REGISTER

Society of Corporate Compliance & Ethics 15th Annual

COMPLIANCE &
ETHICS INSTITUTE
SEPTEMBER 25-28 | SHERATON GRAND | CHICAGO
NOW

IT COMPLIANCE TRACK
COVERING MORE THAN A DOZEN COMPLIANCE TOPICS RELATED TO IT

Learn more and register at complianceethicsinstitute.org

 Journal
The ISACA® Journal
tiene por objeto mejorar el nivel
de competencia y la ventaja
competitiva de sus lectores
internacionales, proporcionando
orientación técnica y de gestión
4 37 de autores experimentados
Materias seguridad de la información: Balanceando el campo de batalla de la seguridad globales. Los artículos son
Héroes olvidados de la seguridad cibernética
Steven J. Ross, CISA, CISSP, MBCP Daksha Bhasker, CISM, CISSP revisados por pares y se centran
7 41 en temas críticos para los
Auditoría básica de SI: Los desafíos de las Planificación de pruebas de seguridad de la
habilidades blandas, parte 4 información—Un enfoque práctico profesionales que intervienen
Ed Gelbstein, Ph.D., and Stefano Baldi Karina Korpela, CISA, CISM, CRISC, CISSP, PMP, en auditoría de TI, gobierno,
and Paul Weatherhead, CISSP
12 seguridad y cumplimiento.
La red 51
Leonard Ong, CISA, CISM, CRISC, CGEIT, COBIT 5 Una perspectiva crítica de los procesos de
Implementation and Assessor, CFE, CIPM, CIPT, selección de controles
CISSP ISSMP-ISSAP, CPP, CSSLP, CITBCM, Stefan Beissel, Ph.D., CISA, CISSP, PMP
GCFA, GCIA, GCIH, GSNA, PMP

14 MAS
Información de etica: El desafío de ser “bueno”
Vasant Raval, DBA, CISA, ACMA 56
Palabras cruzadas
Myles Mellor
ARTICULOS
57
20 CPE prueba
Como auditar el elemento humano y evaluar el Prepared by Smita Totade, Ph.D., CISA, CGEIT,
riesgo de seguridad de su organización CISM, CRISC
Tom Pendergast, Ph.D.
(Também disponível em português) 59
Estándares, guías, herramientas y técnicas
25
Cyberinsurance: ¿Generador de valor o costo a S1-S4
cargar? ISACA Bookstore Supplement
Syed K. Ishaq, CISA, CRISC, CCISO
(Também disponível em português)
Lea más acerca
32 de los autores del
Un Enfoque integrado oara el monitoreo de Journal..
amenazas cibernéticas utilizando aplicaciones
de código abierto
Furkan Caliskan, CISA Los blogs de los escritores
del Journal estan en
www.isaca.org/journal/
blog. Visita el blog de
Reconocimiento por ISACA Journal, en términos

Traducción prácticos, para adquirir

conocimientos prácticos de
colegas y participar en la
comunidad cada vez mayor
ISACA le agradece al Capítulo de Chile por la traducción y la donación de la traducción de este volumen
del ISACA Journal. de ISACA.

Sr. Julian Rodrigo Davis Toledo, CISA, CISM Sr. Jorge Serrano Rodríguez, CISA, CGEIT, CRISC
Mr. Jesús Soto Valbuena, CISA Mr. Maximiliano Rojas Hinrichsen, CISM
Sr. Leonardo Vinett Herquiñigo, CISA Sr. Sergio Molanphy , CISM, CRISC
Mr. Pablo Idiaquez Ríos Sr. Pablo Caneo Gutiérrez, CISA, CGEIT, CRISC
Sr. Fernando Méndez Erazo, CISA

3701 Algonquin Road,

Suite 1010
Rolling Meadows, Illinois
60008 USA
Discuss topics in the ISACA Knowledge Center: www.isaca.org/knowledgecenter
FPO

