Documentos de Académico
Documentos de Profesional
Documentos de Cultura
COMPLIANCE &
ETHICS INSTITUTE
SEPTEMBER 25-28 | SHERATON GRAND | CHICAGO
NOW
IT COMPLIANCE TRACK
COVERING MORE THAN A DOZEN COMPLIANCE TOPICS RELATED TO IT
14 MAS
Información de etica: El desafío de ser “bueno”
Vasant Raval, DBA, CISA, ACMA 56
Palabras cruzadas
Myles Mellor
ARTICULOS
57
20 CPE prueba
Como auditar el elemento humano y evaluar el Prepared by Smita Totade, Ph.D., CISA, CGEIT,
riesgo de seguridad de su organización CISM, CRISC
Tom Pendergast, Ph.D.
(Também disponível em português) 59
Estándares, guías, herramientas y técnicas
25
Cyberinsurance: ¿Generador de valor o costo a S1-S4
cargar? ISACA Bookstore Supplement
Syed K. Ishaq, CISA, CRISC, CCISO
(Também disponível em português)
Lea más acerca
32 de los autores del
Un Enfoque integrado oara el monitoreo de Journal..
amenazas cibernéticas utilizando aplicaciones
de código abierto
Furkan Caliskan, CISA Los blogs de los escritores
del Journal estan en
www.isaca.org/journal/
blog. Visita el blog de
Reconocimiento por ISACA Journal, en términos
Sr. Julian Rodrigo Davis Toledo, CISA, CISM Sr. Jorge Serrano Rodríguez, CISA, CGEIT, CRISC
Mr. Jesús Soto Valbuena, CISA Mr. Maximiliano Rojas Hinrichsen, CISM
Sr. Leonardo Vinett Herquiñigo, CISA Sr. Sergio Molanphy , CISM, CRISC
Mr. Pablo Idiaquez Ríos Sr. Pablo Caneo Gutiérrez, CISA, CGEIT, CRISC
Sr. Fernando Méndez Erazo, CISA
DO
DOYOU
YOUHAVE
HAVEWHAT
WHATIT
ITTAKES
TAKESTO
TOBE
BEPART
PARTOF THESOLUTION?
OFTHE SOLUTION?
Along the way to your MS-IAS, earn up to 3 NSA focus area digital badges showcasing your
mastery of skills in specific cybersecurity areas.
Plus, the knowledge you gained for your CISSP®, CEH®, or CNDA® certifications can help you
earn credit toward your MS-IAS, saving you time and money.
See graduation rates, median student debt, and other information at www.capellaresults.com/outcomes.asp.
Hace mucho y lejanos tiempos, yo era el presidente información 2. No creo que esto sea necesariamente
¿Tienes algo de la EDP Auditors Association, la cual, algunos cierto o sea una verdad absoluta. Mi experiencia,
que comentar años más tarde, cambió su nombre a ISACA®. Así al menos en la última década, es que hay muchos
sobre este que, aquí estamos 35 años después de mi período profesionales en las filas de las TI que son
artículo? en ese cargo y hoy me maravillo en lo que se ha importantes contribuyentes a la seguridad de la
Visita las páginas del convertido ISACA: 140.000 miembros en más de información y que éstos deben ser reconocidos
Journal en el sitio web 200 capítulos de 180 países. Uno de las cosas como tales.
de ISACA (www.isaca. que estoy más orgulloso de la actual Asociación
org/journal), encuentra es la cantidad de miembros y la vasta comunidad Los administradores de bases de
el artículo y da click a la cual sirve. Aun manteniendo una base en datos
en el link Comments los profesionales de la auditoría de los SI y de
para compartir tus las TI, ISACA ahora también comprende a otros Si hay algún atributo de la seguridad de la información
pensamientos. que es universalmente reconocido, es el control de
profesionales tales como consultores, educadores,
profesionales de la seguridad de la información, acceso a los datos. De acuerdo con un escritor, “el
profesionales de riesgo, directores de información y administrador de la base de datos (DBA), tiene tres
auditores internos1. tareas básicas. En orden decreciente de importancia
son: proteger los datos, proteger los datos, y proteger
Se ha dicho que quienes están profesionalmente los datos”3. Los administradores de bases de datos,
interesados en la seguridad y en el control de o quizás más específicamente, los administradores
los sistemas de información, son principalmente de datos, definen las reglas para los datos en la forma
los auditores, y que éstos tienen una relación de de metadatos. Estos profesionales establecen las
confrontación con la función de las tecnologías de la políticas para el uso de los datos, en términos de la
propiedad de los elementos, su uso por parte de las
aplicaciones (y por extensión, de las personas), los
permisos de acceso, y la modificación o eliminación
de datos4. Todo eso me suena muy parecido a la
seguridad de la información.
El personal de adquisiciones
De por sí, la
En nuestra época interconectada, es ampliamente
recuperación de reconocido que la seguridad y la capacidad de
COBIT Focus
News and Case Studies About COBIT 5
Ir más lejos
completos y compartir el resultado con otros. Un
mapa mental desarrollado en “reclutar un nuevo Una vez aprendido, el mapeo mental es fácil de
Auditor SI” puede encontrar en adelante en este hacer, y la práctica hace la perfección. Por lo tanto,
artículo. es bueno disfrutar del “niño interior” que todos
llevamos dentro y utilizar crayones o lápices de
Estas son las asociaciones que la mente del creador colores para hacer bocetos y asegurar que ambos
del mapa mental tiene con “reclutar un nuevo auditor lados del cerebro (el lógico y el artístico) están
SI”. Otras personas pueden tener otros totalmente comprometidos (figura 2).
diferentes, y comparándolos pueden revelar algunos
temas interesantes para discutir más. Esto estimula el proceso creativo, anima a hacer
asociaciones entre cosas que pueden aparecer
Si las discusiones o reflexión adicional muestran que no relacionadas y alienta al diseñador a pensar
algo hace falta, puede fácilmente ser añadido. De libremente sobre el tema en foco.
esta manera, todos los pensamientos que ya estaban
flotando en la mente del creador del mapa ahora Aquellos que usen este enfoque es probable que
se sorprendan por el número de veces que alguien
están organizados de forma visible y significativa.
viendo los mismos elementos en un mapa mental
Al tener esta visión organizada puede ayudar en
dice “Yo no habría pensado en eso”.
la toma de decisiones informadas y entender las
complejidades potenciales que puedan surgir (ej.,
Cosas que hacer utilizando mapeo
acuerdos de las funciones de los recursos humanos
mental
[RRHH], temas presupuestarios) y las múltiples
opciones que deban tomarse (ej., emplear o contratar El mapeo mental es una actividad muy individual ya
por fuera, importancia de sus habilidades blandas). que se relaciona en cómo se hacen asociaciones en
las mentes de las personas. Una cosa es cierta: Por
¿Y qué tiene que hacer esto con la memoria? La lo menos unos de los ejemplos incluidos aquí pueden
respuesta es simple, pero no obvia: El cerebro es ser útil en las actividades profesionales de muchas
un órgano visual y recuerda fácilmente imágenes personas. Es importante no estar preocupados si a la
y diagramas. La lectura de texto lineal es un acto primera otros consideren esta actividad como extraña.
“no natural” ya que los caracteres necesitan Aquellos que no están familiarizados con los mapas
com Gobie no
r
Contrato s de
Posible fuentes
Como contratar
bito
Am Riesgo Segurid
Contratar a un Base
Auditor de SI de datos
Re
ue
q
Get Members.
Get Rewarded.
REACH OUT AND HELP COLLEAGUES AND OTHER PROFESSIONALS BECOME
ISACA® MEMBERS. THEY GET THE BENEFITS OF ISACA MEMBERSHIP.
