permite
comparativos exactos y detallado, guía hacia Otro problema es costos comunes, tanto internos
conclusiones correctas, es entendida bien por como externos, que incluyen las asignaciones
todos y tiene una base cuantitativa. Una buena para múltiples operaciones o líneas de negocio
métrica es lineal, confiable, repetible, fácil de usar, que no pueden ser segregadas para cargar a una
consistente e independiente. operación especifica o línea de negocio.

• Enfocarse en las actividades de trabajo y Información (Information Technology Infrastructure
resultados—Durante el desarrollo de métricas e
¿Disfrutto este Library) (ITIL), ISACA® (COBIT® 5) and ISO. Aunque
indicadores, el enfoque debiese ser en procesos y la norma ISO espera una medición de rendimiento,
artículo?? actividades para generar y el suministro de datos, no prescribe cualquier indicador especifico.
ej. El número de transacciones relacionadas con Métodos de medición pueden ser definido por
• Aprenda más
el efectivo en un cajero automático (ATM) o el organizaciones.
acerca, discute
porcentaje de servidores que fueron parcheados
y colabora en el
durante el mes. ITIL define tres tipos de métricas: métricas de
Gobierno de TI
tecnología, métricas de procesos y métricas de
(GEIT) en el Centro • Mantener las métricas en cantidades
manejables—La alta gerencia puede no estar servicios. Tome nota que las métricas tecnológicas
de Conocimiento.
interesados en un reporte analítico de múltiples y de proceso también son referidas como métricas
www.isaca.org/
paginas o tablero (dashboard). Aunque una gran operacionales10.
governance-of-
enterprise-it cantidad de datos pertinentes podría ser recogido
durante las actividades, solamente los indicadores Métricas de tecnología
más críticos deben ser incluidos en el informe de Las métricas de tecnología miden aspectos
gestión/tablero. específicos de la infraestructura de TI y equipos,
ej. La unidad central de procesamiento (CPU) de
¿Que son buenas métricas? servidores, el espacio de almacenamiento utilizado,
estado de la red (ej., La velocidad, la utilización de
Buenas métricas generalmente satisfacen los ancho de banda) y promedio de tiempo disponible
siguientes criterios9. (disponibilidad de la tecnología).
• Mediciones consistentes—Las métricas deben

La mayoría de las métricas de tecnología proveen
proveer un análisis similar durante un periodo de
input sobre la utilización de TI, la cual es una parte
tiempo.
muy pequeña de servicio, para el director de
• Fácil de colectar datos—El costo para colectar información (CIO) o el gerente del data center; sin
datos para las métricas debe ser bajo, y los embargo, a menos que esta métrica sea comparada
datos deben ser colectados a través de procesos con otra métrica, es posible que no provea de
operacionales rutinarios. Sin embargo, esta información con sentido para la alta gerencia. Por
colecta de datos debe satisfacer los requisitos ejemplo, considere la respuesta de la red de 100
de ser contextualmente específicos. ¿Algunas milisegundos, (ej., un mensaje llega a su destino
métricas de servicio de TI pueden necesitar en 100 milisegundos). Si la gerencia espera que la
un mayor esfuerzo y, por lo tanto, el costo de respuesta de la red sea 10 milisegundos, el tiempo de
la obtención de datos, por ejemplo, cuántos respuesta requiere atención, y si la gerencia espera
clientes no podían ser atendido debido a un cajero que la respuesta de la red sea de 300 milisegundos, el
automático que no estaba funcionando? tiempo de respuesta es más que satisfecho.
• Expresada en números, porcentaje o unidades

Métricas de procesos
de medidas—Números y porcentajes son fácil
Las métricas de procesos miden aspectos específicos
de entender y comparar; por lo tanto, tanto como
de un proceso, ej., numero de cambios que son
sea posible, las métricas deben ser representadas
deshechos dentro de un mes, promedio de tiempo
como un numero o un porcentaje.
de respuesta de incidentes en un mes, porcentaje de
• Contextualmente especificas—Métricas TI empleados que atendieron a las tareas en tiempo,
deben medir los logros de las metas u objetivos promedio de tiempo para completar un proceso.
de los negocios; por lo tanto, las métricas deben Las métricas de procesos proveen información sobre
representar el contexto. el funcionamiento de los procesos. Estas métricas
son utilizadas generalmente para la conformidad
de cumplimiento que se relaciona con los controles
Tipos de indicadores y métricass internos. Sin embargo, muchas métricas de procesos
pueden no servir el propósito de monitoreo. Métricas
La necesidad de métricas e indicadores esta
que son relacionadas a procesos críticos pueden ser
subrayada por muchas organizaciones, como ser
considerados para reportar a la gerencia.
la Biblioteca de Infraestructura de Tecnología de la

Métricas de servicios • Información (datos)
El enfoque primario de ITIL es en proveer servicio.
• Servicios, infraestructura y aplicaciones
Métricas de servicios son métricas esenciales para
que la gerencia monitoree. Proveen una medición • Personas, capacidades y competencias
de fin a fin del rendimiento del servicio. Definiendo
métricas de servicio puede ser difícil debido a la Las expectativas de las partes interesadas ayudan a
naturaleza intangible de los niveles de servicio. Las la gerencia a llegar a un método para la realización
métricas de servicio son más como evaluación de beneficios, el cual ayudan a determinar las
sobre lo que ya se conoce sobre un problema y métricas de la empresa. Porque las empresas
son medidos de manera que proveen resultados despliegan TI, estas metas relacionadas a Ti, las
aproximados11. cuales bajan en cascada en metas habilitadoras.
(figura 2).
Cuando es difícil medir los niveles de servicio debido a
incertidumbre asociada (ej., Comportamiento humano Para monitorear el logro de las metas, la gerencia
impredecible) tal incertidumbre en la medición de utiliza indicadores y métricas. COBIT 5 identifica dos
los niveles de servicio puede reducirse a niveles tipos de indicadores:
indicativos y puede ser interpuesto dentro de las
• Indicadores de avance son actividades que
mediciones aproximadas.
predicen el logro de metas. Estos indicadores no
son medibles, ej., implementar mejores prácticas
Ejemplos de métricas de niveles de servicio incluyen
globales o de la industria o seguir el enfoque del
lo siguiente:
ciclo de vida para los recursos (habilitadores).
• Resultados de una encuesta de satisfacción del
• Indicadores de retraso son medibles y ayudan
cliente indicando que tanto contribuye TI a la
a medir el logro de las metas. La mayoría de las
satisfacción del cliente
métricas son definidas para los indicadores de
• Costo de ejecutar una transacción (bancos retraso COBIT 5 identifica tres niveles de métricas:
usan esta métrica para medir el costo de una métricas de metas de la empresa, métricas de
transacción ejecutada a través de diferentes canales metas de TI y métricas de metas de los procesos14.
de servicios, como ser Internet, Móvil, ATM y
sucursales) Metas de empresas y ejemplo de métricas
COBIT 5 identifica 17 metas genéricas de la empresa
• Eficiencia de servicio, el cual está basado en
que están basadas en dimensiones de un cuadro
el tiempo promedio para completar un servicio
de mando integral (BSC). Estas dimensiones son
específico. El servicio no es solo un proceso; un
financieras, clientes, internas, y aprendizaje y
servicio puede consistir de múltiples procesos.
crecimiento.
Muchos tipos de métricas son requeridas para un
Métricas genéricas para metas de TI y metas de
entendimiento comprensivo de la salud de la gestión
proceso son definidas en la descripción del proceso
de servicios a través de la organización.
por cada proceso de COBIT 5. El modelo de proceso
de referencia de COBIT 5 identifica 37 procesos
COBIT 5
genéricos relacionados a TI. Las métricas pueden ser
COBIT 5 ante todo es un marco de gobierno TI. definidas utilizando COBIT 5. Considere la meta de la
La gestión eficaz de gobierno debe ser capaz de empresa de la cultura del servicio orientada al cliente.
administrar el riesgo y cumplir las expectativas de COBIT 5 sugiere utilizar las siguientes métricas:
las partes interesadas mediante la optimización de • Número de interrupciones del servicio al cliente
los recursos. COBIT 5 identifica los siguientes siete debido a incidentes relacionados a los servicios de
facilitadores que ayuden a lograr los objetivos de TI (confiabilidad)
gobierno:
• Porcentaje de partes interesadas del negocio
• Principios, políticas y marcos satisfechas que la entrega del servicio al cliente
• Procesos cumple con los niveles acordados
• Número de quejas de los clientes
• Estructuras organizacionales
• Cultura, ética y comportamiento

Figura 2—Visión General de la cascada de metas de COBIT 5
Fuente: ISACA, COBIT 5, USA, 2012
• Tendencia de los resultados de las encuestas de Hay dos metas relacionadas a TI que principalmente
satisfacción de los clientes se mapean a las metas de la empresa de la cultura de
servicio orientado al cliente15. Son metas relacionadas
Dependiendo del servicio al cliente de la organización a TI 01, Alineación de la estrategia de TI y Negocio
ofrecido utilizando soluciones de TI, las siguientes y 07, Entrega de servicios TI en línea con los
métricas (que serán un subconjunto de las métricas requisitos del negocio. Métricas sugeridas para metas
definidas previamente) pueden ser consideradas: relacionadas a TI 07 de COBIT 5 son (por simplicidad,
• Impacto en la satisfacción del cliente debido a solo aquellas metas de TI que principalmente se
interrupciones al servicio debido a incidentes mapean a las metas de la empresa en el ejemplo han
relacionados a TI sido consideradas):
• Porcentaje de satisfacción de las partes interesadas • Número de interrupciones al negocio debido a

del negocio que la entrega de servicios al cliente incidentes de los servicios de TI
cumple con los niveles acordados • Porcentaje de partes interesadas del negocio
• Reducción o aumento en el número de quejas de satisfechos de que la entrega de servicios de TI
los clientes relacionados con la no disponibilidad de cumple con los niveles de servicio acordados
servicios basados en TI • Porcentaje de usuarios satisfechos con la calidad de
la entrega de servicios de TI

Basado en los requisitos del negocio, las siguientes Las empresas pueden utilizar las medidas genéricas
métricas pueden ser consideradas: que son proporcionados por los estándares y marcos
de trabajo como ITIL y COBIT 5 para definir las
• Número de incidentes de TI afectando los servicios
métricas específicas para empresas globales, que
del negocio
deben ser asignadas a la empresa objetivos y metas.
• Porcentaje de incidentes de TI afectando los
servicios del negocio al total de incidentes de TI Notas finales
• Número de quejas de los clientes relacionado a la 1 Jeffery, M.; “Return on Investment Analysis
entrega de servicio debido a problemas relacionados for E-business Projects,” Northwestern
con TI University, Evanston, Illinois, USA,
www.kellogg.northwestern.edu/faculty/jeffery/
COBIT 5 sugiere métricas para cada proceso del htm/publication/roiforitprojects.pdf
modelo de referencia de procesos. El próximo paso 2 Myers, R.; “Measuring the Business Benefit of
es de identificar los procesos que están asociados IT,” CFO.com, 20 October 2004, http://ww2.cfo.
con las metas relacionadas a TI 07. Entrega de com/strategy/2004/10/measuring-the-business-
servicios de TI en línea con los requisitos del negocio benefit-of-it/
y seleccionar las métricas para los procesos. Los 3 Bidgoli, H.; The Internet Encyclopedia, Volume 3,
siguientes procesos dependen de esta meta de TI: John Wiley & Sons, USA, April 2004
4 ISACA, COBIT® 5, USA, 2012, www.isaca.org/
EDM01, EDM02, EDM05, APO02, APO08, APO09, cobit/pages/default.aspx
APO10, APO11, BAI02, BAI03, BAI04, BAI06, DSS01, 5 Jaquith, A.; Security Metrics: Replacing Fear,
DSS02, DSS03, DSS04, DSS06 y MEA0116. Uncertainty, and Doubt, Addison-Wesley, USA,
2007
6 Op cit, ISACA, COBIT 5
7 OpsDog, Inc., “What are KPIs & Benchmarks?”
Cada empresa tiene 2016, https://opsdog.com/tools/kpis-and-
objetivos únicos y, benchmarks
8 Ibid.
por lo tanto, métricas 9 Op cit, Jaquith
10 Scarborough, M.; “Three Types of Metrics
únicas. Defined by ITIL,” Global Knowledge Training
LLC, 12 December 2013, http://blog.
globalknowledge.com/PROFESSIONAL-
DEVELOPMENT/ITIL/THREE-TYPES-OF-
Conclusión METRICS-DEFINED-BY-ITIL/
11 Hubbard, D.; How to Measure Anything:
Desarrollo, implementación y seguimiento de las
Finding the Value of Intangibles in Business,
métricas de medición del desempeño es clave para
John Willey & Sons, USA, 2007
la implementación de mecanismos de vigilancia
12 ISACA, COBIT® 5: Enabling Processes,
de las metas y objetivos que se establecen por los
USA, 2012, www.isaca.org/COBIT/Pages/COBIT-
procesos de gobierno de TI. Métricas de medición
5-Enabling-Processes-product-page.aspx
del desempeño no deben ser copiados de empresas
13 Op cit, COBIT 5
similares. Cada empresa tiene objetivos únicos y, por
14 Op cit, COBIT 5: Enabling Processes
lo tanto, métricas únicas. Esta singularidad se debe a
15 Ibid.
muchas razones, incluyendo la estrategia de negocio
16 Ibid.
y objetivos, la cultura empresarial, la diferencia en los
factores de riesgo, los resultados de la evaluación de
riesgos y situaciones geopolíticas y económicas.