Follow ISACA on Twitter: http://twitter.com/isacanews; Hashtag: #ISACA

Telephone
Join ISACA on LinkedIn: www.linkedin.com/company/isaca +1.847.253.1545
Like ISACA on Facebook: www.facebook.com/ISACAHQ
Fax +1.847.253.1443
www.isaca.org
THERE’S
THERE’SNO
NOSHORTAGE
SHORTAGEOF
OF
CYBER
CYBER SECURITY
SECURITY THREATS
THREATS
BUT THEREISISAASHORTAGE
BUTTHERE SHORTAGEOF
OFITITSECURITY
SECURITYPROFESSIONALS
PROFESSIONALS

DO
DOYOU
YOUHAVE
HAVEWHAT
WHATIT
ITTAKES
TAKESTO
TOBE
BEPART
PARTOF THESOLUTION?
OFTHE SOLUTION?

Get up-to-date security skills with Capella University’s

Master’s in Information Assurance and Security (MS-IAS).
Specializations include Digital Forensics, Network Defense, and Health Care Security.

Along the way to your MS-IAS, earn up to 3 NSA focus area digital badges showcasing your
mastery of skills in specific cybersecurity areas.

Plus, the knowledge you gained for your CISSP®, CEH®, or CNDA® certifications can help you
earn credit toward your MS-IAS, saving you time and money.

ANSWER THE CALL. START TODAY. CAPELLA.EDU/ISACA OR 1.866.933.5836

See graduation rates, median student debt, and other information at www.capellaresults.com/outcomes.asp.

ACCREDITATION: Capella University is accredited by the Higher Learning Commission.

HIGHER LEARNING COMMISSION: https://www.hlcommission.org, 800.621.7440
CAPELLA UNIVERSITY: Capella Tower, 225 South Sixth Street, Ninth Floor, Minneapolis MN
55402, 1.888.CAPELLA (227.3552)