YOU GET REWARDED.
Recruit 2 – 3 new members and receive an attachable Recruit 8 – 9 new members and receive hi-tech,
tracking device. Easily locate your valuable items, includes smart luggage that you can control from your phone:
multiple customization options: a US $25 value. a US $375 value.
Recruit 4 – 5 new members and receive an indoor/outdoor Recruit 10 or more new members and receive a high-
home assistant that flies, 2.4 Ghz camera included. Flips quality gaming system with WiFi capabilities and built-in
upside down with 4.5 ch. 3D control and LED lights: a US Blu-ray player. Also includes a controller and 2 games:
$145 value. a US $550 value.
THE MORE MEMBERS YOU RECRUIT, THE MORE VALUABLE THE REWARD.
When ISACA grows, members benefit. More recruits mean more connections,
more opportunities to network—and now, more rewards you can use for work or fun!
* Rules and restrictions apply and can be found at www.isaca.org/rules. Please be sure to read and understand these rules. If your friends or colleagues do not reference
your ISACA member ID at the time they become ISACA members, you will not receive credit for recruiting them. Please remember to have them enter your ISACA
member ID on the application form at the time they sign up.
© 2016 ISACA. All Rights Reserved.
Q: ¿Cómo piensa A: Las funciones se A: A través del proceso
que el rol de los entrelazarán mucho más de certificación he
profesionales de que antes en el pasado. minimizado mis brechas
Leonard Ong, CISA,
seguridad de la Los profesionales de de conocimiento
CISM, CRISC, CGEIT,
información está la seguridad de la mediante el aprendizaje
COBIT 5 Implementation
cambiando o ha información, de guías de conocimiento
and Assessor, CFE, CIPM,
cambiado? aseguramiento, ampliamente aceptadas.
CIPT, CISSP ISSMP-
administración de Las certificaciones que
ISSAP, CPP, CSSLP,
A: A medida que riesgos y gobierno he obtenido también
CITBCM, GCFA, GCIA,
las tecnologías de tendrán que trabajar más me han ayudado a
GCIH, GSNA, PMP
Tiene más de 16 años de la información se cerca y sin restricciones. ser reconocido. Al
experiencia en seguridad de integran con el negocio, Veo que habrá contratar, miro a los
la información y corporativa los profesionales movimiento de un rol a candidatos que tienen
obtenida en las industrias de de seguridad de la otro y viceversa, y los certificaciones relevantes
telecomunicación, banca y información deben profesionales se volverán más detenidamente;
farmacéutica. Ha trabajado en estar mejor informados multidisciplinarios. por ejemplo, en un
diferentes roles en profesiones respecto del contexto ISACA® facilita a rol enfocado en la
de seguridad incluyendo
de negocio. El rol está los profesionales la administración del
ciberseguridad, seguridad
cambiando actualmente adquisición de nuevas riesgo TI, un candidato
corporativa, administración
de la continuidad de negocio de ser reactivo y en áreas de conocimiento y que posea la CRISCTM
y consultoría. Ong ha sido forma de soporte, a ser valida ese conocimiento a (Certified in Risk and
voluntario en un número de proactivo y habilitador. través de certificaciones. Information Systems
asociaciones de seguridad Los profesionales ControlTM, por sus
desde 2003. de seguridad de la Q: ¿Cómo es que las siglas en inglés), sería
información están certificaciones que deseable.
entregando y habilitando ha obtenido le han
nuevos valores tal como ayudado a avanzar o Q: ¿Cuál sería su
lo hacen otras funciones potenciar su carrera mejor consejo para
de negocio. profesional? ¿Cuáles los profesionales
son las certificaciones de seguridad de
Q: ¿Cómo ve que los que buscas cuando la información, al
roles de seguridad de reclutas a un nuevo planificar su plan de
la información, riesgo y miembro de tu equipo? carrera y al mirar al
gobierno cambiarán en futuro de la seguridad
el largo plazo? de la información?
3
uno de estos caminos y en el lugar de trabajo es crítico. ¿Cómo le han impactado
resiste la opción de mediante la conversión los medios sociales
ser un generalista o un de trabajo. Un elemento Q: ¿Cuál ha sido su profesionalmente?
especialista. El plan de importante para reducir mayor desafío en su Es increíble que ya no estemos limitados por
carrera del CSX (The la brecha es tener la lugar de trabajo o fronteras geográficas físicas para generar redes de
Cybersecurity Nexus, habilidad práctica que carrera profesional y contacto y colaborar.
por sus siglas en inglés) puede ser utilizada en cómo lo enfrentaste?
es una gran herramienta terreno.
para mapear una carrera.
Uno puede elegir ser Q: Usted ha sido un
A: Cuando los roles
de seguridad de la 4
¿Cuál es su principal consejo
para otros profesionales de
seguridad de la información?
un CISM® (Certified voluntario activo en una información y de la
Information Security serie de asociaciones administración de Que estén orgullosos y sigan colaborando con el
Manager®, por sus siglas de seguridad durante riesgos tecnológicos negocio y otras funciones para lograr los objetivos
más de una década. no eran vistos como un empresariales en común.
en inglés) para el camino
administrativo o ser un ¿Por qué hace del valor agregado para el
CSXE (Cybersecurity voluntariado una negocio, sino como una
Nexus ExpertTM, por sus
siglas en inglés) para el
prioridad de entre los
muchos otros temas
sobrecarga innecesaria,
eran tiempos 5
¿Cuál es su beneficio favorito
como miembro de ISACA?
Conocer a profesionales con ideas afines en todo el
camino técnico. que demandan su desafiantes. Con el
mundo y aprender de esas interacciones. Además,
tiempo? fin de transformar la
el acceso a las publicaciones periódicas, encuestas
Q: ¿Cuáles cree situación en un entorno
e investigaciones.
que son las formas A: Todo el mundo puede más propicio, realicé
6
más eficaces para hacer una diferencia en un extenso trabajo de ¿Qué haces cuando no está
hacer frente al déficit este mundo y elegí divulgación a líderes en el trabajo?
de habilidades en servoluntario en empresariales y de otras Pasar el tiempo con mi familia y voluntariado. En mi
ciberseguridad? asociaciones de funciones de negocio. papel como director en la junta directiva de ISACA,
seguridad como un Como parte de la visito varios capítulos de ISACA e interactúo
A: Aprendizaje modo de impactar divulgación, reintroduje con los líderes y miembros de los capítulos. Al
estructurado, práctico positivamente en nuestra propuesta de mismo tiempo, contribuyo en el intercambio de
y vivencial con la nuestra sociedad. Dada valor y cómo podemos conocimientos, presentando en varias conferencias.
validación de habilidades la gran importancia de ser un socio en lugar de
tendrá el mejor efecto. la tecnología, nuestro una barrera.
TRAIN AT THE
HIGHEST STANDARDS.
KEEP CURRENT ON
BEST PRACTICES.