#encouragecourage.
La evaluación de los controles artículo
artículo
de seguridad
Las claves del marco de la gestión de riesgos
El CISO y CSO´s deben asegurarse de que sus se apegue a los principales marcos de trabajo.
programas de gestión de riesgo de la empresa Durante los últimos cinco años, el NIST RMF (Risk ¿Tienes algo
cuenten con un sólido marco de gestión—Marco Management Framework) ha ganado un espacio que comentar
de trabajo de manejo de riesgo empresarial. Este importante en los Estados Unidos y varias otras sobre este
marco debe proporcionar un proceso disciplinado y naciones. NIST desarrolló y publicó los elementos artículo?
estructurado que integra las actividades de gestión que una empresa necesita para implementar y Visita las páginas del
de riesgos en el sistema el desarrollo del ciclo de gestionar un sólido programa de gestión de riesgos. Journal en el sitio web
vida y que permite a los ejecutivos de riesgo tomar Los NIST RMF incluyen las fases del ciclo de vida de ISACA (ww.isaca.
decisiones informadas. El US National Institute del desarrollo de sistemas y los pasos que deben org/journal), encuentra
of Standards and Technology (NIST) y el Risk seguir la gestión de riesgos las organizaciones el artículo y da click
Management Framework (RMF) son ejemplos de (figura 1). en el link Comments
marcos de referencia. El compromiso con un marco para compartir tus
pensamientos.
de gestión del riesgo y sus principios son críticos Probar, Probar y Probar
para un programa de gestión de riesgos exitosa.
Aunque todos los pasos del NIST RMF son
Decisiones informadas en relación a un riesgo y los importantes, El paso 4: Evaluar los controles de
pasos para determinar la aceptación del riesgo. seguridad es el más paso crítico de un programa
Una buena receta para la toma de decisiones de de gestión de riesgos. Es esencial que se aplique
riesgo incluye una mezcla de: comprobación del sistema en profundidad después
de realizar gestión de la configuración, para
• Datos objetivos mantener implacable la seguridad. Si la empresa
• Resultados de pruebas (OK/No OK) mantiene una configuración de sistema seguro,
se mantendrá el nivel de seguridad. A menudo
• Las mitigaciones las empresas no realizan pruebas adecuadas a
• Análisis cualitativo los sistemas ni a los mecanismos para verificar
la precisión auditoría de seguridad. Nada puede
• Datos subjetivos sustituir a la evaluación de controles de seguridad.
• Una sana intuición Algunas de las razones para esta falta de la
evaluación de los controles de seguridad son:
Los datos subjetivos pueden levantar las cejas • El liderazgo no proporcionar expectativas claras
en señal de duda. Sin embargo, este ingrediente para la evaluación de los controles/fechas de las
considera la probabilidad y preguntas que pruebas
proporciona los datos, y que tan importante podría
ser la fuente de datos.
La intuición no es objetiva como hechos o

resultados de pruebas. La intuición no se encuadra Lance Dubsky, CISM, CISSP
Es jefe de seguridad estratégico, gobierno global, en FireEye y tiene más
en un modelo cuantitativo de riesgos, más bien,
de dos décadas de experiencia planeando, construyendo e implementando
el análisis cualitativo es un ingrediente clave en el
grandes programas de seguridad de la información. Antes de unirse a FireEye,
de toma de decisiones. Los profesionales heredan se desempeñó como jefe de seguridad de información de dos agencias de
una variedad de programas gestión de riesgos inteligencia estadounidenses, donde dirigió programas de seguridad global. En
en varios estados de madurez. Algunos son en el ámbito de la gestión de riesgos, Dubsky ha servido como un ejecutivo senior
realidad bastante buenos, adecuados y otros son de riesgo, autorizando oficial, oficial de certificación y asesor de control de
completamente un desastre. A pesar de estado seguridad. Gestionó la transformación al marco de gestión de riesgos del NIST
del programa, que se pega a un marco y principios en dos organizaciones, optimizó los procesos de riesgo mediante la fusión
sólidos de riesgo es crítica. En cualquier estado de de los ciclos de vida de los sistemas de riesgo y de sistemas, y estableció un
proceso de evaluación de riesgos para plataformas satelitales.
madurez del programa, es fundamental que siempre

Figura 1—NIST Marco de Trabajo de Gestión de Riesgos
Paso 1
CLASIFIQUE
Sistema de Información
Paso 2
Paso 6 SELECCIONE
MONITOREE Controles de Seguridad
Iniciado
Controles de Seguridad Disponer
Marco Diseño
de Trabajo de
O&M Gestión de
Riesgos
NIST SP 800-37
Paso 5 Implementar Paso 3

AUTORICE IMPLEMENTE
Sistema de Información Controles de Seguridad
Paso 4
EVALUAR
Controles de Seguridad
Fuente: National Institute of Standards and Technology, Guide for Applying the Risk Management Framework to Federal Information Systems, NIST Special
Publication 800-37, Revision 1, February 2010, figure 2-2. Reimpreso con permiso.
• Supervisión inadecuada de la gestión de riesgos

programa
• La falta de habilidades de los encargados y

La única manera
asesores de las pruebas de seguridad de saber si un control
• Presión para condensar el ciclo de pruebas debido de seguridad funciona
a las programaciones de otras de actividades con
prioridad más alta que la seguridad de un sistema o no, o pasa o falla,
Como prueba es auditada es también un desafío
es probarlo.
para las empresas que implementan una gestión de
riesgos programa. El aseguramiento de la calidad
o del control del cumplimiento a menudo carece aplicables en la publicación especial NIST 800-531
de recursos y de la experiencia para identificar las para los sistemas categorizados. La única manera
señales de alerta. de saber si funciona el control de seguridad o no, es
ejecutando las pruebas. Las pruebas de controles
El proceso básico de la evaluación de seguridad no se logran a través de herramientas
de la seguridad de scanner de vulnerabilidades, ya que comprueba
que sólo un pequeño número de controles de
En NIST RMF Paso 4: Evaluar los controles seguridad. Un análisis de vulnerabilidades suele
de seguridad, son las directrices del NIST que poner a prueba una fracción, de aproximadamente
aconsejan probar todos los controles de seguridad un 5 por ciento de los controles de seguridad.

El rol del asesor/evaluador de seguridad es poner ¿Qué es y que hace un auditor?
a prueba todos controles de seguridad clave para
un sistema y dar cuenta de todos los controles Cada año, el sector público presenta sus métricas
de seguridad para el que fue el sistema de y medidas de apoyo de cumplimiento de gobierno
categorizados en l paso 1 de la NIST RMF. El papel y los reportes de solicitudes. Algunas de estas
también podría incluir el desarrollo y ejecución del variadas métricas incluyen:
plan de pruebas para el sistema. • El número de sistemas que opera en la empresa
El plan de prueba incluye todos los controles • El número de sistemas de la empresa que tienen
para los que el sistema ha sido categorizado. El una autorización para operar
asesor de seguridad ejecuta el plan de prueba con • El número de sistemas de la empresa que tienen
el propietario de la red y registra los resultados. aceptación del riesgo
Los resultados de la etapa de NIST RMF 4, que
también se conoce como la fase de evaluación de la La confiabilidad de la medición de la eficacia de un
seguridad, incluyen: programa de gestión riesgo se basa en la garantía de
• Una lista de los controles de seguridad la ejecución de pruebas y ensayos de forma periódica,
y si existe un registro de los resultados de las pruebas.
• Un plan de prueba que abarca la totalidad de los
controles de seguridad En la comunidad de inteligencia de Estados Unidos,
• Un informe de la prueba (OK/No OK) muchos auditores y oficiales de cumplimiento, como
un curso normal de sus deberes, deben realizar una
• Las mitigaciones para cualquier control fallido auditoría anual del programa de riesgo y procesos de
la agencia, para validar la gestión y si el programa se
Estos resultados corresponden a un proceso ejecuta de acuerdo con las normas, para validar la
básico de evaluación seguridad y proporciona precisión de las mediciones que fueron reportados.
al administrador de riesgo la información que se Los auditores utilizan un equipo relativamente
requiere para hacer una toma de decisión. Dentro de pequeño, a veces un tercero para realizar la auditoría.
la comunidad de inteligencia de Estados Unidos, el El auditor revisa un subconjunto de los sistemas
administrador riesgo es designado por el director de de la agencia, porque la mayoría de las agencias
la agencia y es a menudo el Gerente de información tienen cientos de miles de sistemas. Algunos de
(Chief Information Officer—CIO), sub gerente de los subconjuntos son pequeños algo así como el
información, jefe de seguridad de la información 0,001 por ciento del número total de sistemas de
(CISO) o el director de gestión de riesgos; sin
embargo, las empresas pueden designar el ejecutivo
del riesgo de alguna una manera diferente.
Si un proceso de evaluación de seguridad de

una empresa no tiene este nivel de integridad
y fidelidad, se estarían tomando decisiones sin
la Información básica necesaria. Una gestión
importante del programa de riesgos sigue el proceso
de evaluación de la seguridad y realiza pruebas
de penetración después de que el sistema indique
el riesgo aceptado en la operación. Sin embargo,
así como un riesgo ejecutivo (el más importante),
el paso más revelador y objetivo de la gestión
de riesgos es la evaluación de los controles de
seguridad. Si no se realiza esta fase de gestión
del riesgo correctamente, la capacidad de aceptar
legítimamente el riesgo es Virtualmente imposible.

agencia. Este método no revela el verdadero estado y la integridad del programa de gestión de riesgos.
¿Disfrutto este del programa de gestión de riesgos agencia, y si las Las siguientes solicitudes específicas pueden decir
artículo? medidas de la RMF especialmente las pruebas se mucho de un equipo de auditoría a un CISO o a un
están realizando. Muy pocos sistemas son revisados y CIO:
a menudo la revisión toma mucho tiempo.
• Aprenda más • Archivo de los planes de prueba para cada
acerca, discute y sistema, con el resultado de la prueba y por
Los equipos de auditoría deben pivotar y centrarse
colabora con la sistema. Un plan de prueba tendrá todos los
en un conjunto más amplio de sistemas, y una
gestión de riesgos controles de seguridad para lo que se clasificó en
revisión más detallada de la integridad de la prueba.
en el Centro de el sistema.
Para ampliar el set de sistemas, los equipos tienen
Conocimiento.
que ser inferior sobre la revisión general, y se • ¿Cuántos de los controles de seguridad se
www.isaca.org/risk-
centran en el paso más revelador de la RMF—la ensayaron de forma manual? ¿Quién realiza el
management
evidencia disponible para determinar la integridad examen?
de la etapa 4. Si la organización cuenta con 1.000
• ¿Cuántos de los controles fueron probados con
sistemas, la organización debe tener 1.000 planes
una herramienta o aplicación? ¿Qué herramientas
de prueba y los resultados de las pruebas para cada
se utilizaron y qué controles específicos probó
sistema. La excepción sería si el sistema utiliza los
cada herramienta?
servicios centralizados de seguridad disponibles
de la empresa. Si los equipos de auditoría pueden • Del total de controles de seguridad, ¿cuántos
determinar la existencia de planes de pruebas del pasaron?
sistema, los resultados de las pruebas y entrevistar
• Del total de controles de seguridad, ¿cuántos
a los asesores de seguridad, los equipos pueden
fracasaron? ¿Cuáles fueron las mitigaciones de
determinar con precisión si el sistema fue probado
compensación? ¿Se probó la mitigación?
por completo y si el ejecutivo de riesgo tiene los datos
más objetivos para tomar una decisión de riesgo. • Cuando se establece este sistema físicamente en
Si el sistema no se ha probado o se ha realizado de la empresa y para qué se conecta?
forma insuficientemente, la aceptación al riesgo o
• ¿El sistema de documentación de seguridad refleja
autorización para operar deben ser invalidadas.
todo lo anterior?
Si una empresa utiliza el NIST RMF, el programa de

Si el sistema no gestión de riesgos podrá responder correctamente
las preguntas para cada uno de sus sistemas, ya
está probado o no que la base del programa de gestión de riesgos es
robusto.
ha sido probado
adecuadamente, Ningún programa es perfecto; sin embargo, si una
empresa está evaluando los controles de seguridad
la aceptación o con un alto grado de confiabilidad, el auditor podrá
autorización para verificar este este nivel de desempeño, entonces
el programa de gestión de riesgos de la empresa
operar debe ser estará acorde con el funcionamiento deseado.
invalidada. Notas finales
1 National Institute of Standards and Technology,
Security and Privacy Controls for Federal
El liderazgo de la empresa tiene que establecer Information Systems and Organizations,
las expectativas para el programa de gestión de Special Publication 800-53, Revision 4, USA,
riesgos de la empresa y la forma en que este se April 2013, http://nvlpubs.nist.gov/nistpubs/
mide, principalmente en toda la fase de evaluación SpecialPublications/NIST.SP.800-53r4.pdf
del marco de gestión de riesgos. Para los auditores,
hacer las preguntas correctas es crucial para
descubrir el verdadero estado de funcionamiento

Entregando cumplimiento con artículo
artículo
protección de datos personales
en una escala global
aplica a todo el sector privado de procesamiento

Disponible également en français de datos personales por organizaciones de la UE ¿Tienes algo
www.isaca.org/currentissue y organizaciones fuera de la UE que se dirigen a que comentar
los residentes de la UE. Dondequiera que dichas sobre este
organizaciones trasladen datos personales a la UE, artículo?
El 4 de mayo de 2016, después de cuatro años se sentirá el impacto de la GDPR. Las empresas que Visita las páginas del
en la realización, el Reglamento General de la cumplen con estas definiciones se verán obligados Journal en el sitio web
Unión Europea de Protección de Datos (GDPR) se a cumplir o abandonar cualquier oportunidad de de ISACA (ww.isaca.
publicó en el Diario Oficial de la Unión Europea1 y interactuar con la audiencia significativa de clientes org/journal), encuentra
oficialmente estableció una fecha de aplicación2. de la UE. Duras sanciones por incumplimiento el artículo y da click
Mientras que el reglamento entró en vigor el 24 de incluyen multas superiores a 20 millones de €, o en el link Comments
mayo de 2016, se aplicará de ahora en adelante aproximadamente US $23 millones, y el 4 por ciento para compartir tus
a partir del 25 de mayo de 2018. El GDPR está de los ingresos globales de la compañía. pensamientos
trabajando en conjunto con la Directiva de la UE
en la ampliación de requerimientos, en relación Aunque las empresas de todos los tamaños serán
con el tratamiento de datos personales para desafiadas, el GDPR impacta más significativamente
lograr los objetivos comunes de protección de a las compañías globales con una amplia presencia
datos personales, la investigación del delito y el internacional. Estos retos surgen de las empresas
enjuiciamiento. Esta asociación está presentando que tienen que ampliar el alcance de entornos de TI
cambios radicales en las normas de protección ya muy complejas y de la transmisión transfronteriza
de datos de los cuales el mundo no ha visto las de datos personales.
inclinaciones en más de 20 años.
Convirtiendo costo en valor
La gran mayoría de los encuestados (84 por
ciento) indicó que anticipan que la GDPR Por lo general, cualquier cumplimiento se percibe
tendrá un impacto en su organización.3 como un costo. Las empresas eficaces y sus líderes
generan con éxito valor para las empresas y sus
El nuevo GDPR, presentada por la Comisión clientes mediante el diseño y la implementación de
Europea en 2012 y el acuerdo general por el programas de privacidad y cumplimiento de datos
Parlamento Europeo y el Consejo en diciembre sensibles.
de ese mismo año, se establece para sustituir la Por ejemplo, el principal proveedor mundial de
Directiva de Protección de Datos 95/46/CE. En gestión y automatización de energía propuso tres
los últimos cuatro años, las empresas proactivas objetivos principales para su iniciativa mundial de
han puesto en marcha los procesos necesarios cumplimiento de la protección de datos personales:
de privacidad y procedimientos que cumplan
con la Directiva 95/46/CE. Las empresas tendrán
que hacer lo mismo una vez más por las nuevas Ilya Kabanov, Ph.D.
medidas de protección para los interesados de la Es un experto en tecnología de la información, con 15 años de experiencia en
UE cuando la GDPR comienza a ser ejecutada. TI empresarial. Ha desempeñado importantes funciones de transformación en
Multas sustanciales y sanciones serán impuestas a estrategia de TI, gestión de proyectos tecnológicos, seguridad y privacidad
las empresas con los controladores y procesadores de datos en empresas desde la exitosa puesta en marcha hasta una empresa
de datos que no cumplan. global de US $ 36.000 millones. Actualmente, Kabanov lidera una iniciativa
global de seguridad de aplicaciones y cumplimiento de la privacidad de
datos personales para un proveedor global de gestión y automatización de la
El impacto de esta nueva regulación es energía. En 2013, la revista Kommersant lo reconoció como el mejor jefe de
completamente penetrante. Las empresas con información de Rusia en el sector de la logística y el transporte. Kabanov es
más de 250 trabajadores que procesan los datos miembro del Instituto de Ingenieros Eléctricos y Electrónicos y la Asociación
personales de los ciudadanos de la UE estarán Internacional de Profesionales de la Privacidad y sirve como un juez en el
sujetas a la GDPR. No sólo eso, sino que GDPR se Simposio CIO MIT Sloan.