©Copyright 2016. Capella University. 16-8594

 información
seguridad Héroes olvidados de la seguridad
materia
Hace mucho y lejanos tiempos, yo era el presidente
¿Tienes algo de la EDP Auditors Association, la cual, algunos
que comentar años más tarde, cambió su nombre a ISACA®. Así
sobre este que, aquí estamos 35 años después de mi período
artículo? en ese cargo y hoy me maravillo en lo que se ha
Visita las páginas del convertido ISACA: 140.000 miembros en más de
Journal en el sitio web 200 capítulos de 180 países. Uno de las cosas
de ISACA (www.isaca. que estoy más orgulloso de la actual Asociación
org/journal), encuentra es la cantidad de miembros y la vasta comunidad
el artículo y da click a la cual sirve. Aun manteniendo una base en
en el link Comments los profesionales de la auditoría de los SI y de
para compartir tus las TI, ISACA ahora también comprende a otros
pensamientos.
profesionales tales como consultores, educadores,
profesionales de la seguridad de la información,
profesionales de riesgo, directores de información y
auditores internos1.
Se ha dicho que quienes están profesionalmente
interesados en la seguridad y en el control de
los sistemas de información, son principalmente
los auditores, y que éstos tienen una relación de
confrontación con la función de las tecnologías de la
Steven J. Ross, CISA, CISSP, MBCP
Es director ejecutivo de Risk Masters International LLC. Desde el año 1998
Ross ha estado escribiendo en una de las columnas más populares de
esta revista. Steven Ross puede ser contactado en la dirección stross@
riskmastersintl.com.
4 ISACA JOURNAL VOL 5
información 2. No creo que esto sea necesariamente
cierto o sea una verdad absoluta. Mi experiencia,
al menos en la última década, es que hay muchos
profesionales en las filas de las TI que son
importantes contribuyentes a la seguridad de la
información y que éstos deben ser reconocidos
como tales.
Los administradores de bases de
datos
Si hay algún atributo de la seguridad de la información
que es universalmente reconocido, es el control de
acceso a los datos. De acuerdo con un escritor, “el
administrador de la base de datos (DBA), tiene tres
tareas básicas. En orden decreciente de importancia
son: proteger los datos, proteger los datos, y proteger
los datos”3. Los administradores de bases de datos,
o quizás más específicamente, los administradores
de datos, definen las reglas para los datos en la forma
de metadatos. Estos profesionales establecen las
políticas para el uso de los datos, en términos de la
propiedad de los elementos, su uso por parte de las
aplicaciones (y por extensión, de las personas), los
permisos de acceso, y la modificación o eliminación
de datos4. Todo eso me suena muy parecido a la
seguridad de la información.
Los administradores del sistema
Cuando un sistema tiene muchos usuarios, alguien
debe ser responsable de la instalación, soporte y
mantenimiento de éste. Esa persona se conoce
como administrador del sistema (sysadmin) y tiene
una amplia autoridad por el contenido, capacidad
y rendimiento de los servidores, dispositivos de
red y otros elementos de la configuración. Es
comprensible que aquellos cuyos intereses están
relacionados con la seguridad de la información
deben tener cuidado con los administradores de
sistemas, dado el poder que éstos tienen sobre el
almacenamiento y el uso de los datos. Sin embargo,
los administradores de sistemas son, o deberían ser,
los primeros en saber cuándo un sistema actúa de
manera extraña o bien esté fallando 5.
En mi experiencia, los administradores de sistemas
son muy protectores de sus dominios y muy
centrados en la continuidad y seguridad de las
operaciones, tanto en los dispositivos como en
el software que ellos soportan. Así, a pesar de su
potencial de poder socavar la seguridad, a menudo
son ellos mismos los que se aseguran que la
seguridad de la información esté funcionando
Los planificadores de la