READY YOUR SKILLS CYBERSECURITY FUNDAMENTALS
TODAY FOR TOMORROW’S Las Vegas, Nevada | 5 – 8 December 2016
organizaciones debiesen buscar (o crear) mientras Algunas de las mejores maneras para entender
buscan efectuar mejoras en el rendimiento del el factor de riesgo humano de una compañía es ¿Disfruto este
elemento humano. realizar una encuesta de los empleados pre y post
artículo?
entrenamiento. Esto ayuda a las organizaciones a
entender cuanto saben hoy día, para que mejoras
• Aprenda más
apropiadas puedan efectuarse en el futuro. Aun si
acerca, discute
el presupuesto es apretado, no existe escases de
…Aunque datos gratis de la industria, como es el DBIR citado
y colabora en
cyberseguridad y
los empleados previamente, para ayudar a una organización entender
gestión del riesgo
su riesgo de empleados especifico. Solo cuando
son claramente los factores de riesgo son entendidos puede una
en el Centro de
Conocimiento.
identificados como organización asegurar de que funciona para entregar
el entrenamiento correcto a los empleados correctos.
www.isaca.org/
la fuente de riesgo knowledgecenter
Además, los datos de las herramientas de reportes
para el negocio, de incidentes de la red, como ser los sistemas de
directores y la gestión de eventos de seguridad e información
(SIEM) y del software de prevención de pérdida
ejecutivos también de datos (DLP) que puede que estén en su lugar,
cada vez más se ayudaran en entender el predominio del manejo de
temas de datos. El concepto de usuario y el análisis
les está haciendo de comportamiento de la entidad (UEBA o UBA)
está emergiendo rápidamente como una manera de
responsables analizar a través de toda la información colectada por
por prácticas de SIEM, DLP y otras fuentes, y proporcionar información
sobre las tendencias priorizadas a los profesionales
ciberseguridad de TI monitoreando la RED. Las herramientas UEBA
riesgosas. proporcionan un valor real en la identificación de
patrones y signos que revelan la presencia de actores
malos en el entorno de TI.
Aunque estas mejores prácticas toman diferentes Un excitante y emergente uso para el UEBA es
formas y diferentes nombres, los mejores programas amarrarlo directamente a “entrenamiento-justo-a-
de concientización efectúan algunas cosas comunes: tiempo” en el punto de la falla. UEBA podría identificar
Evalúan y analizan el rendimiento real del personal a Jane Dow almacenando un documento de la
dentro de la organización; crean un plan para mejora compañía en un sitio de almacenaje en la nube no
continua; e introducen una seria de intervenciones autorizado como ser Dropbox, Box o Google Drive,
educativas (ej., entrenamiento y reforzamiento) y entregarle un pop-up generado por el sistema que
enfocado a cambiar el comportamiento y fomentar le recuerda de la política de la compañía sobre el
una cultura consciente del riesgo. Las organizaciones almacenamiento de documentos de la compañía en un
que toman el problema humano seriamente ecosistema autorizado. Si Jane lo hace nuevamente,
saben que deben examinar el estado actual del el sistema puede proporcionarle un video rápido sobre
conocimiento de los empleados, sus habilidades las razones por la cual es mejor evitar un sistema de
y actitud sobre seguridad (y privacidad, a menudo almacenaje de la nube no aprobado. Meses después,
entrelazado en los ojos de los empleados). Esto si Jane comete el mismo error nuevamente, puede
requiere dar un paso atrás para tomar una mirada que se le inscriba automáticamente en un curso de
amplia a la cultura de la organización, evaluar todas 15 minutos sobre almacenamiento aprobados en
maneras potenciales que los empleados están (o la nube. Este es un ejemplo perfecto de entregar el
no están) entendiendo y respondiendo al riesgo entrenamiento correcto a la persona correcta en el
relacionado con la seguridad. momento oportuno.
Notas Finales
• Parcial (tier 1)—La gestión de riesgos es ad hoc
1 Verizon, 2016 Data Breach Investigations Report,
con un conocimiento limitado de riesgo y sin la
www.verizonenterprise.com/verizon-insights-lab/
colaboración con los demás.
dbir/2016/
• Riesgo Informado (tier 2)—Los procesos 2 VMare, “The Cyber Chasm: How the Disconnect
y programa de la gestión del riesgo están Between the C-suite and Security Endangers the
implementados, pero no están integrados a nivel Enterprise,” The Economist Intelligence Unit, 2016,
de toda la empresa, colaboración es entendida, www.vmware.com/radius/wp-content/
pero a la organización le hace falta capacidades uploads/2015/08/EIU-VMware-Data-Security-
formales. Briefing.pdf
3 Lambert, L.; “SEC Says Cyber Security Biggest
• Repetible (tier 3)—Políticas formales para los
Risk to Financial System,” Reuters, 18 May 2016,
procesos y programa de la gestión de riesgo
www.reuters.com/article/us-finance-summit-sec-
están implementados en toda la empresa, con
idUSKCN0Y82K4
colaboración externa parcial.
4 Securities and Exchange Commission, “OCIE’s
• Adaptado (tier 4)—Procesos y programas de 2015 Cybersecurity Examination Initiative,”
gestión de riesgo están basados en lecciones National Exam Program Risk Alert, vol. 4, iss. 8,
aprendidas y embebido en la cultura, con USA, 15 September 2015, https://www.sec.gov/
colaboración proactiva. ocie/announcement/ocie-2015-cybersecurity-
examination-initiative.pdf
Organizaciones que enfocan el entrenamiento 5 Hayden, L.; People-Centric Security: Transforming
como un evento anual simple es muy probable Your Enterprise Security Culture, McGraw-Hill,
que se encuentren en tier 1 o tier 2, mientras que USA, September 2015
organizaciones que continuamente mejoran muy 6 National Institute of Standards and Technology,
probablemente se encuentren en tier 3 o tier 4. Cybersecurity Framework, USA, 2013,
www.nist.gov/cyberframework/
Tipos de políticas
• Area de negocio afectada, por ejemplo, caída de
servicios de misión crítica, prevención caídas de Una política tradicional de responsabilidad general
actividades de negocio vs. indisponibilidad de sólo cubre daños a la propiedad, por lo que es
servicios no esenciales insuficiente para abordar casos cibernéticos porque
• Capacidad para la organización afectada, por los datos son intangibles. Ante estas deficiencias,
ejemplo, las políticas y los procedimientos de hay aproximadamente 50 aseguradoras globales
recuperación inexistentes vs. programa de que ofrecen ciber protección, 35 de las cuales son
operadores de los Estados Unidos6. Ofrecen alguna
respuesta ante incidentes
combinación de los cuatro siguientes componentes
(figura 1)7:
Una encuesta en el 2016 encontró que un 66pro
ciento en USA, el 75 por ciento en el Reino Unido y 1. Errores yomisiones (E&O)—Cubre los reclamos
el 57 pro ciento de los alemanes eran propensos a derivados de errores en el cumplimiento del
dejar de hacer negocios con una organización que servicio.
Tercera parte Tercera parte Primera parte Tercera parte Primera parte Tercera parte
2. R
esponsabilidad de multimedia— (por ejemplo, un ordenador portátil perdido, el
Responsabilidad de multimedia cubre ante envío de información sensible a una dirección
escenarios de defacement o modificación de equivocada, una fotocopiadora con un disco
sitios web, contenido multimedia, los derechos duro que contiene los registros de clientes) o la
de propiedad intelectual, la infracción de los colección de información de forma ilícita.
derechos de autor/marcas registradas, calumnias
e injurias. La cobertura también puede extenderse Lo que es cierto acerca de la seguridad de la red y
al contenido fuera de línea. coberturas de privacidad, es que tanto los costos
de primera parte y obligaciones de terceros están
3. Seguridad en la red y responsabilidad de
cubiertos. La cobertura de primera parte se aplica
extorsión —La responsabilidad de seguridad en
a los costos directos para responder a una falla en
la red cubre los costos asociados a la transmisión
la seguridad o por violación de la privacidad. En el
de virus, pérdida de secretos comerciales o
caso de un tercero, la cobertura se aplica cuando se
solicitudes de patentes y las violaciones de
demanda a una empresa.