1. Poner el riesgo de US $1.2 mil millones de violar las El objetivo de cada empresa es el cumplimiento,
regulaciones de protección de datos4 personales pero también buscarlo de tal manera que sustente
bajo control en la UE y otros países donde la el crecimiento y la rentabilidad. Esta no es una tarea
empresa opera. fácil, ya que cada empresa se enfrentará a varios retos
en un intento de alcanzar el cumplimiento.
2. H
abilitar y apoyar el crecimiento de los ingresos
y una rica experiencia del cliente en el área de
Desafíos
soluciones móviles y soluciones conectadas
de Internet de las Cosas (IoT) que la compañía El GDPR y reglamentos nacionales de protección
ofrece: de datos personales empujan la necesidad de las
organizaciones para desarrollar e implementar
Como los líderes generan valor a través del marcos de riesgo y cumplimiento que abarcan
cumplimiento: numerosos departamentos internos, incluyendo
• Expandir la satisfacción del cliente y legales, de seguridad y de TI, a la vez que
construir relaciones de confianza con los se mantenga en conformidad con diferentes
clientes legislaciones a través de múltiples jurisdicciones
• Habilitar el crecimiento de los ingresos en todo el mundo. Si bien hay diferentes puntos
• Reducir el costo de cumplimiento de vista sobre los procesos que las organizaciones
globales pueden adoptar para establecer y gestionar
3. L
ograr una reducción en el costo del los factores de riesgo de regulación y cumplimiento,
cumplimiento con una legislación de protección los desafíos que las empresas necesitan en realidad
de datos personales. Una forma de hacerlo son muy comunes. Son:
es utilizando reglas corporativas vinculantes • Complejidad—El volumen y la complejidad
mediante la aplicación de diferentes métodos de creciente del panorama de la regulación de
cumplimiento, incluida la auto-certificación, con protección de datos personales han cobrado
respecto al perfil de riesgo de las aplicaciones impulso, sobre todo en la Unión Europea, los
informáticas y los sistemas involucrados en el Estados Unidos y algunos países emergentes.
procesamiento de datos personales. Las empresas globales necesitan cumplir con
una variedad de la legislación reguladora a nivel
nacional y garantizar el cumplimiento en todas las
dimensiones del negocio tales como países, tipos
El objetivo de cada empresa de datos y volúmenes, y varias residencias de
es el cumplimiento, pero también procesadores de datos.
buscarlo de tal manera que • Agilidad y consistencia—Agilidad es un factor

necesario. Las leyes y regulaciones cambian
sustenta el crecimiento y la constantemente, y el tiempo que toma a los
nuevos productos TI llegar al mercado se está
rentabilidad. reduciendo. El cumplimiento de estos cambios
también debe reflejar un período de tiempo
condensado para ser eficaz. Las empresas
deben dar consistencia a sus estructuras de
Además, la compañía cree que su responsabilidad cumplimiento. Tiene que ser en tiempo real y
global va más allá del cumplimiento normativo. reflejar con precisión los cambios en las reglas y
La empresa cuenta con sólidos principios de la las nuevas regulaciones. Cada empresa tiene que
realización de negocios de forma ética, sostenible y desarrollar y estar alineados con ciclos rápidos
responsable en todo el mundo. La responsabilidad es de entrega de los sistemas de TI y productos.
el objetivo clave en el centro de gobierno corporativo El cumplimiento de las nuevas regulaciones
de la empresa. Esto determina el compromiso de la significa asegurarse de que múltiples sistemas y
empresa para establecer y cumplir con los más altos procesos múltiples son compatibles, no sólo en la
estándares de ética y privacidad, y le permite dar aplicación, pero a lo largo del ciclo de vida de la
forma al futuro de la industria mediante la introducción estructura.
de mejores prácticas de mañana hoy.

• La capacidad y disponibilidad de los expertos— aplicación a lo largo de todo el ciclo de vida, desde
La falta de experiencia en seguridad de TI y la la idea hasta la jubilación y garantizar el concepto y
escasez de expertos en el campo de la protección los datos de privacidad por diseño y la protección
de datos personales ralentizan y complican de datos en cada etapa. El marco se basa en un
el proceso de construcción de los marcos de proceso de cuatro pasos que incluye la evaluación
cumplimiento. Las compañías globales luchan por el de riesgos, mitigación de riesgos, certificación y
limitado número de expertos que pueden conducir auditoría fases posteriores a la certificación
programas de cumplimiento de protección de datos (figura 1).
complejas y, a menudo experimentan dificultades
en la educación de los empleados acerca de la Una vez que se estimó que era necesario
protección de datos personales. educar a 2.500 actores clave en un cambio
de proceso para lograr un alto nivel de
Aunque las empresas se enfrentan a grandes conciencia, colaboramos con nuestro
desafíos como la escala, la diversidad geográfica, departamento de comunicación interna
prioridades y las comunicaciones, las perspectivas para diseñar y ejecutar una campaña de
de estas empresas no es todo sombrío. Hay comunicación multi-canal de un año de
ciertos factores que ayudarán a forjar un marco de duración. Hemos aprovechado las redes
cumplimiento con una gran oportunidad para el sociales internas, los webinars y el elearning
éxito. para impulsar la adopción, la privacidad de los
datos y la cultura de concientización sobre los
Marcos de la vida real riesgos de seguridad a nivel mundial. Nuestro
objetivo no era sólo incorporar el marco que
Uno de los ejemplos de las estructuras de diseñamos dentro de los procesos existentes,
cumplimiento exitosas lo demostró una compañía pero asegúrese de que el cumplimiento
global que introdujo el marco de certificación para se convierta en parte del conocimiento
garantizar la seguridad y el cumplimiento de las profesional de los gerentes de proyectos y
aplicaciones y sistemas informáticos, garantizando los equipos de entrega de aplicaciones y
así a los clientes, los empleados y clientes de la operaciones.
adecuada protección de sus datos personales y - Director de Arquitectura Empresarial
datos corporativos, la autorización a los derechos
otorgados por la legislación y el cumplimiento de
las normas y políticas corporativas e industriales. Hay cuatro retos principales en impulsar la adopción
El marco fue diseñado para abarcar más de 1.000 del diseño del marco:
aplicaciones de software lanzadas anualmente, que 1. La complejidad de los entornos regulatorios
almacenan miles de millones de registros de datos externos e internos. El marco había tomado
estructurados y no estructurados y son accesados más de 200 leyes, políticas, normas y directrices
por millones de personas en todo el mundo. en cuenta y luego simplificarlos en los
procedimientos, recomendaciones y controles de
En una etapa temprana del desarrollo del marco, evaluación de riesgos aplicables.
se reconoció que el proceso de cumplimiento
debería abarcar exhaustivamente el trayecto de la
Figura 1—Las fases de asegurar la protección de datos en el ciclo

de vida de entrega del proyecto
I Evaluación de riesgos II Mitigación de riesgo III Certificación IV Auditoría

El jefe de proyecto completa El jefe de proyecto planifica y El jefe de proyecto completa Los propietarios
un formulario de evaluación ejecuta un plan de mitigación una lista de comprobación de aplicaciones
de riesgos para identificar de riesgos para confirmar la mitigación mantienen el cumplimiento
los riesgos
El líder de área de marco de El equipo del marco de trabajo El equipo del marco El equipo del marco de
trabajo del asiste y emite un ofrece servicios de evaluación de trabajo trabajo comprueba
informe de evaluación de la vulnerabilidad técnica y comprueba evidencias y evidencias y emite
de riesgos experiencia funcional emite un certificado un certificado
Evaluación Recolectar Completar la Informe y
de riesgo evidencia lista de remediación
completa documentada verificación
Fuente: I. Kabanov. Reimpreso con permiso.

descanso a través de culturas, idiomas y zonas
horarias, a la vez de mantener la concentración en el
diseño y la implementación de este marco.
.
Factor de éxito
Diseño e implementación de programas de
cumplimiento varían enormemente. Cada organización
debe asegurarse de que el cumplimiento está
incorporado adecuadamente en los procesos actuales
de la organización. Cuanto más compleja sea la
organización, más difícil será para garantizar que los
programas o iniciativas de privacidad se integran en, o
en toda la organización.
El nivel más alto de integración de un marco de

cumplimiento en los procesos existentes de gestión
de proyectos y programas garantiza la solidez y
exhaustividad de sus controles de redundancia
libre. A modo de ejemplo, el marco debe estar en
2. La madurez inicial de las políticas requirió la consonancia con los procesos que pueden tener
participación intensiva de expertos para evaluar diferentes nombres en las organizaciones, tales como
el riesgo, guiar a los equipos de ejecución de la excelencia del proyecto de extremo a extremo y la
proyectos en la implementación y aplicar los gestión del ciclo de vida del desarrollo de software.
controles. Este fue un grave impedimento para Esto ayudará a asegurarse de que las aplicaciones
la ampliación del marco, por lo tanto, el equipo de procesamiento de datos sigan el marco para
abordó el desafío mediante la aplicación de garantizar la seguridad y el cumplimiento en cada
un enfoque de experimentación. Esto permitió etapa del ciclo de vida, junto con los principios de la
al equipo desarrollar las mejores prácticas y ejecución de la privacidad por diseño y de seguridad
documentarlas en las formas de directrices por diseño.
prácticas para los equipos de entrega de
proyectos y los propietarios de aplicaciones. La comunicación es una parte crítica de la integración
3. La complejidad de un entorno de TI existente exitosa del marco en las operaciones de la empresa
donde se procesan los datos se convirtió en un y la rutina de entrega de proyectos. La comunicación
desafío adicional. Debido a este obstáculo, el a gran escala del proyecto es un ejercicio desafiante.
equipo puso mucho esfuerzo en aprender sobre Para lograr el éxito, los equipos necesitan asociarse
la arquitectura existente y los datos de mapeo. con una variedad de partes interesadas, luego
diseñar y conducir una campaña de comunicación
4. La gran escala de implementación del programa, de ondas múltiples como parte de un proceso de
la diversidad geográfica de despliegue y el gestión del cambio para aumentar la concientización
inconsistente nivel de conciencia sobre la sobre el marco y educar a los equipos de ejecución
privacidad de los datos entre 2.500 actores clave de proyectos sobre la privacidad de datos clave y el
repartidos en las 24 zonas horarias crearon un riesgo de seguridad.
desafío significativo para el rápido despliegue del
marco. Comunicación apoya la colaboración, que una
reciente encuesta de la Asociación Internacional
El marco fue el resultado de un trabajo perfectamente de Profesionales de la Privacidad (IAPP) de 550
orquestado y consolidado de miembros de equipo profesionales de la privacidad, la información y la
de todos los continentes que representan verticales seguridad de la información indicó como crítica para
funcionales clave. El equipo ha trabajado sin

abordar las brechas de datos. De hecho, el 90 por La mayoría de las compañías globales ya están
ciento de los encuestados consideró la colaboración buscando construir sólidos marcos de cumplimiento
entre los departamentos de privacidad, seguridad y basados en la Organización Internacional para
TI, junto con un fuerte equipo de respuesta a la brecha estándares de normalización (ISO)6 y están a
de datos, lo más importante para mitigar el riesgo de la espera de la publicación de la ISO/Comisión
una violación de datos5. Electrotécnica Internacional (CEI) 29151: 2015
Tecnologías de la información-Técnicas de
El cumplimiento de los problemas de privacidad de seguridad-Código de prácticas para la protección
datos personales no es únicamente la competencia de información de identificación personal7 e
de los departamentos de TI. Todas las facetas de ISO/IEC DIS 29134: Evaluación del impacto sobre
una organización deben estar comprometidas con la privacidad-Directrices8.
la implementación de nuevas reglas y regulaciones
e integrar esos nuevos factores en todos los La volatilidad del entorno regulatorio y los cambios
departamentos y en cada nivel de organización de la geopolíticos rápidos e impredecibles exigen que
empresa. las organizaciones mundiales tengan marcos
de cumplimiento verdaderamente sólidos para
Más allá del cumplimiento abordar los posibles cambios en las necesidades
de cumplimiento de la organización, así como
Líderes de la compañía demuestran el liderazgo requisitos externos. Brexit es un ejemplo perfecto de
ético en sus industrias y el uso de la conducta ética cómo el Reino Unido que abandona la UE, junto con
como un motor de crecimiento y de diferenciación el GDPR, hará que el cumplimiento sea más difícil
competitiva. Un marco de cumplimiento puede para las empresas globales.
servir como un componente clave de la cartera
mundial de seguridad cibernética y el cumplimiento
de las iniciativas. Su objetivo es permitir y apoyar el
crecimiento de los ingresos y brindar experiencias
impecables, seguras y protegidas para los clientes Un marco de
y los empleados. Mientras que los clientes piden la
mejora de la productividad, precisión y eficiencia,
cumplimiento puede
las empresas deben responder a esas necesidades servir como un
a través de relaciones de confianza que garantizan
a los clientes y socios el máximo nivel de privacidad componente clave de
de los datos, así como la confidencialidad,
integridad y disponibilidad de la información.
la cartera global de
seguridad cibernética
Además, los marcos de cumplimiento pueden
desempeñar un papel crucial en la reducción de
y cumplimiento de las
los ciclos de vida de los proyectos y la entrega de iniciativas.
productos para apoyar el crecimiento estratégico del
negocio en las áreas objetivo del mercado primario
de soluciones móviles y ofertas IoT conectadas.
Debido a que la salida efectiva del Reino Unido
Conclusión de la UE tendrá lugar después del 25 de mayo
de 2018, es importante señalar que las empresas
Empresas de todos los tamaños es probable que
de la UE tendrán que seguir cumpliendo con el
encuentren que el cumplimiento y la aplicación
GDPR. Todas las empresas que procesen datos de
GDPR no serán fáciles. Requerirá una integración
ciudadanos británicos en ese momento deberán
completa y perfecta en los procesos únicos de cada
cumplir con la legislación del Reino Unido Steve
empresa, lo que, a su vez, requerirá énfasis en una
Wood, comisionado adjunto interino en el Reino
comunicación adecuada y educación regulatoria.