recuperación de desastres
A veces, a pesar de todas las medidas de seguridad,
los sistemas fallan. Cuando la causa es de naturaleza
física, lo llamamos un desastre, y cuando sobreviene
un desastre en un centro de datos, es el planificador
de recuperación de desastres quien debiera haber
desarrollado los procedimientos de restauración de
las operaciones, generalmente en una ubicación
alternativa. Esta persona debería tener un amplio
conocimiento de la infraestructura y de las
aplicaciones, con el fin de efectuar la recuperación
de las operaciones dentro de los límites definidos por
la Administración para los tiempos de inactividad y la
pérdida tolerable de datos.
De por sí, la
recuperación de
desastres es un
aspecto de la
seguridad de la
información.
De por sí, la recuperación de desastres es un
aspecto de la seguridad de la información. Por
otra parte, los planificadores de recuperación de
desastres necesitan mantener el control de accesos,
la detección de intrusos y otras medidas de
seguridad en los ambientes restaurados, al mismo
nivel que tenían durante las operaciones normales.
En consecuencia, tienen muchos atributos que los
hacen participantes en la gestión de la seguridad de
la información.
Los gerentes de continuidad de
negocios
Estrechamente alineados (y aliados) con los
planificadores de recuperación de desastres están
los gerentes de continuidad de negocio. Mientras
los primeros se preparan para la recuperación de
las operaciones de TI, los últimos aseguran que las
actividades de negocios pueden continuar en algún
nivel aceptable mientras los sistemas estén abajo.
En los casos en que desde una perspectiva del
negocio no es aceptable un tiempo de inactividad,
el gerente de la continuidad del negocio se convierte
en el defensor de los usuarios finales en el trato con
la gerencia de TI.
Algunos podrían preguntarse si la gestión de la
continuidad del negocio es al fin de cuentas una
función de la seguridad de la información. Durante
muchos años, la norma básica de seguridad
global, la ISO 27001, define la gestión de la
continuidad del negocio como una componente de
la seguridad de la información. En la versión 2013,
con la publicación paralela de la norma ISO 22301
como un estándar de gestión de la continuidad
del negocio, la atención de esta nueva norma se
desplazó al mantenimiento de la seguridad de la
información durante una situación de recuperación6.
El personal de adquisiciones
En nuestra época interconectada, es ampliamente
reconocido que la seguridad y la capacidad de
recuperación de las terceras partes son también
elementos críticos de la seguridad de la información.
Cuando se compran sistemas en la forma de
productos y servicios, debe quedar claro que los
requisitos para la seguridad deben ser tan altos
como los requerimientos de seguridad de los
sistemas desarrollados internamente, y tal vez más,
ya que la organización que hace la adquisición
tiene poco o ningún control sobre las prácticas de
desarrollo del proveedor de éstos.
La persona que está en mejores condiciones para
insistir en contar con una seguridad incorporada en
la adquisición de los productos y servicios TI es el
gerente de compras. Voy a dejar para un próximo
artículo cómo esta persona, presumiblemente sin
un profundo conocimiento de TI, o sin habilidades
en seguridad de la información, podría comprender
los requisitos básicos de seguridad de información
de una organización o bien reconocer que éstos no
se cumplen. Sin embargo, los gerentes de compras
pueden ser fundamentales para lograr un nivel
consistente en la seguridad de información en una
empresa.
ISACA JOURNAL VOL 5 5
 Gerentes de proyecto
¿Disfrutto este Incluso si un sistema, ya sea adquirido o
artículo?? desarrollado internamente, tiene los mejores
controles de seguridad, éstos controles pueden
• Aprenda más carecer de sentido si no se aplican correctamente.