datos. Eso incluye el costo de la restauración
de datos, notificación voluntaria, relaciones
Por otro lado, un ciber seguro no cubre los errores
públicas, gestión de riesgos, interrupción del
o problemas que ya estaban en conocimiento
negocio, y la gestión de crisis. De la misma
previo, litigios pendientes, daños a la reputación, la
manera, la responsabilidad de extorsión cubre los
pérdida de ingresos futuros, costo para mejorar los
daños efectuados a partir de la extorsión, como
sistemas de tecnología internos, pérdida del valor
ransomware o denegación de servicio distribuido
de la propiedad intelectual, lesiones corporales o
(DDoS) que exige pago para detener el ataque.
daños a la propiedad, y los efectos de los ataques
4. Protección de la privacidad —Incluye la cibernéticos maliciosos. Sin embargo, algunas
divulgación indebida de datos personales compañías de seguros, han comenzado a hacer
identificables (PII), la salud y la información excepciones a la regla, en particular para las dos
confidencial. Incluye los costos de investigación, últimas limitaciones. Por ejemplo, aunque Verizon
notificación, monitoreo de crédito, las tasas reportó que entre el 2012 y 20138 se ha triplicado
reglamentarias (por ejemplo, Federal de EEUU las naciones y estados que patrocinaban estas
Trade Commission [FTC] y fiscal general del actividades. Este tipo de ataques deja al descubierto
estado) y asociados y honorarios legales. La la dificultad en la atribución de perseguir
privacidad también puede incluir una pérdida responsabilidades en un ataque nación/estado.
de registros físicos debido a un tratamiento
inapropiado de archivos, errores humanos
70 High-impact sessions that offer invaluable new tools and perspectives on cyber security. CSX sessions provide unique opportunities to learn from top
experts in the field. You select the sessions right for you and your level of cyber expertise.
5
Thought-leading keynote speakers brought together for the first time ever. Learn while listening to those on cyber security’s frontlines. Speakers include:
Brian Krebs, Investigative Journalist, Founder of Krebs on Security blog and Former Washington Post Reporter; Pablos Holman, Notorious Hacker, Inventor,
Entrepreneur and Technology Futurist; and Brett Kelsey, CISA, CISSP, Vice President and Chief Technology Officer for the Americas at Intel Security.
Un NIDS realiza el análisis del tráfico de paso en SO también incorpora una herramienta de búsqueda
la subred completa, contra la base de ataques de registros de auditoría llamada búsqueda de
conocidos. Si es utilizado efectivamente, un NIDS registros empresariales y archivo (ELSA). Está
puede ayudar una organización a estar alerta para construida sobre syslog-ng, MySQL y Sphinx.
reconocer intentos de ataques característicos en Provee una interface de consulta de buena
varios pasos del modelo de cadena de muerte base, fácil de usar similar a las bien conocidas
cibernética. Por ejemplo, si un malware está aplicaciones Splunk. También soporta alertas
utilizando una URL/IP maliciosa, el NIDS va por correo electrónico, consultas programadas
a identificarla del resto de tráfico usando sus y gráficos. Las consultas de eventos históricos
firmas, relacionándola con el paso 6. Y si su firma y resultados estadísticos pueden ser reunidos
vulnerable calza con la encontrada en el tráfico utilizando ELSA.
activo, esto estaría relacionado con el paso 4.
Una de las funciones más notables de SO es su
Cebolla de Seguridad (SO) es una distribución Linux capacidad de captura de paquetes usando la
creada para la detección de Intrusiones, monitoreo herramienta netsniff-ng. Al escoger configurar la
de seguridad en la red y administración de registros funcionalidad de captura de paquetes, cada vez
de auditoría (logs). Está basada en la distribución que se genere una alarma de un sistema detector
de Linux Ubuntu (GNU) y contiene los softwares de de intrusiones (IDS), uno puede fácilmente ver
seguridad de redes ya bien conocidas de código y analizar las capturas de paquetes del evento
abierto, tales como Snort, Suricata, Bro y Sguil, con relacionado para un análisis detallado. Debido a que
un enfoque integrado3. Ya que están integradas con capturar todo el tráfico consume una gran cantidad
scripts para su facilidad de uso, es muy fácil instalar de capacidad de disco duro, las organizaciones
y empezar a usar a través de su interfaz gráfica de deben planear cuidadosamente antes de instalar
usuario (GUI). Tiene tres opciones de instalación: su sistema. El valor del ancho de banda de la red y
independiente, sensor y servidor. Si uno quiere las prácticas de retención de registros de auditoría
instalar sensor y servidor en la misma máquina, pueden ser utilizadas como un punto de partida
el modo independiente puede ser usado. Para para estos planes.
redes grandes, la instalación distribuida puede ser
la respuesta correcta para un fácil mantenimiento Sistemas de detección de intrusos
y administración centralizada de sensores basados en el servidor
distribuidos usando el soporte de administración de
configuración SaltStack integrado. HIDS es un sistema de detección de intrusos que
monitorea y analiza la parte interna de un sistema de
Mientras se usa SO, uno debe usar o el computación.
espejamiento de puertos o dispositivos de hardware
de intervención de redes para espejar todo el Diferente al NIDS, HIDS monitorea las actividades
tráfico de la red hacia las máquinas de sensor SO. basadas en el servidor. Por ejemplo, puede
Después del proceso de instalación y habilitar monitorear la integridad de archivos críticos,
las configuraciones necesarias, los componentes conexiones de red, registros de auditoría de
de software NIDS comenzarán a ver y analizar el sistemas, estado del cortafuego local, detección
tráfico en contra de amenazas utilizando firmas de de rootkit, intentos de fuerza bruta al sistema y
amenazas integradas. más. Usar HIDS efectivamente puede ayudar a una
organización a detectar intentos de ataque en los
La ubicación exitosa de los sensores en la red es pasos 5 y 7 en la cadena de muerte cibernética.
algo de gran consideración para lograr una clara y Por ejemplo, el paso 5 utiliza la funcionalidad de
ajustada visión de la red. monitoreo de la integridad de los archivos de HIDS,
la que puede detectar cuando el malware corrompe para grandes despliegues usando métodos como
un archivo de sistema o se agrega a sí mismo en el Instrumentación de Administración de Windows (WMI)
registro y levanta una alerta. y Puppet. También hay un proyecto llamado auto-
OSSEC5 para un fácil despliegue.
¿Disfruto este Uno o más de estos proyectos HIDS bien conocidos
artículo? de código abierto es OSSEC4 (figura 3). Él soporta Sebos de atracción (Honeypots)
Windows, Linux, Mac, BSD, sistemas VMWare ESX
• Aprenda más y más. Muchos adversarios inician sus actividades maliciosas
acerca, discute escaneando las subredes externas e intentando
y colabora en Sus capacidades incluyen la administración explotar la máquina más débil de entre los servidores
cyberseguridad y centralizada, alertas en tiempo real configurables, de una organización expuestos públicamente. Un
seguridad de redes monitoreo sin agentes, una integración seguridad sebo de atracción puede ser utilizado para engañar
en el Centro de de la información comercial y administración de al adversario y atraerlo a intentar explotarlo. Mientras
Conocimiento. eventos (SIEM). el atacante está intentando abrir una brecha, los
www.isaca.org/ sebos de atracción reportan el evento a los servidores
knowledgecenter También es fácil de personalizar debido a que es centrales de monitoreo de seguridad y ayuda a
de código abierto. OSSEC puede ser personalizado defender la infraestructura de producción.
para propósitos como una lista blanca de
dispositivos USB y escaneo de vulnerabilidades de Cuando se utilizan efectivamente, los sebos de
software. atracción pueden ayudar a las organizaciones a
detectar intentos de ataque en el paso 1 de la Cadena
Para el despliegue, la instalación de un servidor de Muerte Cibernética.