Unido Oficina del Comisionado de Información Regard to the Processing of Personal Data
(ICO), dice: “El papel del ICO ha implicado siempre and on the Free Movement of Such Data, and
en estrecha colaboración con los reguladores de Repealing Directive 95/46/EC (General Data
otros países, y que seguirá siendo el caso. Tener Protection Regulation),” 4 May 2016, http://
leyes claras con garantías en su lugar es más ec.europa.eu/justice/data-protection/reform/
importante que nunca dada la economía digital en files/regulation_oj_en.pdf
crecimiento, y estaremos hablando con el gobierno 3 Baker and McKenzie, “Preparing for New
británico para explicar nuestra opinión de que Privacy Regimes: Privacy Professionals’ Views
la reforma de la ley de protección de datos del on the General Data Protection Regulation and
Reino Unido sigue siendo necesaria”9. En esencia, Privacy Shield,” April 2016, http://f.datasrvr.com/
esto significa que el Reino Unido va a evolucionar fr1/416/76165/IAPP_GDPR_and_Privacy_Shield_
las leyes de protección de datos y exigir a las Survey_Report.pdf
organizaciones que sirven a clientes del Reino 4 European Commission, “Protection of Personal
Unido para garantizar el cumplimiento, además de Data,” http://ec.europa.eu/justice/data-
la GDPR. Es importante recordar que las normativas protection/
de protección de datos personales son en su 5 International Association of Privacy
mayoría diseñados para ayudar a las organizaciones Professionals, “How IT and Infosec Value Privacy,”
a lograr las mejores prácticas para la protección https://iapp.org/resources/article/how-it-and-
de datos; en realidad son un buen conjunto de infosec-value-privacy/
reglas a seguir. Fundamentalmente, la mayoría de 6 International Organization for Standardization,
los requisitos de cumplimiento de protección de ISO/IEC 27018:2014 Information technology—
datos personales exige la privacidad por diseño, Security techniques—Code of practice for
buenas políticas de gestión de la información, y las protection of personally identifiable information
medidas de seguridad razonables, procedimientos (PII) in public clouds acting as PII processors,
y tecnologías para minimizar los posibles incidentes 1 August 2014, www.iso.org/iso/catalogue_
de pérdida de datos. Por lo tanto, las organizaciones detail.htm?csnumber=61498
que han diseñado y desplegado sólidos marcos de 7 International Organization for Standardization,
cumplimiento con una granularidad razonable de los ISO/IEC DIS 29151 Information technology—
controles podrán aplicarlos ampliamente, al tiempo Security techniques—Code of practice for
que abordarán los posibles cambios normativos y personally identifiable information protection, 5 July
cambiará las necesidades de cumplimiento para 2016, www.iso.org/iso/home/store/catalogue_tc/
proteger con seguridad los datos personales y catalogue_detail.htm?csnumber=62726
permitir oportunidades de negocio. 8 International Organization for Standardization,
ISO/IEC DIS 29134 Information technology—
Notas finales Securitytechniques—Privacyimpactassessment—
Guidelines, 18 July 2016,
1 Official Journal of the European Community, www.iso.org/iso/home/store/catalogue_tc/
www.ojec.com/ catalogue_detail.htm?csnumber=62289
2 Official Journal of the European Union, 9 Wood, S.; “GDPR Still Relevant for the UK,”
“Regulation (EU) 2016/679 of the European Information Commissioner’s Office, 7 July 2016,
Parliament and of the Council of 27 April 2016 https://iconewsblog.wordpress.com/2016/07/07/
on the Protection of Natural Persons With gdpr-still-relevant-for-the-uk/

artículo
artículo
Mejorando el proceso de seguimiento
de auditoría usando COBIT 5
COBIT® 5 para aseguramiento construye sobre la base para abordar los hallazgos y recomendaciones de
del marco de trabajo de COBIT® 5 proveyendo una auditoría reportados ¿Tienes algo
guía detallada y práctica para profesionales que comentar
del aseguramiento sobre cómo utilizar COBIT 5 Figura 1—Catalizadores Corporativos sobre este
para soportar una variedad de actividades de de COBIT 5 artículo?
aseguramiento TI. Visita las páginas del
Journal en el sitio web
Una de las actividades clave de aseguramiento de ISACA (ww.isaca.
TI es asegurarse que el riesgo ha sido mitigado. org/journal), encuentra
COBIT 5 para aseguramiento requiere que, donde el artículo y da click
sea apropiado, las recomendaciones pueda incluir en el link Comments
provisiones para monitoreo y seguimiento oportuno1. para compartir tus
Implementar un proceso de seguimiento de auditoría pensamientos.
usando los catalizadores COBIT 5 y el Marco de
Trabajo de Aseguramiento de Tecnologías de la
Información (ITAF)2 provee valor a la empresa.
Los catalizadores de COBIT 5 y el Fuente: ISACA, COBIT® 5, USA, 2012

proceso de seguimiento de auditoría
Procesos
Los catalizadores son factores que, en forma
Los procesos describen un conjunto de prácticas y
colectiva e individual, influencian para que algo
actividades para alcanzar ciertos objetivos y producir
funcione o no. Los catalizadores son impulsados por
un conjunto de salidas como soporte para alcanzar
la cascada de metas, por ejemplo, las metas de TI
metas globales relacionadas con TI6.
de alto nivel definen que deben lograr los distintos
catalizadores3. El marco de trabajo de COBIT 5
Los procesos requieren buenas prácticas. Éstas son
describe siete categorías de catalizadores (figura 1).
provistas por la guía ITAF 24027, la cual documenta
COBIT 5 para aseguramiento revisa cada uno de
guías en torno a las acciones de confirmación
estos catalizadores, destacando la perspectiva de
tomadas como respuesta a recomendaciones de
aseguramiento. El artículo sigue una metodología
auditoría. Los procesos también deberían tener un
similar enfocándose en el proceso de seguimiento
ciclo de vida. Esto se encuentra documentado en la
de auditoría.
guía 2402 del siguiente modo:
Principios, Políticas y Marcos de Trabajo • 2.1 Proceso de seguimiento
Los principios, políticas y marcos de trabajo son los
vehículos para traducir el comportamiento deseado
Ian Cooke, CISA, CRISC, CGEIT, COBIT Foundation, CFE, CPTS,
en guías prácticas para la gestión día a día4.
DipFM, ITIL Foundation, Six Sigma Green Belt
Es un gerente de auditoría TI establecido en Dublin, Irlanda, con más de 25
Las guías prácticas para las actividades de años de experiencia en todos los aspectos de los sistemas de información.
seguimiento de auditoría están incluidas en ITAF. Miembro de los Grupos de Trabajo de las Comunidades de ISACA, él es
Específicamente el estándar 2402, Actividades de también el líder temático para discusiones de Bases de Datos Oracle,
Seguimiento5, requiere que los profesionales de Bases de Datos de SQL Server y Herramientas y Técnicas de Auditoría.
auditoría y aseguramiento SI monitoreen información Cooke acepta comentarios y sugerencias en Ian_J_Cooke@hotmail.com
relevante para concluir si la administración ha o en el tema de Herramientas y Técnicas de Auditoría en el Centro de
Conocimiento de ISACA.
planeado o tomado acciones apropiadas oportunas

• 2.2 Acciones propuestas por la administración manera de hacer esto es utilizando una matriz de
responsable, encargado, consultado e informado
• 2.3 Asumiendo el riesgo de no tomar acciones
(RACI). Una matriz RACI sugerida para el proceso de
correctivas
seguimiento de auditoría puede verse en la figura 3.
• 2.4 Procedimientos de seguimiento
Cultura, Ética y Comportamiento
• 2.5 Tiempos y planificación de actividades de
La cultura, ética y comportamiento de los individuos
seguimiento
y de la empresa son usualmente subestimados
• 2.6 Naturaleza y ámbito de las actividades de como un factor de éxito en las actividades
seguimiento de gobierno y gestión9. Para el proceso de
seguimiento de auditoría el foco está en confirmar la
• 2.7 Actividades de seguimiento de postergación
implementación de ítems de auditoría. Las buenas
• 2.8 Formato de respuestas de seguimiento prácticas son discutidas en la figura 4.
• 2.9 Seguimiento a manos de profesionales acerca
de recomendaciones de auditoría externa Figura 3—Matriz RACI de seguimiento de
auditoría
• 2.10 Reportando actividades de seguimiento
Responsable Auditado—gestor de asuntos
Estos pasos sugieren que los ítems de Encargado Administrador del auditado—dueño de
asuntos
recomendaciones de auditoría tienen diferentes
estados a medida que fluyen por el ciclo de vida. La Consultado Administrador del riesgo, cumplimiento,
figura 2 resume los estados que una acción puede legal, etc.
tener a lo largo de su ciclo de vida. Informado Directorio, comité de auditoría, auditoría
externa
Estructuras Organizacionales Fuente: Ian Cooke. Reimpreso con permiso.
Las estructuras organizacionales son las entidades

claves en la toma de decisiones en una empresa8. Información
Las buenas prácticas aquí incluyen la definición La información permea a través de cualquier
de los principios operativos, el ámbito de control, organización e incluye toda la información
el nivel de autoridad, la delegación de autoridad producida y utilizada por la empresa. La información
y los procedimientos de escalamiento para los es requerida para mantener la organización
ítems de recomendaciones de auditoría. La mejor funcionando y adecuadamente gobernada10.
Figura 2—Estado de recomendaciones de auditorías

Estado Descripción Fecha Relacionada
Borrador La acción aún no ha sido acordada con la administración. Fecha de levantamiento
Destacado La acción ha sido acordada con la administración, pero aún no ha sido
implementada.
Parcialmente La acción es un trabajo en progreso; algunos elementos han sido
implementado implementados.
Totalmente implementado La administración ha indicado que todos los elementos de la acción Fecha de implementación
acordada han sido completados. total
Confirmado Auditoría interna ha confirmado, vía procedimientos de seguimiento, Fecha de cierre
que la acción acordada ha sido completada.
Retrasado La acción ha sido retrasada hasta una fecha posterior (por ejemplo Fecha de cierre
puede ser dependiente de otra acción, actividad o mejora).
En desacuerdo La administración ha decidido en contra de la implementación de la Fecha de cierre
acción acordada.
Fuente: Ian Cooke. Reimpreso con permiso.

La información acerca de los ítems de seguimiento Otros ítems que agreguen valor a la empresa
de auditoría debe ser capturada en un registro de pueden ser agregados.
hallazgos de aseguramiento. Este es un registro de .
asuntos/hallazgos levantados durante actividades Figura 6—Registro de hallazgos de
de aseguramiento. Es mantenido y seguido aseguramiento Ítems de datos adicionales
para asegurar que los asuntos/hallazgos más sugeridos
significativos han sido registrados en acuerdo en los
Tema de la recomendación
reportes de aseguramiento11. La figura 5 muestra
los ítems de datos que deberían ser capturados Compañía, división
como mínimo. País
Marco de trabajo relacionado/regulación
Figura 4—Buenas prácticas de cultura, Fuente: Ian Cooke. Reimpreso con permiso.
ética y comportamiento
Comunicación El propósito del proceso de Servicios, Infraestructura y Aplicaciones
seguimiento de auditoría debe ser Los servicios, infraestructura y aplicaciones incluyen
documentado y comunicado a todos la infraestructura, tecnología y aplicaciones que
los empleados, pero especialmente provee la empresa con servicios y procesamiento de
aquellos identificados en la figura 3.
tecnologías de información13.
Campeones Los empleados que están dispuestos
o son capaces de completar Desde una perspectiva de seguimiento de auditoría,
exitosamente el proceso de
seguimiento deben ser identificados. lo que realmente se requiere es una instalación
para almacenar los hallazgos de aseguramiento
Reforzamiento Puede existir la necesidad de un y producir reportes basados en los mismos. Esta
refuerzo. Por ejemplo, puede haber
una necesidad de una política puede ser una aplicación (por ejemplo, software de
de recursos humanos (RRHH) gestión de auditoría) o Microsoft Excel/Access. Las
estableciendo que cualquier aplicaciones de tipo flujo de trabajo también pueden
malinterpretación por los auditados ser útiles para solicitar o hacer seguimiento a las
resultará en acciones disciplinarias. recomendaciones.
Incentivos y La completitud de los ítems de
recompensas recomendaciones de auditoría Personas, Habilidades y Competencias
podrían formar parte de los esquemas
Las personas, habilidades y competencias son
de incentivos de los auditados.
requeridas para completar exitosamente todas las
actividades y para tomar decisiones correctas y
tomar acciones correctivas14.
Figura 5—Registro de hallazgos de
aseguramiento Ítems de datos mínimos El auditor debe ser competente y contar con
Un número de referencia único las habilidades necesarias para confirmar la
La referencia del reporte implementación del ítem de auditoría. El auditor
debe saber o tener una idea por adelantado de qué
Una descripción del ítem/riesgo
será aceptable para confirmar la implementación.
Significancia—denota el nivel de riesgo percibido Esto puede variar dependiendo de la relevancia del
Una descripción de la solución/mitigación propuesta ítem. Un certificación de Auditor de Sistemas de
La fecha propuesta de implementación Información Certificado® (CISA®) y familiaridad con
Fuente: Ian Cooke. Reimpreso con permiso. ITAF también será beneficioso.
De cualquier manera, es ventajoso agregar Reuniéndolo todo—El proceso de

ítems de datos adicionales. COBIT® 5: Procesos seguimiento de auditoría en acción
Habilitadores describe atributos de información12.
Acciones Propuestas por la Administración
Uno puede agregar valor a la información al agregar
El proceso de seguimiento se inicia con la creación
más ítems de datos (figura 6).
del reporte de auditoría, específicamente, al

Figura 7— Item de recomendación de auditoría de muestra
¿Disfruto este Item de datos Referencia Ejemplo
artículo? Un número único de referencia Figura 5 3434
La referencia del reporte Figura 5 2016/05
• Lea Information
Systems Auditing: Una descripción del ítem/riesgo Figura 5 No se definió ningún acuerdo de nivel de servicio
Tools and (SLA)….
Techniques—IS Relevancia—denota el nivel de riesgo recibido Figura 5 3 (1 is highest)
Audit Reporting. Una descripción de la solución/mitigación propuesta Figura 5 Un SLA será definido...
www.isaca.org/tools-
TLa fecha de implementación propuesta Figura 5 09/30/2016
and-techniques
Auditado—gestor de asuntos Figura 3 Administrador de TI 4
• Aprenda más Administrador del auditado—dueño de asuntos Figura 3 Ejecutivo 2
acerca de, discuta Estado Figura 2 Destacado
y colabore
Fecha de levantamiento Figura 2 06/30/2016
usando COBIT® 5
en el Centro de Fecha de implementación total Figura 2
Conocimiento. Fecha de cierre Figura 2
www.isaca.org/cobit- Tema de la recomendación Figura 6 SLAs
5-use-it-effectively
Compañía, división o ubicación Figura 6 Dublin
País Figura 6 Irlanda
Marco de trabajo relacionado/regulación Figura 6 COBIT 5 APO09
momento que se hacen las recomendaciones y las puede cambiar desde “destacado” a “parcialmente
acciones propuestas por la administración15 son implementado”, “completamente implementado” o, si
documentadas. La figura 7 documenta qué debe se verifica, “cerrado”.
ser capturado en esta etapa.
La significancia también puede cambiar. Esto puede
Procedimientos de Seguimiento ocurrir donde los sistemas de aplicaciones han
Una vez que las acciones propuestas son cambiado, los controles compensatorios han sido
acordadas, los procedimientos para las actividades implementados, o los objetivos o prioridades del
de seguimiento deben ser establecidos16. Esto debe negocio han cambiado de tal manera que eliminan
incluir: efectivamente o reducen significativamente el riesgo
original.
• Una evaluación de la respuesta de la
administración
Asumiendo el Riesgo o No Tomando Acciones
• Una verificación de la respuesta, si es apropiada Correctivas
La administración debe decidir aceptar el riesgo
• Trabajo de seguimiento, si es apropiado
de no corregir la condición reportada en base a
su costo, complejidad de la acción correctiva u
Al completarse las actividades de seguimiento, el
otras consideraciones17. En dichas circunstancias,
estado del ítem de recomendación de auditoría debe
la recomendación puede no llegar a acuerdo o
cambiar. Por ejemplo, el estado de recomendación
postergada para una fecha posterior.