acerca, discute Grandes proyectos e implementaciones de sistemas
y colabora con son casi siempre proyectos de importancia y
la continuidad requieren de gerentes de proyecto capaces. Son
de negocios, estos gerentes de proyecto quienes aseguran que
los sistemas se ponen en marcha de forma correcta,
recuperación
utilizando los métodos y controles adecuados,
de desastres satisfaciendo las necesidades de los propietarios,
y plaificación y, oh sí, son entregados a tiempo y dentro del
en el Centro de presupuesto. En algún lugar de su mandato,
Conocimiento. los gerentes de proyecto deben asegurar que la
www.isaca.org/topic- seguridad de la información se ha incorporado
business-continuity- adecuadamente en los sistemas.
disaster-recovery-
planning Los gerentes de proyecto deben tener los
conocimientos y las habilidades para poder
relacionar todos los requisitos de seguridad del
proyecto de sistema que estén supervisando. Esto
requiere una comprensión de cómo el sistema en
cuestión cumple con esos requisitos y cuál es la
forma en que el sistema implementado soporta la
seguridad de la información (o la deja de soportar).
Los gerentes de proyecto deben pensar en términos
generales, teniendo en cuenta no solo la seguridad
del sistema en cuestión, sino a todos los otros
sistemas que funcionan en el mismo entorno, y cada
vez más, significa considerar todo el conjunto de
aplicaciones y su infraestructura.
Es por ello que aquellos de nosotros, que tenemos
algún grado profundo de conocimiento en
seguridad de la información, debemos trabajar
con los gerentes de proyecto y todos los otros
profesionales mencionados anteriormente, con una
relación de respeto mutuo (y sin confrontación).
NOW AVAILABLE MONTHLY!
COBIT Focus
News and Case Studies About COBIT 5
More timely content, delivered more frequently.
COBIT Focus provides practical-use articles, case studies, best practices and news—
and now you can connect and share knowledge with the COBIT community by having this
ISACA newsletter delivered to your email inbox every month.
Subscribe for free at www.isaca.org/info/cobit-focus/index.html
6 ISACA JOURNAL VOL 5
Solo juntando todas las habilidades mencionadas
podemos mejorar la seguridad de la información
de una organización y la calidad de su ambiente
de TI. Así que, si quieres hacer algo para fomentar
la seguridad de la información, considera invitar
a un gerente de proyecto para el almuerzo. Y la
próxima semana, a un DBA. Y después de eso, a un
administrador de sistemas.
Quién sabe, tal vez usted puede convencerlos de
unirse a ISACA.
Notas Finales
1 ISACA, Membership, Guidance and Certification
for IT Professionals, www.isaca.org/About-
ISACA/What-We-Offer-Whom-We-Serve/Pages/
default.aspx
2 Singleton, T.; “Why Everyone Dislikes the IT
Auditor and How to Change It,” ISACA® Journal,
vol. 1, 2016, www.isaca.org/Journal/archives/
Pages/default.aspx
3 Watkins, B.; “What Does a DBA Do All Day?,”
Enterprise Cloud, 26 June 2008, reprinted in
Tech Republic, www.techrepublic.com/blog/the-
enterprise-cloud/what-does-a-dba-do-all-day/
4 Cox, T. B.; “The Role of the Database
Administrator,” Computer Weekly, March 2000,
www.computerweekly.com/feature/White-Paper-
The-role-of-the-database-administrator
5 Gite, V.; “What Is the Role of the System
Administrator?,” nixCraft, 20 February 2006,
www.cyberciti.biz/faq/what-is-the-role-of-the-
system-administrator/
6 Verry, J.; “Is ISO 27001:2013 Clarification
of Business Continuity Driving ISO 22301
Certification?,” PivotPoint Security, 14
November 2013, www.pivotpointsecurity.com/
blog/iso-27001-2013-business-continuity-
iso-22301/
IS auditoría Los desafíos de la habilidades
básica blandas, parte 4
Mapeo mental
Hace muchos años, durante una lluviosa noche de
Figura 1—Benefits of Mind Mapping
noviembre en Londres, Inglaterra, decidí buscar una
librería para mantenerme seco y cálido y también para
ver lo que se había publicado recientemente.