OSSEC es necesaria. Posterior a este paso, un agente
puede ser instalado en cualquier servidor, y, dada Existe una distribución de Linux llamada HoneyDrive,
la llave del agente y la información IP del servidor, que es un paquete de software de sebos de atracción
el agente empezará a monitorear el servidor que ha y es de fácil utilización para empezar. Otro bien
instalado y enviar los registros de auditoría al servidor conocido sebo de atracción de código abierto es
OSSEC. Este proceso puede ser automatizado Dionaea. Es un sebo de atracción capturador de
sólo una vez al año, mientras que áreas específicas. La figura 2 muestra las áreas de
enfoque y su aplicabilidad.
las evaluaciones de vulnerabilidad
Reglas del contrato
pueden llevarse a cabo con mayor
Estas reglas deben ser considerados como las
frecuencia. perillas de ajuste del sonido en un sistema de cine
en casa. Una combinación podría ser mejor para una
habitación más pequeña que está observando TV por
• Ingeniería Social—A pesar que la ingeniería cable, mientras que otra combinación podría ser mejor
social es actualmente una técnica de las pruebas para una habitación más grande donde se reproduce
de penetración, muchas empresas, sin embargo, un DVD. Una vez que estas reglas son entendidas, se
no están listas para una prueba de penetración y hace más fácil para decidir los objetivos y el alcance
podrían optar por solo desplegar una campaña de de la prueba.
correo electrónico de suplantación de identidad,
por ejemplo, para verificar cuántos de sus usuarios Un conjunto diferente de combinaciones se puede
son vulnerables a esta técnica y requieren una aplicar a cada sistema dentro del alcance. En una red
formación complementaria. Sus resultados son muy sensible, uno se puede realizar solo un escaneo
reportados, pero la información recopilada nunca de vulnerabilidades y en otras redes, más robustos, se
es utilizada para penetrar la red. podría ejecutar una prueba más real de penetración.
O bien, el sonido se puede ajustar de según se van
Una evaluación no es mejor que una prueba de ejecutando a las pruebas. Por ejemplo, cuando la
penetración o vice versa. Estas proporcionan prueba no tiene éxito en la penetración de la primera
resultados y valores diferentes. Su aplicabilidad línea de defensa, la prueba se puede considerar
completada o información adicional, o aún el acceso, defensa? ¿Cómo responderían los sistemas internos?
se puede proveer para que el probador pueda La cita de Andy Grove en la complacencia es muy
prescindir de ella y reiniciar la prueba desde ahí. De aplicable a la seguridad de la información: “El éxito
esta manera, las vulnerabilidades adicionales pueden alimenta la complacencia. La complacencia engendra
ser identificadas en caso que un atacante futuro fracaso. Sólo los paranoicos sobreviven”1.
pudiese violar el primer nivel de defensa.
Es esencial aplicar un enfoque cíclico a las pruebas
La combinación elegida depende de la tolerancia al de seguridad de la información como se sugiere en
riesgo y la madurez de los procesos de seguridad la figura 3.
cibernética de una empresa. Sin embargo, estas
reglas permiten flexibilidad para ajustar el plan de Figura 3—Testing Cycle
pruebas de acuerdo con los sistemas y redes dentro
del alcance.
Fuente: K. Korpela and P. Weatherhead. Reimpreso con permiso. Marcos de evaluación de riesgos
Antecedentes puede ser útil en la identificación
Al desarrollar la prueba, es crítico mantener en de los objetivos de la prueba.
mente que va requerir la aprobación de la alta
gerencia (es preferible los ejecutivos senior) y, por
lo tanto, los antecedentes debiesen proveerles
con contexto detallando la necesidad de efectuar
Objetivos
este tipo de trabajo, resumen de pruebas previas, Es aconsejable proveerles a los probadores con
razón fundamental para el objetivo y el alcance objetivos específicos. ¿Qué deben hacer los
seleccionado, cambios efectuado al entorno de TI, probadores una vez obtengan acceso a la red?
nuevas amenazas, y así. Aquí es donde la justificación ¿Debiesen dejar migajas? ¿Debiesen los probadores
para utilizar una organización de evaluación de encontrar una aplicación específica y crearle cuentas
terceros puede ser previsto. de usuarios? Esos objetivos se tornarán claros y fácil
definir según la organización se familiarice con sus
Metas sistemas y ciber riesgos. Un buen lugar para empezar
es definir objetivos relacionados con la primera y/o
¿Cuál será el área de enfoque (referirse a figura 2)
segunda línea de defensa como ser los cortafuegos
para la prueba? O, ¿será general? ¿Existe una
RSA
Una prueba de penetración no dura para siempre y,
por lo tanto, es importante ser explicito en el plan del
RED PRINCIPAL RED DE RESPALDO (DRP)
Servidor A Consola periodo finito para la prueba. El plan debe también
Servidor B
solicitarle a los probadores que notifiquen a las partes
interesadas de la organización cuando ha iniciado las
pruebas según el día acordado para comenzar.
WEB
DMZ
Contactos
Una lista de contactos debiese desarrollarse para
identificar todas las personas clave (incluyendo los
Fuente: K. Korpela and P. Weatherhead. Reimpreso con permiso.
nombres, roles, direcciones de correo electrónico y
números de teléfono) participando en la planeación,
La mayoría de las organizaciones de evaluación coordinación y ejecución de las pruebas. Aquellos a
utilizaran el número de hosts, usuarios, IPs externos los cuales hay que contactarlos primero en caso de
y ubicaciones del alcance para calcular el costo del preocupaciones, cambios y emergencias debiesen
compromiso. ser definidos claramente. La lista no debiese
incluir personal que no necesita conocer acerca
Los controles se han convertido en una parte rápido debido a amenazas severas, ellos pueden no
esencial de todos los entornos de TI. A medida que disponer de la oportunidad para consultar con los ¿Tienes algo
las empresas se vuelven más dependientes de la expertos apropiados previo a realizar la decisión de que comentar
tecnología moderna, ellas también deben hacer invertir. En casos como este, las malas decisiones sobre este
frente a más vulnerabilidades, las que deben ser son muy comunes. Posteriormente, los gastos son artículo?
manejadas de manera eficiente. Sin embargo, la altos sin generar el incremento de la seguridad Visita las páginas del
selección de un control adecuada puede ser un reto. esperada. Journal en el sitio web
de ISACA (www.isaca.
Los diversos atributos y tanta información preliminar La mejor manera de evitar las malas justificaciones, org/journal), encuentra
como sea posible debiese ser considerada en el el artículo y da click
es un proceso de selección de controles bien
proceso de selección. Un proceso sistemático de en el link Comments
pensado, que involucre a los expertos. Para
revisión y técnicas de toma de decisiones ayudan a para compartir tus
encontrar la protección más apropiada, el pensamientos.
evitar verse forzado a dar justificaciones inoportunas
responsable de tomar la decisión debe ser capaz
basado en decisiones precipitadas y mala
de evaluar varias medidas de seguridad e identificar
preparación. Las partes interesadas debiesen estar
y seleccionar la más adecuada. La selección de
conscientes de los posibles problemas que pueden
controles se basa en la evaluación de múltiples
ocurrir durante el proceso de selección, incluyendo
atributos cualitativos o cuantitativos. Por lo tanto, un
deficiencias en las técnicas de toma de decisiones
proceso de selección debe cubrir la comparación
empleadas. El proceso de selección puede también
de estos atributos y la evaluación de los controles
ser afectado por problemas imprevistos de costo,
tiempo y calidad. existentes. Los atributos se ponderan de manera
que la evaluación de los controles se puede
Durante la preparación, ejecución y control de realizar teniendo en cuenta la situación específica y
calidad del proceso de selección de controles, se características de la empresa.
debe utilizar una perspectiva crítica para señalar
posibles problemas.