Reportando las actividades de seguimiento
Figura 8—Resumen de muestra –
La documentación de ISACA recomienda que un destacados por país
reporte con el estado de las acciones correctivas
acordadas provenientes de las cartas de acuerdo
de auditoría, incluyendo las recomendaciones 13% 9%
acordadas aún no implementadas, debe presentarse Francia

13%
al nivel apropiado de la administración y a aquellos
Alemania
encargados del gobierno (por ejemplo, el comité de
Irlanda
auditoría)18.
USA
Reportar el estado de ítems individuales es una

buena práctica. Sin embargo, al recolectar la 65%
información sugerida anteriormente, junto con los

estados y fechas relacionadas que se han seguido,
se puede hacer más. Primero, usando tablas pivote
de Excel (o una herramienta similar) los datos
Las tablas pivote de Excel pueden también
pueden ser agregados. Esto puede luego ser usado
ser usadas para resumir los estados de las
para mostrar como secciones enteras, divisiones,
recomendaciones de auditoría en formatos que sean
países o dueños están rindiendo (figuras 8 y 9).
más familiares a la administración (figura 10).
Figura 9—Resumen de muestra—estado por dueño
Exec 6
Exec 5 Parcialmente implementado

Exec 4 Destacado
Exec 3 Totalmente Implementado
Exec 2 Borrador
En Desacuerdo
Exec 1
Retrasado
CIO
Cerrado
CFO
0 5 10 15 20

O, pueden ser usados para demostrar cumplimiento que existan problemas con la autenticación y
de los estándares de la empresa (figuras 11 y 12). autorización (figura 13).
Estos ejemplos indican puntos de dolor y son Beneficios del proceso mejorado de
buenos indicadores de retardo. Sin embargo, una seguimiento de auditoría
revisión cuidadosa de los temas ubicados revela
que también pueden ser considerados indicadores Capturando los estados de las recomendaciones
líderes. Por ejemplo, si una nueva aplicación va de auditoría en un registro de hallazgos de
a ser implementada en Irlanda, es muy probable aseguramiento significa que, de parte de las buenas
prácticas, un reporte del estado de acciones
Figura 10—Resumen de muestra items vencidos por número de días

30
25
20
360
15 270
90
10
0
5
0
Francia Alemania Irlanda Reino Unido USA
Figura 11—Ejemplo de resumen de artículos cerrados por la organización internacional

para la cláusula de normalización (ISO)
5.1
10.1
10.2
12.4
9.2.2
14.1
12.1.2
14.1 17.1
10.2 12.1.2
5.1
9.1.2
a
ia
os ia
s
cia
ca
9.2.2
ido
nd
c
an
lgi
e
an
Irla
Su
Un
m
Bé
Fr
Ale
tad
Es

Figura 12—Resumen de muestra—relevancia de la referencia de COBIT 5
35
30
25
4
20
3
15
2
10
1 = mayor
5 4 = menor
0
AP009 AP012 AP013 BAI06 DSS04 DSS04 DSS05 EDM01
Figura13—Resumen de muestra—items abiertos por tema

correctivas acordadas puede ser presentado a la 3 ISACA, COBIT® 5, USA, 2012, p. 27, www.isaca.
Alta Administración y al comité de auditoría. Sin org/COBIT/Pages/COBIT-5-Framework-product-
embargo, capturando la información adicional page.aspx
sugerida, uno puede: 4 Op cit, COBIT 5, p. 27
5 Op cit, ITAF, p. 39
• Presentar información resumida por país/
6 Op cit, COBIT 5, p. 27
departamento/región/dueño
• Presentar la información en un formato con el que 8 Op cit, COBIT 5, p. 27
los ejecutivos estén más familiarizados 9 Ibid.
10 Ibid.
• Mostrar claramente el cumplimiento a los estándares
11 Op cit, COBIT® 5 for Assurance, p. 45
y regulaciones
12 ISACA, COBIT® 5: Enabling Information, USA,
• Usar la información como un indicador líder para 2013, p. 37, figure 28, www.isaca.org/COBIT/
nuevas iniciativas Pages/COBIT-5-Enabling-Information-product-
page.aspx
Esto otorga unan mejor perspectiva de los riesgos 13 Op cit, COBIT 5, p. 27
que afectan diferentes áreas de la empresa. 14 Ibid.
Notas finales 16 Ibid.
17 Ibid.
1 ISACA®, COBIT® 5 for Assurance, USA, 2013, 18 Ibid.
p. 17, www.isaca.org/COBIT/Pages/Assurance-
product-page.aspx
2 ISACA, ITAFTM: A Professional Practices
Framework for IS Audit/ Assurance, 3rd Edition,
USA, 2014, www.isaca.org/Knowledge-Center/
Research/ResearchDeliverables/Pages/ITAF-3rd-
Edition.aspx
www.isaca.org/Journal-Jv6

Análisis avanzado de artículo
artículo
datos para Auditores
de TI
Análisis de datos es una herramienta imprescindible Numerosas disciplinas utilizan el análisis de datos
¿Tienes algo para la capacidad de la función1 de auditoría y simples y avanzados para:
que comentar ampliamente esperada para convertirse en una gran
• Clasificación—Identificación de un (buen o mal
sobre este parte de esta en el futuro2.
cliente) y (fraude/ningún fraude)
artículo?
Visita las páginas del Análisis de datos se define como, “la ciencia de • Agrupación—Identificación de grupos con
Journal en el sitio web examinar los datos en bruto con el fin de sacar comportamiento similar
de ISACA (ww.isaca. conclusiones sobre esa información…”3 La
• Asociación—Determinación de que todos quienes
org/journal), encuentra definición continúa, afirmando:
compraron el ítem A también compraron el ítem
el artículo y da click
en el link Comments B, y el 80 por ciento de ellos producto también
La ciencia se divide generalmente en análisis
para compartir tus compraron el C
exploratorio de datos (EDA), donde las nuevas
pensamientos. características de los datos que son descubiertas, y • Recapitulación—Describiendo grupos con
el análisis de datos de confirmatorio (CDA), donde ciertas características (por ejemplo, ejecutivos
hipótesis existentes resultan ser ciertas o falsas ... con un promedio de uso del total de tarjetas de la
En tecnología de la información, el término tiene un empresa que tienen más de x dólares)
significado especial en el contexto de las auditorías
• Análisis de enlaces/vínculos—Determinación
de TI, cuando los controles para una organización
de conexiones (por ejemplo, A llamó a B y B
respecto a los sistemas de información, operaciones
inmediatamente llamó C, por lo tanto, A quizás
y procesos son examinados. El análisis de datos es
esté vinculada a C)
utilizado para determinar si los sistemas establecidos
protegen eficazmente los datos, operan de manera • Detección de desviación—Identificación de
eficiente y tienen éxito en el logro de las metas transacciones significativamente diferentes desde
generales de una organización4. el promedio
• Predicción/estimación—Prediciendo tendencias
o crecimientos de nuevos negocios
• Visualización—Tal vez esto no es análisis de

datos propiamente dicho, pero ayuda en el
descubrimiento humano no automatizado (por
ejemplo, gráficos o imágenes médicas)
Dos categorías de análisis de datos

Las técnicas de análisis de datos por lo general
pertenecen a una de las siguientes dos categorías:
• Fácil—Uno sabe lo que está buscando. La

primera categoría por lo general tiene una regla
o umbral bien definido y busca violaciones (por
ejemplo, todas las transacciones monetarias con
Spiros Alexiou, Ph.D., CISA
valor mayor que un umbral determinado o todos
Es un auditor de TI que ha estado durante ocho años con una gran empresa.
Cuenta con más de 20 años de experiencia en sistemas de información los empleados retirados que continúan teniendo
y de análisis de datos y ha escrito numerosos programas informáticos acceso a los sistemas de TI). La primera categoría
sofisticados. Él puede ser contactado en spiralexiou@gmail.com analítica por lo general emplea consultas a una

base de datos u hojas de cálculo. Auditorías métodos de la primera categoría u otros métodos de
utilizan ampliamente esta categoría de análisis. la segunda categoría. El objetivo principal de este
A medida que el tamaño de los datos aumenta, artículo es el análisis de datos avanzados.
los auditores a menudo se basan en agregado
de datos que TI prepara. Tales datos pueden La complejidad del análisis de datos
ser inadecuados por razones de flexibilidad y avanzado
dependencia sobre TI. Los datos no necesitan ser
grandes para ser usables o útiles. Cantidades de análisis de datos avanzados se
asocian con casos complejos que no pueden ser
• Avanzado—Uno no sabe a priori lo que uno está etiquetados con usa regla sencilla tal como “si el
buscando (por ejemplo, los auditores no están valor de transacción es mayor que una cantidad
comprobando si los umbrales son violados o dada y sin historia previa de una operación de este
incluso los valores del umbral). Por ejemplo, los tipo por este usuario es encontrada, clasificarlo
auditores descubren un nuevo fenómeno que aún como sospechoso”. Estas sencillas reglas suelen
no se le aplican las reglas y límites conocidos. Los incluir umbrales, y el cruce de estos umbrales es un
auditores quizás estén interesados en tendencias indicador.
o patrones, o ellos quizás estén interesados en
descubrir nuevas cosas. Los datos suelen contar Esquemas de fraude sofisticados a menudo evaden
una historia y, en esta categoría, los auditores la detección por simples reglas de la primera
quieren ser capaces de leer la historia. Un ejemplo categoría de técnicas de análisis de datos. Técnicas
es que los auditores de fraude quizás no conozcan avanzadas de análisis de datos tienen como objetivo
exactamente si el fraude existe y, precisamente, detectar estos casos interesantes.
en qué este consiste, porque pueden aparecer
nuevas formas de fraude. Los auditores pueden Por ejemplo, aunque llamadas de corta duración
incluso estar interesado en enseñar al computador quizás no sean sospechosas por sí mismas, una
cómo leer los datos y hacer inferencias, aunque combinación de tales llamadas con otra información
el rendimiento de los computadores debe ser puede ser un signo de violar las telecomunicaciones
supervisado. o sistemas de centrales telefónicas privadas—
PABX (Private Automatix Branch Exchange).
En general, aunque una intrusión sin detectar o
actividad fraudulenta quizás no pueden violar una
regla simple o umbral y, por lo tanto, evadir la
Independientemente primera categoría de análisis, la actividad debe,
del método o la sin embargo, presentar características que son
diferentes desde una actividad normal para ser
categoría de análisis de detectada por el análisis de datos avanzado.
datos, la experiencia en El análisis de datos avanzado puede detectar
el campo es vital para desviaciones del comportamiento normal, incluso
si el comportamiento normal no ha sido definido en
el análisis de datos. términos de reglas o umbrales. Sin embargo, para
detectar estos casos, toda la información pertinente,
(por ejemplo, campos) deben ser identificados e
incluidos en los datos, a pesar de que puede que
La primera categoría de análisis de datos es no sea claro aún cómo la información debe ser
análoga para aprender a conducir por el aprendizaje correlacionada con las desviaciones de un caso de
de reglas (por ejemplo, la forma de arrancar el fraude, por ejemplo.
motor, como frenar, como hacer girar la rueda,
comprendiendo los límites de velocidad), y la El Caso para expertos en el área
segunda categoría es similar a aprender a conducir
viendo videos categorizados como buenas y Independientemente del método o la categoría de
malas conducciones (manejos). Las técnicas de la análisis de datos, la experiencia en el campo es de
segunda categoría son ampliamente utilizadas en vital importancia para el análisis de datos y es la
muchos campos y, a menudo combinada con los razón principal porqué las empresas reclutan nuevos

auditores que tienen experiencia en el área en un métodos y sub-métodos a menudo tienen nombres
campo relevante, como TI o finanzas. técnicos, tales como la optimización de mínimos ¿Disfruto este
secuenciales (Sequential Minimal Optimization— artículo?
Se requiere experiencia en el campo/área para SMO), método de máquinas de vectores de soporte
identificar los campos relevantes de los datos. (Support Vector Machines—SVM), y K-means (el
• LeaGenerating
Sistemas y herramientas de análisis de datos algoritmo de agrupamiento más utilizado).
Value From Big Data
devuelven ruido si se les proporciona datos
Analytics.
irrelevantes, y el costo de la investigación de los Preparación de datos www.isaca.org/big-
falsos positivos suele ser sustancial. Por ejemplo,
Por lo general, un conjunto de datos requiere data-analytics
si una empresa emplea análisis de datos para
preparación de los datos si este contiene: • Aprenda más
identificar un posible fraude, lavado de dinero o de
acerca de, discute
un posible ataque, un científico de datos puede • Más de un campo (por ejemplo, valor monetario y y colabore sobre
comprender los métodos de análisis de datos y número de transacciones) herramientas de
aplicarlos bien entonces, pero no necesariamente
• Un campo categórico no numérico (por ejemplo, auditoría y técnicas
conoce los campos relevantes y cómo ellos
masculino/femenino) en el Centro de
deberían ser usados.
Conocimiento.
• Un campo nominal, por ejemplo, posición en la www.isaca.org/
Un experto en el dominio/área entiende la empresa (administrador, director, personal de it-audit-tools-and-
información que es relevante, o potencialmente entrada de datos) techniques
relevante, al fraude, el lavado de dinero, un ataque,
intrusión, etc., pero no necesariamente se conoce La preparación de datos proporciona la importancia
los métodos de análisis de datos para el uso de esta relativa de cada campo para programas o
información en casos complejos. herramientas, por ejemplo, la importancia de un
usuario común haciendo 10 transacciones vs. un
¿Se necesita ser un científico de administrador haciendo 10 transacciones. Otro
datos para utilizar herramientas de ejemplo es el número de transacciones bancarias
análisis de los datos? realizadas vs. La cantidad total de las transacciones.
¿Son estas igualmente importantes? ¿Es la cantidad
La respuesta corta es no. Idealmente, uno debería ser
total más importante? Si es así, ¿Cuánto más
capaz de dar instrucciones a un sistema o herramienta
importante? La tarea de preparación de los datos
para, “ejecutar el método (A) sobre el conjunto de
es similar a la definición de una escala común para
datos (B), y proporcionar los resultados”. Numerosas
medir diferentes cantidades y requiere experiencia
herramientas pueden ayudar a los auditores a hacer
en el campo. Esta tarea puede ser más complicada
eso. Las “10 Herramientas (Superiores) de análisis
si el conjunto de datos contiene datos no numéricos,
de datos para negocios”5 proporcionan una lista de
tales como campos (Si/No) que respuestas a
herramientas para el análisis de datos. La mayoría
preguntas como, “¿Hay un destino sospechoso de
de estas herramientas proporcionan los métodos
transferencia de dinero?” Los datos no numéricos no
que se describen más adelante en este artículo. Las
sólo deben ser convertidos a un número, sino también
principales diferencias entre estas herramientas son
a un número que es escalado para asignarle su
las facilidades de uso, la interconexión y los precios.
importancia relativa con respecto a otros campos.
Los usuarios de las herramientas de análisis de datos