En la sección de psicología, había un libro delgado con

una cubierta brillante y conteniendo muchos dibujos.
Se llamaba el Libro del Mapa de la Mente,1(The
Mind Map Book) anunciado en ediciones posteriores
permitiendo al lector a “desbloquear su creatividad,
mejorar la memoria, cambiar su vida”. Buen
mercadeo, y por supuesto, teniendo en cuenta que la
mayoría de los libros son uno de los lujos más baratos
en la vida, vale la pena una compra.

El libro era muy interesante, pero tomo tiempo y

cierta práctica para apreciar su valor. Esta columna
es un poco de un experimento, ya que consiste
de algunas ilustraciones (cada una un mapa de la
mente) y texto mínimo, todo ello basado en el libro.
La técnica de los mapas mentales (figura 1) no
es una bala de plata o una poción mágica que va
resolver todos los desafíos de la vida. En su lugar,
está diseñado para ayudar al usuario a concentrarse
en un tema (el “te gustaría” en la figura 1) y enlazar
con él esas cosas que se consideran más relevantes
utilizando el menor número posible de palabras y, lo
más importante, hacerlo todo en una sola página.
Ed Gelbstein, Ph.D., 1940-2015
Trabajo en SI/TI en el sector privado y público
en varios países por más de 50 años. Gelbstein
efectuó desarrollos análogos y digitales en los 1960s
incorporo computadores digitales en los sistemas
de control para procesos continuos a finales de
los 60s y en los inicios de los 70s, y administro
proyectos grandes y complejos hasta los inicios de
los 1990s. En los 90s, se convirtió en ejecutivo de
los Ferrocarriles Británicos pre privatizados y luego
el proveedor de computación de comunicaciones
de datos globales de las Naciones Unidas. Después
de su retiro (Semi) de la ONU, se unió a los equipos
de auditoria de la Junta de Auditores de la ONU y
la Oficina Nacional Francesa de Auditoria. Gracias
a su espíritu generoso y sus escritos prolíficos, su
columna continuara siendo publicada en el Journal
de ISACA póstumamente.
Source: E. Gelbstein. Reprinted with permission.
Un ejemplo familiar podría ser el mapa mental “como
contratar a un nuevo Auditor SI”. Los lectores de
este artículo pueden rápidamente llegar a muchas
cuestiones que son pertinentes para este objetivo,
ej., áreas de especialización, aptitudes, experiencia,
el caso de negocio. Al poner “reclutar nuevo Auditor ¿Tienes algo
SI” en el centro de la página, preferiblemente en que comentar
landscape, se hace posible agrupar los temas sobre este
recién listados, relacionarlos, revisarlos que estén artículo?
Visita las páginas del
Stefano Baldi Journal en el sitio web
Es un diplomático de Carrera Italiano y uno de los de ISACA (www.isaca.
primeros en adoptar Sistemas de la Información y org/journal), encuentra
comunicaciones, así como una fuerza impulsadora el artículo y da click
para el uso más amplio del aprendizaje en línea. en el link Comments
Baldi es el director de entrenamiento en el Ministerio para compartir tus
de Relaciones Exteriores de Italia. Sus puestos pensamientos.
diplomáticos han incluido servir como representante
permanente de Italia en la ONU en Ginebra, Suiza,
y, subsecuentemente, cuidad de Nueva York, Nueva
York, EEUU, y en la Unión Europea en Bruselas,
Bélgica. Baldi ha sido autor y coautor de varios
libros sobre temas relacionados con la diplomacia y,
con Gelbstein, ha dirigido cursos para diplomáticos
de todo el mundo sobre temas como la gestión de la
información y la seguridad de la información.