Motivos
A veces, la selección de controles se basa en
justificaciones erradas. Las causas de estas
justificaciones son a menudo miedo, incertidumbre
y duda. Algunos representantes de productos poco
éticos, pueden incluso aumentar estas condiciones
para hacer crecer sus ventas a través del uso de la
desinformación sutil y subliminal. A menudo se hace
referencia a fuentes neutrales, pero la importancia
de la referencia es enormemente exagerada o es
presentada en el contexto incorrecto. El resultado
final puede ser una inversión costosa e inadecuada,
Stefan Beissel, Ph.D., CISA, CISSP, PMP
y un control por debajo de lo óptimo. Is a senior information security expert who has worked at international
companies in the finance, banking and commerce sectors for nearly 15
Por otra parte, actuar de manera precipitada y la years. He is the author of multiple books and journal articles and has
mala preparación puede llevar a una justificación trained and lectured professionals, undergraduate and graduate students
errada. Si los administradores deben reaccionar on information security and related topics.
Las ventajas de utilizar un proceso estructurado 2. La fase de patrocinio se utiliza para obtener la
sobre un proceso no sistemático incluyen los aceptación y el apoyo de la dirección ejecutiva y
siguientes: para seleccionar un patrocinador apropiado.
• El problema a ser resuelto debe ser definido antes 3. El primer paso de la toma de decisiones, es
de iniciar la evaluación. definir el problema que va a ser resuelto por
dicha decisión. Esta etapa apunta a obtener
• La identificación y el uso de atributos facilitan la
un entendimiento de aquellos elementos (por
consideración de diferentes perspectivas dentro
ejemplo, la estrategia, el alcance, los activos,
de la evaluación.
los riesgos, la protección y los involucrados)
• El proceso de selección se organiza a través de que serán factores importantes en el proceso de
pasos claramente establecidos, y a su vez se toma de decisiones.
subdivide en subpartes que lo componen.
4. Durante la identificación de atributos, el
responsable de tomar la decisión debe
La manera en que se compone el proceso de
considerar todos los atributos relevantes que
selección de controles, a nivel de detalle, dependerá
serán utilizados para la evaluación de las
de la compañía que desarrolla y utiliza el proceso.
alternativas de controles.
En general, un proceso estructurado incluye la
preparación de la selección, el estrechamiento de 5. Después, el responsable de tomar la decisión
la toma de decisiones y las actividades para el también debe determinar la importancia de
aseguramiento de la calidad (figura 1). cada atributo mediante la realización de una
evaluación de atributos.
Cada fase del proceso de selección se puede
describir como sigue: 6. La etapa de identificación de alternativas de
controles, es un paso crucial y su resultado
1. L
a fase de iniciación debiese estar basada
depende de la información que se puede
en una razón sólida para la selección de un
obtener acerca de las alternativas disponibles,
control específico, tomando en consideración
a través de la investigación de conocimiento en
la percepción de las partes interesadas sobre la
fuentes externas.
seguridad de la información.
7. La etapa de evaluación de alternativas, es
necesaria para valorar las alternativas respecto
a los atributos pertinentes, para así crear una
clasificación de rangos posterior.
52 ISACA JOURNAL VOL 5
8. Basándose en la clasificación, la mejor y el análisis envolvente de datos (DEA: Data
alternativa (la alternativa con el rango más alto) envelopment analysis). Sin embargo, SAW y AHP
puede ser identificada. proporcionan el mejor equilibrio entre una facilidad
de comprensión y aplicación práctica para su uso en
9. Documentar el proceso asegura que la toma
el sector empresarial.
de decisiones puede ser entendida por
tercera partes, quienes luego pueden utilizar
la documentación para obtener información
sobre estos y reunir indicadores respecto de la
corrección e integridad de las etapas realizadas.
SAW y AHP
10. Una segregación en la etapa de aprobación,
proporcionan el
sobre todo por la alta dirección, agrega un mejor equilibrio
control de calidad adicional, a objeto que los
resultados del proceso no sean mal utilizados. entre una facilidad
de comprensión
Técnicas de toma de decisiones
y aplicación
Cuando se ve enfrenta la necesidad de seleccionar práctica para su
entre alternativas de control que poseen múltiples
atributos, las técnicas de toma de decisiones más uso en el sector
comunes son: adición simple de ponderadores
(SAW: Simple additive weighting)1 y el proceso
empresarial.
analítico jerárquico (AHP: Analytic hierarchy
process)2. Ambas técnicas se basan en la misma
secuencia general:
Como la mayoría de las técnicas de toma de
• Definir el problema. decisiones de múltiples atributos, SAW y AHP también
• Identificar y evaluar los atributos. vienen con desventajas potenciales que deben ser
conocidas y, si es posible, evitar que sean incluidas:
• Identificar y evaluar las alternativas de control.
• Las técnicas pueden ser manipuladas de muchas
• Seleccionar la mejor alternativa. maneras posibles. Debido a que se utilizan cifras
precisas y métodos de cálculo, la objetividad
Las diferencias se encuentran en los cálculos puede ser falseada. Debido a la subjetividad
realizados para las evaluaciones. SAW utiliza general en la ponderación y evaluación de
cálculos que se basan en evaluaciones los atributos, el resultado puede ser afectado
independientes de cada atributo y alternativas de significativamente por manipulación no detectada.
controles, mientras que AHP usa comparaciones por A pesar de que la subjetividad puede ser reducida
pares de dos atributos o alternativas a la vez. Dado mediante la inclusión de expertos, no puede ser
que estas diferentes técnicas incluyen métodos eliminada. Además, el responsable de la toma de
de cálculo diferentes, las mismas alternativas de decisiones tiene libertad de elección con respecto
controles pueden conducir a resultados diferentes, a la selección de los atributos.
por ejemplo, una alternativa podría ser la más
adecuada cuando use SAW, pero sólo una segunda • La adición de las diferentes evaluaciones implica
opción cuando se utiliza AHP. La evaluación de la independencia de los atributos. Sin embargo,
resultados si los puntajes de las alternativas de dependencias entre los atributos, tales como
controles están cerca el uno al otro puede llevar a relaciones de competencia o complementarias, a
esta situación. menudo no se pueden evitar completamente. Por
ejemplo, para un control, el nivel de protección y
También existen otras técnicas de toma de los servicios de soporte de un mismo vendedor,
decisiones en el campo científico, por ejemplo, el están a menudo estrechamente relacionados. En
proceso analítico de red (ANP: Analytic network consecuencia, existe el riesgo de que los atributos
process), la técnica de preferencia de orden por la con una dependencia fuerte conduzcan sin
similitud con solución ideal (TOPSIS: Technique intención a una subvaloración o sobrevaloración de
for order preferance by similarity to ideal solution) las alternativas de controles.
ACROSS 1 2 3 4 5 6 7
Answers on page 58
VERDADERO O FALSO
CPE
quiz
ARTICULO VANDERPOOL 9 Mientras que otros productos, como los
automóviles, pueden ser probada su calidad por
su propio fabricante o terceros autorizados, no
1 Una característica destacada de los reglamentos
hay ninguna garantía de que cualquier equipo
de protección de datos generales (GDRP)
podría encontrar de manera eficiente todas las
extiende el derecho popular para ser olvidado,
deficiencias en un sistema criptográfico.
una regla activa en la Unión Europea desde el
año 2006, lo que permite a los usuarios exigir Prepared by
la eliminación de sus fotografías, vídeos o
ARTICULO THARAKAN Smita Totade,
información personal de los registros de Internet
Ph.D., CISA, CISM,
encontrados por los motores de búsqueda.