Asignando importancia relativa numéricamente
deben ser capaces de:
es necesario porque muchos métodos utilizan el
• Entender lo que hace el método (A). concepto de distancia, es decir, una medida de lo
cerca que dos eventos están el uno al otro en sus
• Preparar el conjunto de datos (B) para que sea
características, por ejemplo, valores de campo para
utilizable por el método (A).
las transacciones. Cada evento consiste en una
• Interpretar los resultados serie de campos, y cada valor del campo debe ser
numérico (o convertido a un número) y ampliado para
Para poder utilizar estas herramientas, se requiere reflejar su importancia con respecto a otros campos.
alguna familiarización con la terminología y jerga de Aquí es donde la experiencia en el campo entra
análisis de datos y puede ser necesaria ya que los en juego. Ningún programa es lo suficientemente

inteligente como para determinar la importancia a un comportamiento similar. La agrupación no
relativa, al menos que se le diga cómo hacerlo. identifica agrupaciones extrañas o sospechosas,
aunque esta puede identificar eventos dentro de un
Métodos de análisis de datos grupo (cluster) que están distantes desde la mayoría
de los otros en el mismo grupo (outliers). Por lo
Aunque más métodos están disponibles, hay cinco tanto, los humanos deben interpretar y comprender
métodos de análisis de datos que pueden mejorar los resultados. La agrupación es una muy buena
las auditorías. herramienta de exploración que hace casi ninguna
hipótesis y se ha utilizado en diversas auditorías que
Agrupación van desde la contabilidad al tráfico de red6, 7, 8. Por
La agrupación organiza los datos en grupos ejemplo, la agrupación fue aplicada al tráfico de red
similares, por ejemplo: para identificar dos grupos, a saber, los flujos de los
tráficos de red normal y anormal9. Cada miembro
• Un grupo de gerentes que muestran un
de estos grupos tiene características específicas,
comportamiento similar en la externalización de
paquetes, bytes y diferentes pares de fuentes-
trabajo que es bastante distinto desde todos los
destino, que se acercan más a los miembros del
otros gerentes
grupo que a los miembros del otro grupo.
• Un grupo de clientes que exhiben un
comportamiento similar, tales como transacciones Máquinas de vectores de soporte
de gran volumen de pequeño valor individual Las máquinas de vectores de soporte (SVM) como
método de análisis de datos es similar a la de
• Los paquetes IP con características especiales
agrupación (clustering), porque SVM define, tan
La agrupación identifica naturalmente grupos con
precisamente como sea posible, los límites entre
características que son similares dentro del grupo
diferentes grupos, tales como (fraude/sin fraude) o
y diferente desde los miembros de otros grupos.
(Solvente/ insolvente). La característica que separan
La figura 1 muestra el agrupamiento de datos con
a un SVM de la agrupación es que SVM utiliza un
dos atributos. Los datos pertenecen a uno de los
conjunto de datos previamente etiquetados para
tres grupos que se muestran en (X, *, +).
enseñar a la computadora a dibujar la línea fronteriza,
lo cual, en términos matemáticos, es el hiperplano.
Figura 1—Agrupación de datos La SVM define este hiperplano/limítrofe porque este
con dos atributos mejor divide los dos conjuntos de datos etiquetados.
La división efectivamente maximiza el área, es decir,
Ilustración del agrupamiento para datos de 2 atributos
la suma de las distancias del punto más cercano de
cada conjunto de datos a la frontera más cercana,
Cluster 3
entre los dos conjuntos de datos, como se ilustra en la
Cluster 1
figura 2. En consecuencia, un nuevo evento, o punto,
a la izquierda de la línea fronteriza establecida es
clasificado como el resto de los puntos a la izquierda
de la línea fronteriza (por ejemplo, [fraude/No fraude],
[opinión positiva/opinión negativa] de un nuevo
sistema de información).
Cluster 2 La figura 2 muestra SVM para dos conjuntos de datos

etiquetados (círculos y cuadrados). La demarcación
Fuente: Spiros Alexiou. Reimpreso con permiso.
del hiperplano mejor divide los dos conjuntos
de datos, es decir, este maximiza la suma de las
El análisis humano y la interpretación de las distancias de los puntos más cercanos A y B desde
características del grupo, tales como centro de la frontera/hiperplano. SVM es un método robusto
gravedad de la agrupación, los valores promedios con una base matemática sólida y es entrenable con
y la difusión de los datos atributos de los de cada relativamente pocos conjuntos de datos. Sin embargo,
grupo, son ejecutados secuencialmente con el los resultados no son transparentes para los usuarios.
objetivo de comprender cada grupo. La agrupación Además, el método es muy sensible al etiquetado
requiere una distancia bien definida para acceder de los casos límite (puntos A y B en la figura 2).

Una etiqueta incorrecta en los datos de aprendizaje/ Razonamiento basado en casos
entrenamiento puede causar resultados erróneos. Por El método de razonamiento basado en casos (CBR)
lo tanto, el método SVM es mejor para ser utilizado intenta imitar, en un alto nivel, el razonamiento
cuando se busca determinar una frontera y se tiene un del cerebro humano. Un método de resolución
alto grado de confianza en el etiquetado de los casos de problemas comunes que es utilizado por los
conocidos, especialmente esos que son cercanos a médicos, mecánicos y abogados es encontrar
la línea fronteriza. Ejemplos de uso para el método un problema similar y analizar la forma en que se
de SVM son el análisis de solvencia, la detección de manejó.
intrusiones y verificación de estados financieros10,11,12.
(CBR) utiliza este mismo proceso ahorrando el
tiempo usando soluciones a los problemas en una
Figura 2—SVM para dos conjuntos de
datos etiquetados (círculos y cuadrados) base de datos. Los nuevos casos hacen referencia a
los casos similares en la base de datos (figura 3).
Ilustración de SVM para dos conjuntos
etiquetados (círculos y cuadrados)
Reglas para un nuevo caso son construidas sobre
A la base de la proximidad a los casos conocidos
en la base de datos. Una de las debilidades de
(CBR) es que un nuevo caso que está lejos de
Hiperplano de demarcación todo lo conocido hasta el momento puede ser
identificado erróneamente. En la práctica, la
B decisión o clasificación se basa a menudo no sólo
en el caso conocido más cercano, pero también
sobre unos pocos vecinos más cercanos (k-NN), de
modo que el efecto de un posible error en un caso
conocido es aliviado. El método (CBR) requiere
de una distancia bien definida para acceder a la
Fuente: Spiros Alexiou. Reimpreso con permiso. cercanía de dos casos. Una ventaja importante del
método de (CBR) es su transparencia, el resultado
Figura 3—Aplicando razonamiento basado en casos
Procesar y resolver
Nuevo Problema problemas usando
información cercana .
Buscar y recuperar el caso más cercano.

Inserte el caso resuelto en la biblioteca
Biblioteca de casos conocidos
C C C C C
a a a e a
s s s r s
o o …… o r …… o
a
1 2 d N
o

se basa en su similitud con un caso conocido X. existe y este se reúne más de dos veces al
Por lo tanto, (CBR) es muy útil para la clasificación año. Sin embargo, los árboles de decisión son
de un nuevo caso basado en la experiencia hasta propensos a sobreajuste, prestando atención a
ahora, suponiendo que la experiencia previa con todos los atributos de los datos. Por ejemplo, un
casos similares existe y sus decisiones pueden ser árbol de decisión quizás utilice información que
explicadas. es completamente irrelevante para el resultado
final de formular una regla. El (bosque aleatorio) es
Ejemplos de (CBR) en el campo de práctico una variante mejorada que utiliza muchos árboles
va desde la identificación de transacciones diferentes para cada uso o subconjunto de todos
sospechosas a la contabilidad y banco de los atributos. El método (bosque aleatorio) está
auditorías13, 14, 15, 16, 17. Por ejemplo, mediante el diseñado para aliviar el sobreajuste y la sensibilidad
análisis de la frecuencia de aparición de las llamadas de los árboles de decisión al ruido y usos de
al sistema, los investigadores fueron capaces de promedio, que es una defensa eficaz contra el
identificar intrusiones18 y, mediante el análisis de los ruido. Este método tiene algunas similitudes con el
registros de acceso, identificaron el uso indebido del método Delphi23, es decir, una mejora iterativa de las
sistema desde el interior de los usuarios19. opiniones de un número de expertos que deberían
converger en una única respuesta.
Redes neuronales artificiales
Las redes neuronales artificiales (ANN) son un Tal vez una mejor analogía es una elección general o
método de análisis de datos que intenta imitar, a nivel referéndum, donde la mayoría de los electores están
neuronal de baja altitud, el cerebro humano. Dado un suponiendo que son razonables en la mayoría de los
conjunto de datos de aprendizaje o entrenamiento problemas, pero cada votante individual puede tener
(entrada), (ANN) crea una red que produce el resultado opiniones irrazonables sobre algunos problemas.
conocido (salida). El método (ANN) espera que, si la
red está suministrando un nuevo conjunto de datos De la misma manera, la mayoría de los árboles
de entrada, la red predecirá correctamente la salida. en el bosque están asumiendo ser buenos para
El método de redes neuronales artificiales puede ser la mayoría de los datos y hacer diferencia, de
visto como un esquema de interpolación compleja, errores al azar sobre algunos datos. Si la respuesta
multidimensional que, conociendo la salida o requerida es un número, entonces un promedio
respuesta a un número de diferentes entradas, predice de las respuestas de los árboles es tomado como
la salida a diferentes entradas en el mismo rango. la respuesta del bosque. Si esta es un tipo de
respuesta (sí/no), entonces se utiliza un voto de la
El mayor inconveniente de este método es que no es mayoría. Por lo tanto, un bosque aleatorio puede
transparente para los seres humanos y no proporciona dar reglas humanamente comprensibles para la
una explicación simple de por qué este predice la clasificación de los casos actuales y futuros que son
salida. basados en los casos ya etiquetados.
Este inconveniente es importante en muchas Herramientas basadas en los bosque aleatorio

aplicaciones, incluyendo las de auditorías, ya que suelen trabajar fuera de la plataforma y dan
no es aceptable para informar de un problema, resultados aceptables con relativamente pocos
por ejemplo, fraude, el cual tiene detalles que no registros de datos y muchos atributos. Un ejemplo
se entienden. Sin embargo, (ANN) se ha utilizado reciente de la aplicación de los bosque aleatorio
ampliamente, incluyendo los procesos de auditoría20. para detectar el fraude de reglas financieras formada
Una lista de ejemplos de (ANN) en la auditoría, sobre la base de numerosos indicadores, tales como
incluyendo la detección de gestión de fraude usando la deuda a la equidad (DEQUTY), la relación de
predictores públicamente disponibles de estados activo corriente (CURAST), y el beneficio bruto y el
financieros fraudulentos21, 22. ANN puede ser valiosa EBIT (TPEBIT)24.
si es utilizada como un indicador de algo que puede
valer la pena investigar. Reducción de la complejidad: Ejes
principales o componentes
Bosque Aleatorio
El método de análisis de datos (bosque aleatorio) Entender los resultados en los términos más
es un tipo de árbol de decisión. Los árboles de simples posibles es siempre importante, porque los
decisión tratan de crear reglas desde los casos resultados deben ser explicados a la dirección. Por
existentemente evaluados (etiquetados). Por lo general, los registros consisten en numerosos
ejemplo, una regla que puede ser deducida es que campos que describen los atributos detallados de
la notificación de errores financieros es reducida un evento, por ejemplo, un intento de transacción o
cuando un comité de auditoría independiente de inicio de sesión. Ejes principales es una técnica
matemática para reducir el número de campos

pertinentes. Por ejemplo, los métodos de análisis lo tanto, los auditores a menudo aplican primero
de datos pueden detectar un tipo de fraude u otro métodos basados en reglas, luego utilizan métodos
comportamiento interesante que se caracteriza por de segunda categoría para los casos que son más
un elevado número de transacciones y de bajo valor difíciles de clasificar.
monetario, y los campos o atributos restantes son
en gran medida irrelevante. Este ejemplo tiene un Un número significativo de las herramientas de
eje principal con la mayor parte del fraude a lo largo análisis están disponibles y muchos de ellas son
de este eje. Otro de los ejes podría describir un tipo gratuitas. Estas herramientas pueden ser una
diferente de fraude y contiene una combinación importante adición al arsenal de herramientas de
diferente de atributos. Este eje es otro eje principal. auditoría.
La figura 4 ilustra el concepto de análisis de Se ha dicho que, “(ANN)s y sistemas (CBR) han
componentes principal: La exhibición de datos demostrado que ofrecen una mejor eficacia de
es una variación mucho mayor a lo largo del eje auditoría, una mejor calidad de auditoría y una
horizontal girado que a lo largo del eje vertical reducción del riesgo de auditoría de negocios
girado. Como resultado, comparativamente poca a un bajo costo para las firmas de contabilidad
información se pierde al ignorar el eje vertical girado, pública. Es el momento de estas herramientas sean
por lo tanto, la reducción de la complejidad del utilizadas por los auditores”25. A pesar de que cada
problema a una variable (el eje horizontal girado) en auditoría es diferente y tiene sus propios requisitos,
lugar de dos. es probable que muchas auditorías podrían
. beneficiarse de la aplicación del análisis de datos
simple y avanzado.
Figura 4—Análisis de componentes
principales
Estos recursos
son mejor
Eje Horizontal Girado
Eje Vertical Girado combinados con

la experiencia
en el campo de
los auditores (y
El análisis de los ejes principales ayuda a la posiblemente
comprensión humana, debido a que la gran mayoría
de los datos son de interés a lo largo de estos ejes y otras partes) y con
son más fáciles de entender y visualizar. Un ejemplo
sencillo es intrusiones, donde el tiempo de entrada
más herramientas
y salida individual puede no ser relevante, pero convencionales.
su diferencia podría ser importante. Por lo tanto,
un conjunto diferente de ejes puede ser mucho
más informativo si revela, por ejemplo, que las
intrusiones tienen largos períodos de tiempo.
La aplicación de ambas categorías puede mejorar
Lo mejor de ambos mundos la detección de anomalías a un bajo costo, porque
muchas de las herramientas son gratis y de código
Métodos desde ambas categorías de análisis de abierto. Por ejemplo, los investigadores combinaron
datos se combinan a menudo. Métodos basados su clasificador (CBR) con la verificación de la
en reglas de la primera categoría (uno sabe lo que firma para analizar la frecuencia de aparición de
se busca) son típicamente rápidos, sencillos y con las llamadas al sistema e identificar intrusiones26.
frecuencia concluyentes. Segunda categoría (uno Herramientas convencionales se pueden utilizar
no sabe exactamente lo que se busca) métodos son con eficacia en los casos de lista blanca, por lo
típicamente más computacionalmente intensivas, tanto, acelera los procedimientos. Además, los
más compleja en la preparación de datos e resultados de los métodos avanzados pueden ser
interpretación, y con frecuencia indicativa. Por integrados en los métodos por reglas y basados en