ISACA JOURNAL VOL 5 7


Figura 2—Turning Mind Mapping Into “Play”
Use asociaciones, gráficos, dibujos, color y reducir el texto al mínimo.
L He utilizado esta técnica al escribir un artículo o al
Orgánico Cerebro
R pasos:
División cerebro
Posibles liberaciones
Práctica
Fácil de aprender
Pensamiento lineal
Muchos usos
Papel
Rápidos de hacer
Lápices
Buenos para compartir
Borrador
Source: E. Gelbstein. Reprinted with permission.
completos y compartir el resultado con otros. Un
mapa mental desarrollado en “reclutar un nuevo
Auditor SI” puede encontrar en adelante en este
artículo.
Estas son las asociaciones que la mente del creador
del mapa mental tiene con “reclutar un nuevo auditor
SI”. Otras personas pueden tener otros totalmente
diferentes, y comparándolos pueden revelar algunos
temas interesantes para discutir más.
Si las discusiones o reflexión adicional muestran que
algo hace falta, puede fácilmente ser añadido. De
esta manera, todos los pensamientos que ya estaban
flotando en la mente del creador del mapa ahora
están organizados de forma visible y significativa.
Al tener esta visión organizada puede ayudar en
la toma de decisiones informadas y entender las
complejidades potenciales que puedan surgir (ej.,
acuerdos de las funciones de los recursos humanos
[RRHH], temas presupuestarios) y las múltiples
opciones que deban tomarse (ej., emplear o contratar
por fuera, importancia de sus habilidades blandas).
¿Y qué tiene que hacer esto con la memoria? La
respuesta es simple, pero no obvia: El cerebro es
un órgano visual y recuerda fácilmente imágenes
y diagramas. La lectura de texto lineal es un acto
“no natural” ya que los caracteres necesitan
8 ISACA JOURNAL VOL 5
ser procesados individualmente porque son las
asignaciones arbitrarias de una forma a un sonido.
El hacer el esfuerzo de leer texto en un alfabeto no
familiar hará que este concepto sea más claro.
Lógica
preparar una presentación. El proceso toma tres
Creativo
1. Un mapa mental bastante rápido con muy pocas
palabras (no importa si es hecho a mano o
utilizando software)}
2. Revisión y ordenamiento para un buen flujo
3. Transición a texto o páginas de presentación
(nuevamente utilizando tan pocas palabras como
Limitado sea posible)
Esto resulta ser un excelente ahorro de tiempo y
conduce a un resultado “bien la primera vez,
cada vez”.
Ir más lejos
Una vez aprendido, el mapeo mental es fácil de
hacer, y la práctica hace la perfección. Por lo tanto,
es bueno disfrutar del “niño interior” que todos
llevamos dentro y utilizar crayones o lápices de
colores para hacer bocetos y asegurar que ambos
lados del cerebro (el lógico y el artístico) están
comprometidos (figura 2).
Esto estimula el proceso creativo, anima a hacer
asociaciones entre cosas que pueden aparecer
no relacionadas y alienta al diseñador a pensar
libremente sobre el tema en foco.
Aquellos que usen este enfoque es probable que
se sorprendan por el número de veces que alguien
viendo los mismos elementos en un mapa mental
dice “Yo no habría pensado en eso”.
Cosas que hacer utilizando mapeo
mental
El mapeo mental es una actividad muy individual ya
que se relaciona en cómo se hacen asociaciones en
las mentes de las personas. Una cosa es cierta: Por
lo menos unos de los ejemplos incluidos aquí pueden
ser útil en las actividades profesionales de muchas
personas. Es importante no estar preocupados si a la
primera otros consideren esta actividad como extraña.
Aquellos que no están familiarizados con los mapas
mentales bien pueden decidir aprender la técnica una
vez que vean lo útil que puede ser para los esfuerzos
incluyendo:
• Tomar Nota—Esto se hace más efectivo que el
enfoque tradicional. Cada idea puede ser puesta
donde cabe, independientemente del orden de
su presentación. Alienta resumir cada concepto
en unas pocas palabras. El resultado del mapa
mental puede ser visto y memorizado y ayuda en
desarrollar un “cuadro grande”.
• Aprendiendo y revisando—Porque un mapa
mental crea una visión más amplia sobre un tema,
ayuda en entender los enlaces y conexiones entre
las diversas partes componentes y explorándolas
con más detalle. Esto trabaja bien al dibujar
un mapa mental de un texto mientras lo lee. El
proceso de crear el mapa mental aumenta la
cantidad de información que se absorbe del libro
y resulta en un resumen de una página de todas
las cosas que importan. El mismo enfoque puede
ser utilizado en la preparación de material de
entrenamiento.
• Escritura creativa y redacción de informes—
Estos son asistidos en gran medida debido a que
un mapa mental produce rápidamente un gran
número de ideas que pueden ser organizadas en
grupos o temas relacionados. Lo mismo aplica a la
preparación de presentaciones y discursos.
En adición, mapas mentales pueden usarse también
para:
• Comunicar temas complejos—Un formato de
página única permite un buen entendimiento
del todo y sus partes, particularmente cuando
muestra explícitamente como los elementos están
asociados o relacionados.
• Reuniones—Estos pueden ser apoyados por el
mapeo mental de varias maneras: preparando la
agenda, presidiendo, involucrando a las participantes,
efectuando los arreglos e incluso levantando el
acta/minutas, si la cultura corporativa lo permite,
las actas/minutas pueden hacerse rápidamente y
eficientemente porque no hay necesidad de perder
tiempo y esfuerzo escribiendo largas cadenas de
texto (como en “El señor X dijo que ABC y esto
fue refutado por la señorita Y en base o XYZ”). El
punto importante es permitir que el cerebro escuche
activamente a lo que se está diciendo.
• Negociando—Un mapa mental puede resumir con
esmero cuestiones importantes, cada posición
y libertad de acción, opciones, etc., en una hoja
y, por lo tanto juega un papel en mantener la
atención durante las negociaciones. Por supuesto,
no todas las negociaciones pueden ser concluidas
satisfactoriamente cuando los problemas son
muchos, complejos y manchados por una larga
historia de desacuerdos. Estos caen fuera del
alcance de la auditoria.