CGEIT, CRISC
10 Mediante el desarrollo y la utilización de un
2 El derecho a saber que ha sido hackeado es
marco de gobierno de seguridad, el CISO puede
un componente popular de la GDPR y exige a
garantizar que las estrategias de seguridad
las organizaciones que informe a una autoridad
de la información están bien alineados con los
central tan pronto como sea posible cualquier
objetivos de negocio y las leyes y regulaciones
violación de datos que representan un riesgo
aplicables.
para los propietarios de datos.
11 El CISO debe recoger información sobre la base
3 Aunque muchos investigadores médicos no
de los indicadores de cumplimiento e informar al
están contentos con los últimos cambios en la
CEO de la eficacia del programa de seguridad
redacción GDPR, no hay actores atrapados en
de la información.
la mira de la GDPR.
12 La externalización de las operaciones de
4 El regulador de cualquier nación puede presentar
seguridad es una buena opción para las
una queja al regulador principal de presencia,
organizaciones de gran tamaño, ya que les
dependiendo del lugar donde el demandante
ayuda a reducir los problemas de mantenimiento
reside y donde se presenta la queja.
de un ambiente siempre que funcione.
TRUE OR FALSE
VANDERPOOL ARTICLE THARAKAN ARTICLE Name
PLEASE PRINT OR TYPE
1. 10.
2. 11.
3. Address
12.
4.
SERRANO ARTICLE
STOLBIKOVA ARTICLE 13. CISA, CGEIT, CISM or CRISC #
5.
14.
6.
15.
7. Answers: Crossword by Myles Mellor
16. See page 56 for the puzzle.
8.
1 2 3 4 5 6 7
9. P R O T E C T T H E D A T A
R V N A U U A
8 9 10 11 12
O P E N S I D E A L R A W
13
A I R U N Y G H
14 15 16
C S T R A T E G Y S E M I
T E E O T S
17 18 19 20 21
I T E M A I R B N B I T
22 23
V I S N A A S L
24 25
E N E P O T I C C Y C L E
Please confirm with other designation-granting professional bodies for their CPE qualification acceptance criteria.
Quizzes may be submitted for grading only by current Journal subscribers. An electronic version of the quiz is G E E K K E B
26 27 28 29 30
available at www.isaca.org/cpequiz; it is graded online and is available to all interested parties. If choosing to submit L B S C A R O L D N I L
using this print copy, please email, fax or mail your answers for grading. Return your answers and contact information 31
I D S N O A O
by email to info@isaca.org or by fax to +1.847.253.1443. If you prefer to mail your quiz, in the US, send your CPE 32 33 34 35 36 37
Quiz along with a stamped, self-addressed envelope, to ISACA International Headquarters, 3701 Algonquin Rd., M I N D M A P S B O R R O W
#1010, Rolling Meadows, IL 60008 USA. Outside the US, ISACA will pay the postage to return your graded quiz. You 38
I S A V
39
R I
40
M R I E
need only to include an envelope with your address. You will be responsible for submitting your credit hours at year- 41 42 43
end for CPE credits. A passing score of 75 percent will earn one hour of CISA, CGEIT, CISM or CRISC CPE credit. T M S I L E N C E H O U R
Get Noticed!
Advertise in the ISACA® Journal
Journal
For more information, contact media@isaca.org
• Estándares Generales (series 1000) – Son los principios guía bajo el cual Reporrtes
la profesión de aseguramiento de SI opera. Aplica a la conducta de todas 2401 – Reportando
las asignaciones y hace frente con la auditoria SI y la ética del profesional 2402 – Seguimiento Actividades
de aseguramiento, independencia, objetividad y al debido cuidado como al
conocimiento, competencia y habilidad. IHerramientas y técnicas de Auditoria SI y Aseguramiento
Estos documentos proveen de una guía adicional para los profesionales de
• Estándar de Desempeño (series 1200) – Hace frente a la conducta de auditoria SI y aseguramiento y consiste, entre otras cosas, de white papers,
la asignación, como ser planear y supervisar, determinación del alcance,
programas de Auditoria SI/Aseguramiento, libros de referencia y la familia de
riesgo y materialidad, movilización de los recursos, supervisión y la gestión de
productos COBIT® 5. Herramientas y técnicas están listadas bajo www.isaca.org/
asignación, auditoria y evidencia de aseguramiento, y el ejercicio de su juicio
itaf.
profesional y debido cuidado.
• Estándares de Reportar (series 1400) – Abordar los tipos de reportes, Un glosario sobre términos utilizados en ITAF lo puede encontrar en línea en
medios de comunicación y la información comunicada. www.isaca.org/glossary
Por favor tomar nota que las nuevas guías son efectivas a partir del 1 de Previamente de emitir cualquier nuevo Estándar o Guía, un borrador es
septiembre del 2014. emitido internacionalmente para consulta del público general.
Comentarios también pueden ser enviados a la atención del Director
General de Privacidad y Practicas de Aseguramiento por correo (standards@
1001 – Estatuto de Auditoria isaca.org) fax (+1.847.253.1443) o correo postal (ISACA International
Headquartes, 3701, Algonquin Road, Suite 1010, Rolling Meadows, IL
1002 – Independencia Organizacional
60008-3105, USA).
1003 – Independencia Profesional
1004 – Expectación Razonable Links a actuales y expuestos Estándares, Guías y Herramientas y
1005 – Debido Cuidado Profesional Técnicas de ISACA están posteadas en www.isaca.org/standards.
1006 – Competencia
1007 – Afirmaciones Disclaimer: ISACA has designed this guidance as the minimum level
1008 – Criterio of Disclaimer: ISACA ha designado esta guía como el nivel mínimo de
desempeño aceptable requerido para cumplir con las responsabilidades
de profesionales expuestas en el Código de Ética Profesional de ISACA.
Desempeño ISACA no garantiza que los usos de estos productos aseguraran un
1201 – Planificación de Trabajo resultado exitoso. La orientación no debe ser considerada inclusive
1202 – Evaluación de Riesgo en Planeación de cualquier procedimiento y pruebas propias o exclusivos de otros
1203 – Desempeño y Supervisión productos y pruebas que son razonablemente dirigidos para obtener
1204 – Materialidad los mismos resultados. Para determinar la conveniencia de cualquier
1205 – Evidencia procedimiento o prueba específica, los profesionales de control deben
1206 – Utilizando el Trabajo de otros Expertos aplicar su propio juicio profesional a las circunstancias específicas de
1207 – Actos irregulares e ilegales
control presentados por los sistemas particulares o ambientes de SI.
Reportes
1401 – Reportando
1402 – Seguimiento Actividades
ISACA JOURNAL VOL 5 59
ISACA® Journal, formerly
Information Systems Control
Journal, is published by the
Information Systems Audit and
Control Association® (ISACA®),
a nonprofit organization
web sites
advertisers/
Capella University capella.edu/ISACA 3
created for the public in 1969.