umbral. Por ejemplo, los flujos de tráfico con ciertas 11 Abd Manaf, A.; A. Zeki; M. Zamani; S. Chuprat;
características corresponden al flujo anormal de la E. El-Qawasmeh; Informatics Engineering and
agrupación que será etiquetado sospechoso. Information Science, International Conference,
ICIEIS 2011, Proceedings, Springer, 2011
Existen técnicas y herramientas de análisis de 12 Doumpos, M.; C. Gaganis; F. Pasiouras;
datos que pueden ayudar significativamente a los “Intelligent Systems in Accounting,” Finance
auditores en el descubrimiento del conocimiento and Management, vol. 13, 2005, p. 197-215
oculto en los datos, lo que confirma las hipótesis 13 Curet, O.; M. Jackson; “Issues for Auditors
y hace la mayoría de los datos disponibles. Estos Designing Case-based Reasoning Systems,”
recursos son mejor combinados con la experiencia The International Journal of Digital Accounting
en el campo de los auditores (y posiblemente otras Research, vol. 1, iss. 2, p. 111-123,
partes) y con más herramientas convencionales. Las www.uhu.es/ijdar/10.4192/1577-8517-v1_6.pdf
herramientas están disponibles y muchos de ellas 14 Liao, Y.; V. R. Vemuri; “Use of k-Nearest
son gratis y fácil de usar, los auditores conocen que Neighbor Classifier for Intrusion Detection,”
quieren hacer con los datos. Computers and Security, vol. 21, 2002,
p. 439-448
Notas finales 15 Denna, E. L.; J. V. Hansen; R. D. Meservy;
L. E. Wood; “Case-based Reasoning and
1 EYGM Limited, “Harnessing the Power of Data: Risk Assessment in Audit Judgment,”
How Internal Audit Can Embed Data Analytics Intelligent Systems in Accounting, Finance and
and Drive More Value,” EYG no. AU2688, Management, vol. 1, iss. 3, September 1992,
October 2014, www.ey.com/Publication/ p. 163-171
vwLUAssets/EY-internal-audit-harnessing-the- 16 Ho Lee, G.; “Rule-based and Case-based
power-of-analytics/$FILE/EY-internal-audit- Reasoning Approach for Internal Audit of Bank,”
harnessing-the-power-of-analytics.pdf Knowledge-Based Systems, vol. 21, iss. 2,
2 Izza, M.; “Data Analytics and the Future of the March 2008, p. 140-147, http://dl.acm.org/
Audit Profession,” ICAEW, 22 April 2016, citation.cfm?id=1344916
www.ion.icaew.com/MoorgatePlace/post/Data- 17 Singh, A.; S. Patel; “Applying Modified
analytics-and-the-future-of-the-audit-profession K-Nearest Neighbor to Detect Insider Threat
3 Rouse, M.; “Data Analytics (DA),” TechTarget, in Collaborative Information Systems,”
January 2008, http://searchdatamanagement. International Journal of Innovative Research in
techtarget.com/definition/data-analytics Science, Engineering and Technology, vol. 3,
4 Ibid. iss. 6, June 2014, p. 14146-14151
5 Jones, A.; “Top 10 Data Analysis Tools for 18 Op cit, Liao
Business,” KDnuggets, June 2014, 19 Op cit, Singh
www.kdnuggets.com/2014/06/top-10-data- 20 Chao, H.; P. Foote; “Artificial Neural Networks
analysis-tools-business.html and Case-based Reasoning Systems for
6 Thiprungsri, S.; M. A. Vasarhelyi; “Cluster Auditing,” Accounting Today, 2 July 2012,
Analysis for Anomaly Detection in Accounting www.accountingtoday.com/news/artificial-
Data: An Audit Approach,” The International neural-networks-case-based-reasoning-
Journal of Digital Accounting Research, auditing-63178-1.html
vol. 11, 2011, p. 69-84, www.uhu.es/ 21 Koskivaara, E.; Artificial Neural Networks
ijdar/10.4192/1577-8517-v11_4.pdf in Auditing: State of the Art, Turku Centre
7 Munz, G.; S. Li; G. Carle; “Traffic Anomaly for Computer Science, February 2003,
Detection Using K-Means Clustering,” http://citeseerx.ist.psu.edu/viewdoc/
17 January 2016, https://www.researchgate. wnload?doi=10.1.1.67.459&rep=rep1&type=pdf
net/publication/242158247_Trafc_Anomaly_ 22 Fanning, K. M.; K. O. Cogger; “Neural Network
Detection_Using_K-Means_Clustering Detection of Management Fraud Using
8 Dhiman, R.; S. Vashisht; K. Sharma; “A Published Financial Data,” Intelligent Systems in
Cluster Analysis and Decision Tree Hybrid Accounting, Finance and Management, vol. 7,
Approach in Data Mining to Describing Tax 1998, p. 21-41
Audit,” International Journal of Computers & 23 Rand Corporation, Delphi Method, Rand.org,
Technology, vol. 4, no. 1C, 2013, p. 114-119 www.rand.org/topics/delphi-method.html
9 Op cit, Munz 24 Liu, C.; Y. Chan; A. Kazmi; S. Hasnain; H.
10 Auria, L.; R. A. Moro; “Support Vector Machines Fu; “Financial Fraud Detection Model Based
(SVM) as a Technique for Solvency Analysis,” on Random Forest,” International Journal of
DIW Berlin, German Institute for Economic Economics and Finance, vol. 7, iss. 7,
Research, August 2008, www.diw-berlin.de/ 25 June 2015, p. 178-188, https://mpra.ub.
documents/publikationen/73/88369/dp811.pdf uni-muenchen.de/65404/
25 Op cit, Chao
26 Op cit, Liao
MEMBER GET A MEMBER 2016
Get Members.
Get Rewarded.
REACH OUT AND HELP COLLEAGUES AND OTHER PROFESSIONALS BECOME
ISACA® MEMBERS. THEY GET THE BENEFITS OF ISACA MEMBERSHIP.
YOU GET REWARDED.
Recruit 2 – 3 new members and receive an attachable Recruit 8 – 9 new members and receive hi-tech,
tracking device. Easily locate your valuable items, includes smart luggage that you can control from your phone:
multiple customization options: a US $25 value. a US $375 value.
Recruit 4 – 5 new members and receive an indoor/outdoor Recruit 10 or more new members and receive a high-
home assistant that flies, 2.4 Ghz camera included. Flips quality gaming system with WiFi capabilities and built-in
upside down with 4.5 ch. 3D control and LED lights: a US Blu-ray player. Also includes a controller and 2 games:
$145 value. a US $550 value.
Recruit 6 – 7 new members and receive an any-surface

projector. Turn any surface into your very own display and
entertainment center: a US $279 value.
THE MORE MEMBERS YOU RECRUIT, THE MORE VALUABLE THE REWARD.
When ISACA grows, members benefit. More recruits mean more connections,
more opportunities to network—and now, more rewards you can use for work or fun!
Get recruiting today. It’s easy. Learn more at www.isaca.org/GetMembers
* Rules and restrictions apply and can be found at www.isaca.org/rules. Please be sure to read and understand these rules. If your friends or colleagues do not reference
your ISACA member ID at the time they become ISACA members, you will not receive credit for recruiting them. Please remember to have them enter your ISACA
member ID on the application form at the time they sign up.
© 2016 ISACA. All Rights Reserved.
palabras cruzadas
puzzle by Myles Mellor
www.themecrosswords.com
ACROSS 1 2 3 4 5 6 7 8 9
10 11
1 Slang term for something undeniably important
and paralyzingly dull
3 Standards 12 13 14 15
8 Measure of printing resolution, for short
10 Incentive 16 17
12 Author of the 2001 book, “Code,” and founder
of Creative Commons 18 19 20 21 22
14 Important qualification for information security
professionals 23 24 25 26 27
16 That, in Spanish
17 Abbr. on a book’s spine 28
18 Criticize harshly
19 Hard-to-decide predicaments 29 30 31
23 Writer of “Runaround,” where he introduced the
Three Laws of Robotics, dealing with ethical 32
choices for automatons
25 Programmer’s stock-in-trade 33 34 35 36 37
26 See 7 down
28 Ethical 38 39 40 41
29 Novelist, __ Carre
30 Understand, in a way 42 43
31 Fight back against
32 Faultless 44 45
33 Skill
34 “The God of Small Things” novelist Arundhati
36 ____ and don’ts
38 Important qualification to be able to relate
46
security issues to risk
40 Apogee
41 Team on a national level that responds to cyber
security incidents
42 Add up
44 Never do today what you can do tomorrow 13 Rich layer
46 They should be included with any text in 15 “Could be better”
a manual 18 Slice of the ___
20 Domain naming system that the US
government has controlled for many years and
DOWN is giving up control in Oct 2016
21 Internet laughter letters
1 Easily influenced 22 Part of RAM
2 Technology critical to Uber 24 Picks a candidate
3 Canceled, as a mission, 2 words 27 Resist
4 Work earning extra pay, abbr. 30 Courage
5 Boundary 32 Excellent, slangily
6 Unit of potential 33 Symbol for atomic number 18
7 Idea or custom held to be above criticism, goes 34 Itis used in some security scans
with 26 across 35 Of England’s oldest university
8 Medical school graduate 37 Alternatively
9 Term originated by Ann Cavoukian relating 38 Maximum level
to taking into account privacy during the 39 Greek island where scenes from “For Your Eyes
engineering process, 3 words Only” were filmed
10 Inappropriate name 40 Balance-sheet “plus”
11 Family of syntax elements similar to a 43 It is hailed on the street
programming language, abbr. 45 Investors’ expectations
Answers on page 58

quiz#169
Basado en Volume 4, 2016—Móvil Apps
Value—1 Hour of CISA/CISM Continuing Professional Education (CPE) Credit
VERDADERO O FALSO
CPE
quiz
ARTICULO DE KHAN 10. Componentes adicionales de seguridad son
ejecutados para analizar la alerta detectada
1. Sesenta y un porciento de la población adulta en búsqueda de potenciales amenazas. Un
de los estados unidos, actualmente tiene un ejemplo de esto es la inspección profunda de
teléfono celular, y de ese porcentaje, el 31 por contenido (DCI).
ciento son teléfonos inteligentes.
ARTICULO WLOSINSKI Prepared by
2. Los segmentos básicos de riesgo pueden ser
divididos en cuatro categorías de seguridad Kamal Khan
para aplicaciones móviles, siendo estas: 11. Ejemplos de las capacidades de los malware CISA, CISSP,
dispositivos móviles, redes móviles, web servers incluyen escuchar llamadas telefónicas mientras
están en curso.
CITP, MBCS
de aplicaciones móviles y bases de datos para
aplicaciones móviles.
12. Un método de ingeniería social es conocido
3. Mediante la integración de dispositivos móviles como “Dishing” donde el atacante se
al entorno de trabajo, los empleados pueden enmascara como una entidad de confianza.
maximizar el servicio que ellos proveen a los
13. El cifrado es una exageración y no es requerido
clientes.
ya que las redes inalámbricas simplemente
4. Para prevenir la extracción maliciosa, es no pueden soportar la entrega de información
altamente recomendable que se utilice el sensitiva a individuos u organizaciones.
estándar de cifrado de datos (DES).
14. El factor de riesgo más común que aplica
al uso de dispositivos móviles incluye los
ARTICULO DE SOOD virus informáticos, gusanos u otros malware
específicos para dispositivos de computación
5. Utilizando ciencia de datos, es posible personal, y el robo de información sensitiva.
identificar y extraer información crítica usando
técnicas como la minería de datos, aprendizaje ARTICULO ZONGO
automático, estadísticas y procesamiento de Take the quiz online
lenguaje natural.
15. La autoridad Australiana Prudencial y
6. Las soluciones de seguridad tradicional Reguladora (APRA) levanto la preocupación
funcionan perfectamente con aplicaciones de que los reportes asociados a la nube,
en la nube, la protección que ofrecen en los emitidos por entidades reguladores se enfoca
sistemas en centros de computo tradicionales primariamente en los beneficios, mientras que
se trasladan de manera transparente a la nube. falla en proveer la adecuada visibilidad en los
riesgos asociados.
7. Una pregunta para hacernos es si acaso la
ciencia de datos puede ser utilizada como un 16. El efectivo manejo de riesgo en la nube,
mecanismo, entre otras cosas, para prevenir y requiere que los directores exijan la información
remediar exposición de datos. pertinente incluyendo la propuesta de valor de
la nube, esto es: seguridad de datos, leyes de
8. Las aplicaciones en la nube están siendo privacidad, ubicación de datos, resistencia a
utilizadas para actividades maliciosas fallos, y cumplimiento de regulaciones.
incluyendo almacenamiento y distribución de
malware y establecer canales para la extracción 17. Si bien los proveedores de soluciones en la
de datos. nube, continúan invirtiendo fuertemente en
capacidades de seguridad, la preocupación por
9. Correlación involucra catalogar grandes bloques la seguridad de los datos, y el cumplimiento
de datos dentro de contenedores específicos de de las regulaciones siguen siendo las barreras
análisis inteligente de seguridad para entender críticas para la adopción de la nube.
la completa envergadura de un ataque.

CPE
quiz#169 Formulario de
respuestas
Basado en Volume 4, 2016
VERDADERO O FALSO
ARTICULO DE KHAN ARTICULO DE WLOSINSKI Nombre
PLEASE PRINT OR TYPE
1. 11.
2. 12.
3. 13. Dirección
4. 14.
ARTICULO DE SOOD ARTICULO DE ZONGO CISA, CRISC, CISM or CGEIT #

5. 15.
6. 16.
Answers: Crossword by Myles Mellor
7. 17.
See page 56 for the puzzle.
8. 1 2 3 4 5 6 7 8 9
M E G O N O R M S D P I
10 11
9. 12
A P
13
M O T I V A T
14
O R
15
D
L E S S I G M C C I S M
16 17
10. L
18
E S O
19 20 21
R
22
V O L
E P A N D I L E M M A S
23 24 25 26 27
A S I M O V C O D E C O W
28
B E M O R A L M Y I
29 30 31
L E G E T N C O M B A T
32
E P U R E N R Y H
33 34 35 36 37
Please confirm with other designation-granting professional bodies for their CPE qualification acceptance criteria. A R T S R O Y D O S
38 39 40 41
Quizzes may be submitted for grading only by current Journal subscribers. An electronic version of the quiz is C R I S C A P E X C E R T
available at www.isaca.org/cpequiz; it is graded online and is available to all interested parties. If choosing to submit 42 43
A M O S T O T S A
using this print copy, please email, fax or mail your answers for grading. Return your answers and contact information 44 45
by email to info@isaca.org or by fax to +1.847.253.1443. If you prefer to mail your quiz, in the US, send your CPE P R O C R A S T I N A T I O N
Quiz along with a stamped, self-addressed envelope, to ISACA International Headquarters, 3701 Algonquin Rd.,
O F E N X G D
#1010, Rolling Meadows, IL 60008 USA. Outside the US, ISACA will pay the postage to return your graded quiz. You 46
need only to include an envelope with your address. You will be responsible for submitting your credit hours at year- I L L U S T R A T I O N S
end for CPE credits. A passing score of 75 percent will earn one hour of CISA, CRISC, CISM, CGEIT or CPE credit.
Get Noticed!
16
e 5, 20
Volum
Advertise in the ISACA® Journal
Assess
Audit
the H
How to Your Organ
sura nce:
izatio
Value
Elemen
uman s Security
n’
G en
t and
erator
Risk
or Co
berthr
st Burd
eat
en?
Monito
ring
Journal
For more information, contact media@isaca.org
Cyberin for Cy
Ap proach are
grated Softw
An Inte pen-source
O
Using
.org
isaca
www.

Guías y Estándares
herramientas y técnicas
Cumplimiento miembro de ISACA y portador de IS Audit and Assurance Guidelines
as guías están diseñadas para apoyar directamente los estándares y ayudar a
L
una certificación los practicantes lograr su alineación con los estándares. Estas siguen la misma
categorización al igual que los estándares (también divididos en tres categorías):
Aseguramiento y las habilidades necesarias para efectuar este tipo de
compromisos requiere estándares que se apliquen específicamente a las • Guías Generales (series 2000)
auditorias SI y aseguramiento. El desarrollo y diseminación de las auditorias de • Guías de Desempeño (series 2200)
SI y estándares de aseguramiento son una piedra angular de la contribución • Guías de Reportes (series 2400)
profesional de ISACA con la comunidad de auditoria.
Por favor tomar nota que las nuevas guías son efectivas a partir del 1 de septiembre del 2014.
Auditorias SI y estándares de aseguramiento define los requisitos mandatorios
para la auditoria SI.
Ellos reportan e informan:
General
2001 – Estatuto de Auditoria
• Profesionales de Auditoria SI y aseguramiento del nivel mínimo aceptable del 2002 – Independencia Organizacional
desempeño requerido para cumplir con las responsabilidades establecidas en el 2003 – Independencia Profesional
Código de Ética de Profesionales de ISACA.
2004 – Expectación Razonable
• Gerentes y otras partes interesadas de las expectativas de la profesión
relacionado con el trabajo de los practicantes. 2005 – Debido Cuidado Profesional
• Poseedores de la designación de “Certified Information Systems Auditor (CISA) 2006 – Competencia
de requisitos. Si fallan en cumplir con estos estándares puede resultar en una 2007 – Afirmaciones
investigación de la conducta del poseedor de CISA por la Junta de Directores de 2008 – Criterio
ISACA o comité apropiado y finalmente en una acción disciplinaria.
Desempeño
2201 – Planificación de Trabajo
ITAFTM, 3rd Edition 2202 – Evaluación de Riesgo en Planeación
2203 – Desempeño y Supervisión
(www.isaca.org/itaf) provee un marco de referencia para múltiples niveles de guías:
2204 – Materialidad
Auditoria SI y Estándares de Aseguramiento 2205 – Evidencia
Los estándares han sido divididos en tres categorías:
2206 – Utilizando el Trabajo de otros Expertos
• Estándares Generales (series 1000) – Son los principios guía bajo el cual 2207 – Actos irregulares e ilegales
la profesión de aseguramiento de SI opera. Aplica a la conducta de todas
las asignaciones y hace frente con la auditoria SI y la ética del profesional 2208 - Muestreo
de aseguramiento, independencia, objetividad y al debido cuidado como al
conocimiento, competencia y habilidad. Reporrtes
• Estándar de Desempeño (series 1200) – Hace frente a la conducta de 2401 – Reportando
la asignación, como ser planear y supervisar, determinación del alcance, 2402 – Seguimiento Actividades
riesgo y materialidad, movilización de los recursos, supervisión y la gestión de
asignación, auditoria y evidencia de aseguramiento, y el ejercicio de su juicio Herramientas y técnicas de auditoria SI y aseguramiento
profesional y debido cuidado.
• Estándares de Reportar (series 1400) – Abordar los tipos de reportes, Estos documentos proveen de una guía adicional para los profesionales
medios de comunicación y la información comunicada. de auditoria SI y aseguramiento y consiste, entre otras cosas, de White
papers, programas de Auditoria SI/Aseguramiento, libros de referencia y la
familia de productos COBIT® 5. Herramientas y técnicas están listadas bajo
Por favor tomar nota que las nuevas guías son efectivas a partir del 1 de www.isaca.org/itaf.
septiembre del 2014. Un glosario sobre términos utilizados en ITAF lo puede encontrar en línea en
www.isaca.org/glossary
General Previamente de emitir cualquier nuevo Estándar o Guía, un borrador es emitido
1001 – Estatuto de Auditoria internacionalmente para consulta del público general.
1002 – Independencia Organizacional
1003 – Independencia Profesional Comentarios también pueden ser enviados a la atención del Director de
Privacidad y Practicas de Aseguramiento por correo (standards@isaca.org)
1004 – Expectación Razonable fax (+1.847.253.1443) o correo postal (ISACA International Headquartes, 3701,
1005 – Debido Cuidado Profesional Algonquin Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).
1006 – Competencia
1007 – Afirmaciones Links a actuales y expuestos Estándares, Guías y Herramientas y Técnicas de
ISACA están posteadas en www.isaca.org/standards.
1008 – Criterio
Disclaimer: ISACA ha designado esta guía como el nivel mínimo de
Desempeño desempeño aceptable requerido para cumplir con las responsabilidades
1201 – Planificación de Trabajo de profesionales expuestas en el Código de Ética Profesional de ISACA.
1202 – Evaluación de Riesgo en Planeación ISACA no garantiza que los usos de estos productos aseguraran un
1203 – Desempeño y Supervisión resultado exitoso. La orientación no debe ser considerada inclusive
1204 – Materialidad de cualquier procedimiento y pruebas propias o exclusivos de otros
1205 – Evidencia productos y pruebas que son razonablemente dirigidos para obtener
1206 – Utilizando el Trabajo de otros Expertos los mismos resultados. Para determinar la conveniencia de cualquier
1207 – Actos irregulares e ilegales procedimiento o prueba específica, los profesionales de control deben
aplicar su propio juicio profesional a las circunstancias específicas de
control presentados por los sistemas particulares o ambientes de SI
Reportes
1401 – Reportando
1402 – Seguimiento Actividades ISACA JOURNAL VOL 6 59
ISACA® Journal, formerly
Information Systems Control
Journal, is published by the
Information Systems Audit
and Control Association®
(ISACA®), a nonprofit
web sites
advertisers/
Capella University capella.edu/ISACA 3
organization created for the
public in 1969. Membership Society of Corporate
complianceethicsinstitute.org 1
in the association, a voluntary Compliance & Ethics
organization serving
IT governance professionals, Saint Leo University SaintLeo.edu 11
entitles one to receive an
annual subscription to the HISCOX USA Hiscox.com/planonit 28
ISACA Journal.
Skybox Security, Inc. skyboxsecurity.com 20
Opinions expressed in the
ISACA Journal represent
the views of the authors and Chiron Technology Services chirontech.com Back Cover
advertisers. They may differ
supporters
leaders and
from policies and official
statements of ISACA and/or
the IT Governance Institute
and their committees, and
from opinions endorsed by
authors, employers or the
editors of the Journal. ISACA
Journal does not attest to the
originality of authors’ content.
Editor Manish Gupta, Ph.D., CISA, CISM, Jose Urbaez, CISA, CISM, CSXF, ITIL
CRISC, CISSP Ilija Vadjon, CISA
Jennifer Hajigeorgiou Mike Hansen, CISA, CFE Sadir Vanderloot Sr., CISA, CISM, CCNA,
© 2016 ISACA. All rights publication@isaca.org Jeffrey Hare, CISA, CPA, CIA CCSA, NCSA
reserved. Sherry G. Holland Anthony Wallis, CISA, CRISC, CBCP, CIA
Managing Editor Jocelyn Howard, CISA, CISMP, CISSP Kevin Wegryn, PMP, Security+, PFMP
Instructors are permitted to Francisco Igual, CISA, CGEIT, CISSP Tashi Williamson
Maurita Jasper
photocopy isolated articles for
Jennifer Inserro, CISA, CISSP Ellis Wong, CISA, CRISC, CFE, CISSP
Khawaja Faisal Javed, CISA, CRISC, CBCP,
noncommercial classroom use Contributing Editors ISMS LA ISACA Board of Directors
without fee. For other copying, Mohammed Khan, CISA, CRISC, CIPM
reprint or republication,
Sally Chan, CGEIT, CPA, CMA (2016–2017)
Ed Gelbstein, Ph.D. Farzan Kolini GIAC
permission must be obtained Kamal Khan, CISA, CISSP, CITP, MBCS Michael Krausz, ISO 27001 Chair
in writing from the association. Vasant Raval, DBA, CISA Abbas Kudrati, CISA, CISM, CGEIT, CEH, Christos Dimitriadis, Ph.D., CISA,
Where necessary, permission Steven J. Ross, CISA, CBCP, CISSP CHFI, EDRP, ISMS CISM, CRISC, ISO 20000 LA
is granted by the copyright Smita Totade, Ph.D., CISA, CISM, CGEIT, Shruti Kulkarni, CISA, CRISC, CCSK, ITIL Vice-chair
owners for those registered CRISC Bhanu Kumar Theresa Grafenstine, CISA, CRISC, CGEIT,
with the Copyright Clearance
Hiu Sing (Vincent) Lam, CISA, CPIT(BA), CGAP, CGMA, CIA, CPA
Center (CCC) (www.copyright. Advertising ITIL, PMP
Director
Edward A. Lane, CISA, CCP, PMP
com), 27 Congress St., Salem, media@isaca.org Romulo Lomparte, CISA, CISM, CGEIT, Zubin Chagpar, CISA, CISM, PMP
MA 01970, to photocopy CRISC, CRMA, ISO 27002, IRCA Director
articles owned by ISACA, Media Relations Juan Macias, CISA, CRISC Rob Clyde, CISM
for a flat fee of US $2.50 per Larry Marks, CISA, CGEIT, CRISC Director and Chief Executive Officer
news@isaca.org
article plus 25¢ per page. Norman Marks Matthew S. Loeb, CGEIT, CAE
Send payment to the CCC Tamer Marzouk, CISA
Reviewers Krysten McCabe, CISA Director
stating the ISSN (1944-1967),
Matt Altman, CISA, CISM, CGEIT, CRISC Brian McLaughlin, CISA, CISM, CRISC, Leonard Ong, CISA, CRISC, CISM, CGEIT,
date, volume, and first and COBIT 5 Implementer and Assessor,
Sanjiv Agarwala, CISA, CISM, CGEIT, CIA, CISSP, CPA
last page number of each CFE, CFP, CGFA, CIPM, CIPT, CISSP
CISSP, ITIL, MBCI Brian McSweeney
article. Copying for other Irina Medvinskaya, CISM, FINRA, Series 99 ISSMP-ISSAA, CITBCM, CPP, CSSLP,
Vikrant Arora, CISM, CISSP
than personal use or internal David Earl Mills, CISA, CGEIT, CRISC, GCIA, GCIH, GSNA, PMP
Cheolin Bae, CISA, CCIE
reference, or of articles or Sunil Bakshi, CISA, CISM, CGEIT, CRISC, MCSE Director
columns not owned by the ABCI, AMIIB, BS 25999 LI, CEH, Robert Moeller, CISA, CISSP, CPA, CSQE Andre Pitkowski, CRISC, CGEIT,
association without express CISSP, ISO 27001 LA, MCA, PMP David Moffatt, CISA, PCI-P COBIT 5 Foundation, CRMA, ISO
permission of the association Brian Barnier, CGEIT, CRISC Ramu Muthiah, CISM, CRVPM, GSLC, 27kLA, ISO 31kLA
or the copyright owner is Pascal A. Bizarro, CISA ITIL, PMP
Ezekiel Demetrio J. Navarro, CPA Director
expressly prohibited. Jerome Capirossi, CISA R.V. Raghu, CISA, CRISC
Joyce Chua, CISA, CISM, PMP, ITILv3 Jonathan Neel, CISA
Ashwin K. Chaudary, CISA, CISM, CGEIT, Anas Olateju Oyewole, CISA, CISM, CRISC, Director
ISSN 1944-1967 CISSP, CSOE, ITIL Edward Schwartz, CISA, CISM, CAP,
CRISC
Burhan Cimen, CISA, COBIT Foundation, David Paula, CISA, CRISC, CISSP, PMP CISSP, ISSEP, NSA-IAM, PMP, SSCP
ISO 27001 LA, ITIL, PRINCE2 Pak Lok Poon, Ph.D., CISA, CSQA, MIEEE Director
Ian Cooke, CISA, CGEIT, CRISC, COBIT John Pouey, CISA, CISM, CRISC, CIA Jeff Spivey, CRISC
Foundation, CFE, CPTS, DipFM, ITIL Steve Primost, CISM
Foundation, Six Sigma Green Belt Parvathi Ramesh, CISA, CA Director
Ken Doughty, CISA, CRISC, CBCP Antonio Ramos Garcia, CISA, CISM, CRISC, Jo Stewart-Rattray, CISA, CRISC,
Nikesh L. Dubey, CISA, CISM, CDPP, ITIL CISM, CGEIT
CRISC, CISSP Michael Ratemo, CISA, CRISC, CISM, Director
Ross Dworman, CISM, GSLC CSXF, ACDA, CIA, CISSP, CRMA Tichaona Zororo, CISA, CRISC, CISM,
Robert Findlay Ron Roy, CISA, CRP CGEIT, COBIT Assessor and Trainer,
Subscription Rates: John Flowers Louisa Saunier, CISSP, PMP, Six Sigma CIA, CRMA
Jack Freund, CISA, CISM, CRISC, Green Belt
Daniel Schindler, CISA, CIA Past Chair
US: CIPP, CISSP, PMP Robert E Stroud, CRISC, CGEIT
Sailesh Gadia, CISA Nrupak D. Shah, CISM, CCSK, CEH,
one year (6 issues) $75.00
Amgad Gamal, CISA, COBIT Foundation, ECSA ITIL Past Chair
CEH, CHFI, CISSP, ECSA, ISO 2000 Shaharyak Shaikh Tony Hayes, CGEIT, AFCHSE, CHE, FACS,
All international orders: Sandeep Sharma FCPA, FIIA
LA/LP, ISO 27000 LA, MCDBA, MCITP,
one year (6 issues) $90.00. Catherine Stevens, ITIL
MCP, MCSE, MCT, PRINCE2 Past Chair
Robin Generous, CISA, CPA Johannes Tekle, CISA, CFSA, CIA Greg Grocholski, CISA
Remittance must be made Anuj Goel, Ph.D., CISA, CGEIT, Robert W. Theriot Jr., CISA, CRISC
in US funds. CRISC, CISSP Nancy Thompson, CISA, CISM,
Tushar Gokhale, CISA, CISM, CISSP, CGEIT, PMP
ISO 27001 LA Smita Totade, Ph.D., CISA, CISM,
Tanja Grivicic CGEIT, CRISC

Journal

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Journal

Cargado por

Copyright:

Formatos disponibles

Learn the essentials of managing

compliance & ethics programmes

& ETHICS ACADEMIES

28 NOV – 1 DEC | MADRID, SPAIN

REGISTER EARLY TO RESERVE YOUR PLACE

SCCE Academies. Training more than 3,600

Los blogs de los escritores

3701 Algonquin Road,

DO YOU HAVE WHAT IT TAKES TO BE PART OF THE SOLUTION?

Get up-to-date security skills with Capella University’s

ANSWER THE CALL. START TODAY. CAPELLA.EDU/ISACA OR 1.866.933.5836

ACCREDITATION: Capella University is accredited by the Higher Learning Commission.

©Copyright 2016. Capella University. 16-8594

He destacado con letra cursiva la frase de la cita

4 ISACA JOURNAL VOL 6

ISACA JOURNAL VOL 6 5

NOW AVAILABLE MONTHLY!

More timely content, delivered more frequently.

6 ISACA JOURNAL VOL 6

En columnas anteriores he examinado en cómo El punto es hacer la búsqueda y comenzar a tomar

Postergación incluyen al sueño, dormir y la construcción de rutinas.

Ed Gelbstein, Ph.D., 1940-2015 Stefano Baldi

El aprendizaje de una nueva materia rompe este

Es más probable que el proceso de aprendizaje

8 ISACA JOURNAL VOL 6

La mayoría de las personas están diariamente

ISACA JOURNAL VOL 6 9

Se espera que el lector acepte la doble noción

MINIMIZE THE IMPACT OF PREVALENT

Try the Threats & Controls tool free at: www.isaca.org/threats-and-controlsjournal

10 ISACA JOURNAL VOL 6

Saint Leo University offers competitive degree programs

14 ISACA JOURNAL VOL 6

ISACA JOURNAL VOL 6 15

Vemos la lucha reguladora en la industria de la

16 ISACA JOURNAL VOL 6

ISACA JOURNAL VOL 6 17

18 ISACA JOURNAL VOL 6

Pinpoint your next job opportunity

Subscribe today by visiting www.isaca.org/careerlaser

Visit the ISACA Career Centre at www.isaca.org/careercentre to

ISACA JOURNAL VOL 6 19

ATTACK SURFACE VISIBILITY

Modeling | Simulation | Security Analytics

empresas asignar y gestionar recursos. Métricas

Empresas que quieren monitorear efectivamente

ISACA JOURNAL VOL 6 21

Figura 1—Preguntas Rendimiento TI

22 ISACA JOURNAL VOL 6

ISACA JOURNAL VOL 6 23

• Mediciones consistentes—Las métricas deben

• Expresada en números, porcentaje o unidades

24 ISACA JOURNAL VOL 6

• Cultura, ética y comportamiento

ISACA JOURNAL VOL 6 25

Fuente: ISACA, COBIT 5, USA, 2012

• Porcentaje de satisfacción de las partes interesadas • Número de interrupciones al negocio debido a

26 ISACA JOURNAL VOL 6

ISACA JOURNAL VOL 6 27

La intuición no es objetiva como hechos o

ISACA JOURNAL VOL 6 29

Paso 5 Implementar Paso 3

• Supervisión inadecuada de la gestión de riesgos

• La falta de habilidades de los encargados y

• Mediciones consistentes—Las métricas deben

• Expresada en números, porcentaje o unidades

• Cultura, ética y comportamiento

• Porcentaje de satisfacción de las partes interesadas • Número de interrupciones al negocio debido a

buscarlo de tal manera que • Agilidad y consistencia—Agilidad es un factor

• Fácil—Uno sabe lo que está buscando. La