Membership in the association, Chiron Technology Services chirontech.com Back Cover
a voluntary organization
serving IT governance Saint Leo University SaintLeo.edu Inside Back Cover
professionals, entitles one to
receive an annual subscription Society of Corporate
complianceethicsinstitute.org 1
to the ISACA Journal. Compliance & Ethics
supporters
leaders and
Opinions expressed in the
ISACA Journal represent
the views of the authors and
advertisers. They may differ
from policies and official
statements of ISACA and/or
the IT Governance Institute
and their committees, and from
opinions endorsed by authors,
Editor Tushar Gokhale, CISA, CISM, CISSP,
ISO 27001 LA
Smita Totade, Ph.D., CISA, CISM,
CGEIT, CRISC
employers or the editors of the Jennifer Hajigeorgiou Tanja Grivicic Ilija Vadjon, CISA
Journal. ISACA Journal does publication@isaca.org Manish Gupta, Ph.D., CISA, CISM, Sadir Vanderloot Sr., CISA, CISM, CCNA,
not attest to the originality of CRISC, CISSP CCSA, NCSA
authors’ content. Assistant Editorial Mike Hansen, CISA, CFE Anthony Wallis, CISA, CRISC, CBCP, CIA
Jeffrey Hare, CISA, CPA, CIA Kevin Wegryn, PMP, Security+, PFMP
© 2016 ISACA. All rights
Manager Sherry G. Holland Tashi Williamson
reserved. Maurita Jasper Jocelyn Howard, CISA, CISMP, CISSP Ellis Wong, CISA, CRISC, CFE, CISSP
Francisco Igual, CISA, CGEIT, CISSP
Instructors are permitted to Contributing Editors Jennifer Inserro, CISA, CISSP
Khawaja Faisal Javed, CISA, CRISC, CBCP,
ISACA Board of
photocopy isolated articles for
noncommercial classroom use Sally Chan, CGEIT, CPA, CMA ISMS LA Directors (2015–2016)
without fee. For other copying, Ed Gelbstein, Ph.D. Mohammed Khan, CISA, CRISC, CIPM Chair
reprint or republication, Kamal Khan, CISA, CISSP, CITP, MBCS Farzan Kolini GIAC Christos Dimitriadis, Ph.D., CISA,
permission must be obtained Vasant Raval, DBA, CISA Michael Krausz, ISO 27001 CISM, CRISC, ISO 20000 LA
in writing from the association. Steven J. Ross, CISA, CBCP, CISSP Abbas Kudrati, CISA, CISM, CGEIT, CEH,
Smita Totade, Ph.D., CISA, CISM, CGEIT, CHFI, EDRP, ISMS Vice-chair
Where necessary, permission
CRISC Shruti Kulkarni, CISA, CRISC, CCSK, ITIL Theresa Grafenstine, CISA, CGEIT, CRISC,
is granted by the copyright
Bhanu Kumar CGAP, CGMA, CIA, CPA
owners for those registered
with the Copyright Clearance Advertising Hiu Sing (Vincent) Lam, CISA, CPIT(BA), Director
Center (CCC) (www.copyright. ITIL, PMP Rosemary Amato, CISA, CMA, CPA
media@isaca.org
com), 27 Congress St., Salem, Edward A. Lane, CISA, CCP, PMP
Romulo Lomparte, CISA, CISM, CGEIT, Director
MA 01970, to photocopy Media Relations CRISC, CRMA, ISO 27002, IRCA Garry Barnes, CISA, CISM, CGEIT,
articles owned by ISACA, CRISC, MAICD
for a flat fee of US $2.50 per news@isaca.org Juan Macias, CISA, CRISC
article plus 25¢ per page. Larry Marks, CISA, CGEIT, CRISC Director
Send payment to the CCC Reviewers Norman Marks Rob Clyde, CISM
stating the ISSN (1944-1967), Tamer Marzouk, CISA
Matt Altman, CISA, CISM, CGEIT, CRISC Director
date, volume, and first and Krysten McCabe, CISA
Sanjiv Agarwala, CISA, CISM, CGEIT, Leonard Ong, CISA, CISM, CGEIT,
last page number of each Brian McLaughlin, CISA, CISM, CRISC,
CISSP, ITIL, MBCI CRISC, COBIT 5 Implementer and
article. Copying for other CIA, CISSP, CPA
Cheolin Bae, CISA, CCIE Assessor (Singapore), CFE, CFP, CGFA,
than personal use or internal Brian McSweeney
Sunil Bakshi, CISA, CISM, CGEIT, CRISC, CIPM, CIPT, CISSP ISSMP-ISSAA,
reference, or of articles or
Irina Medvinskaya, CISM, FINRA, Series 99
ABCI, AMIIB, BS 25999 LI, CEH, CITBCM, CPP, CSSLP, GCIA, GCIH,
columns not owned by the
David Earl Mills, CISA, CGEIT, CRISC,
CISSP, ISO 27001 LA, MCA, PMP GSNA, PMP
association without express
MCSE
Brian Barnier, CGEIT, CRISC Robert Moeller, CISA, CISSP, CPA, CSQE Director
permission of the association Pascal A. Bizarro, CISA Ramu Muthiah, CISM, CRVPM, GSLC, Andre Pitkowski, CGEIT, CRISC,
or the copyright owner is Jerome Capirossi, CISA ITIL, PMP COBIT 5 Foundation, CRMA, ISO 27kLA,
expressly prohibited. Joyce Chua, CISA, CISM, PMP, ITILv3 Ezekiel Demetrio J. Navarro, CPA ISO 31kLA
Ashwin K. Chaudary, CISA, CISM, CGEIT, Jonathan Neel, CISA
ISSN 1944-1967 CRISC Director
Anas Olateju Oyewole, CISA, CISM, CRISC,
Burhan Cimen, CISA, COBIT Foundation, Edward Schwartz, CISA, CISM, CAP,
CISSP, CSOE, ITIL
ISO 27001 LA, ITIL, PRINCE2 CISSP, ISSEP, NSA-IAM, PMP, SSCP
Pak Lok Poon, Ph.D., CISA, CSQA, MIEEE
Ian Cooke, CISA, CGEIT, CRISC, COBIT John Pouey, CISA, CISM, CRISC, CIA Director
Foundation, CFE, CPTS, DipFM, ITIL Steve Primost, CISM Zubin Chagpar, CISA, CISM, PMP
Foundation, Six Sigma Green Belt Parvathi Ramesh, CISA, CA
Ken Doughty, CISA, CRISC, CBCP Director
Antonio Ramos Garcia, CISA, CISM, CRISC,
Nikesh L. Dubey, CISA, CISM, Raghu Iyer, CISA, CRISC
CDPP, ITIL
CRISC, CISSP Ron Roy, CISA, CRP Director
Ross Dworman, CISM, GSLC Louisa Saunier, CISSP, PMP, Six Sigma Jo Stewart-Rattray, CISA, CISM,
Subscription Rates: Robert Findlay Green Belt CGEIT, CRISC
John Flowers Daniel Schindler, CISA, CIA
US: Jack Freund, CISA, CISM, CRISC, Past Chair
Nrupak D. Shah, CISM, CCSK, CEH, Robert E Stroud, CGEIT, CRISC
one year (6 issues) $75.00 CIPP, CISSP, PMP ECSA ITIL
Sailesh Gadia, CISA Shaharyak Shaikh Past Chair
All international orders: Amgad Gamal, CISA, COBIT Foundation, Tony Hayes, CGEIT, AFCHSE, CHE, FACS,
Sandeep Sharma
one year (6 issues) $90.00. CEH, CHFI, CISSP, ECSA, ISO 2000 Catherine Stevens, ITIL FCPA, FIIA
LA/LP, ISO 27000 LA, MCDBA, MCITP, Johannes Tekle, CISA, CFSA, CIA
Remittance must be made MCP, MCSE, MCT, PRINCE2 Past Chair
Robert W. Theriot Jr., CISA, CRISC Greg Grocholski, CISA
in US funds. Robin Generous, CISA, CPA Nancy Thompson, CISA, CISM,
Anuj Goel, Ph.D., CISA, CGEIT, CGEIT, PMP Director and Chief Executive Officer
CRISC, CISSP Matthew S. Loeb, CGEIT, CAE