Figura 3—Mind Map for Recruiting an IS Auditor

rab
Como participar Carga T ajo
lacio nes
Jubi BIT®)
Criterio selección Entr jo (ej.,CO
evi
sta
Rotación
o Traba
Administración cio Ma
rc ructura
go Infrast
e Ne
d aplicacion
Paquete Como emp so Software
ncia
ear pete
Ca

com Gobie no
r
Contrato s de
Posible fuentes
Como contratar
bito
Am Riesgo Segurid
Contratar a un Base
Auditor de SI de datos
Re

ue
q

Verbal rim CAATs

Escrito Comunicacio
ien
nes es to
ad mí
Gestión tiempo ilid nim Educación
H ab o
Proyecto management Experiencia
C ertificacións
Interpersonal
R e fere
ncias

Source: E. Gelbstein. Reprinted with permission.

ISACA JOURNAL VOL 5 9

 Un ejemplo simple de un mapa
mental sobre un tema de auditoria
El mapeo mental
La figura 3 pretende ser un ejemplo de cuantos
elementos se pueden incluir en una sola página y es una herramienta
como se necesita poco texto para documentarlos.
De la misma manera que “una imagen vale más que
probada que
mil palabras”, “un mapa mental vale más de cien permite la selección
páginas”. Esto es especialmente útil para evitar los
casos de un texto que se escribe en colaboración,
de ilustraciones
durante el cual se pueden gastar horas discutiendo significativas
sobre una palabra o un punto y coma.
de temas inter
Sin duda habrá cosas para añadir, eliminar o
trasladarse en figura 3. Algunas pueden inclusive
relacionados.
decir, “¿Y qué? He estado haciendo esto por un
largo tiempo no necesito que me lo digan”. Esto
puede ser cierto, pero no todos pueden estar en una Conclusión
posición tan agradable.
En un mundo caracterizado por una sobre carga
Usted puede haber notado que un enfoque similar- informacional, una técnica que puede ayudar con
¿Disfruto este resumen de diagramas mostrando la relación de los entender, organizar y capturar puntos sobresalientes
puede ser un salvavidas. El Mapeo Mental es una
artículo? elementos- es aplicado consistentemente a través
de la familia de documentos de COBIT® 5, y la visión herramienta probada que permite la selección de
de los diagramas que ofrecen, facilita enormemente ilustraciones significativas de temas inter relacionados.
• Aprenda más
el estudio del material. No solo puede ahorrarle tiempo considerable en
acerca, discute y
asimilar información valiosa, es compatible con
colabora en career
Previamente se mencionó que el mapeo mental solo la recuperación de esa información mediante el
management
necesita papel, crayones y borrador. Sin embargo, aprovechamiento de la predilección del cerebro para
en el Centro de
hay también un montón de fuentes de software que lo visual sobre la memoria verbal. Dado el rápido ritmo
Conocimiento.
apoyan esta técnica, con precios que varían desde de cambio en la tecnología-cualquiera que trabaje
www.isaca.org/topic-
casi gratis o hasta los que muchos consideran ser en el campo de tecnología, como ser auditores SI,
career-management
excesivo. Las ventajas de un producto de software especialistas de riesgo y control, y profesionales de
incluyen la habilidad de compartir documentos seguridad de la información, pueden beneficiarse del
electrónicos, mantener múltiples versiones de los enfoque del mapeo mental y estructural.
mapas mentales en carpetas bien organizadas
y, una vez las peculiaridades del software se han Notas Finales
dominado, producir mapas más ordenados de forma
1 Buzan, T.; B. Buzan; The Mind Map Book: How
más rápida.
to Use Radiant Thinking to Maximize Your Brain’s
Untapped Potential, Plume, USA, 1996
Hay un sin número de sitio en línea que dan acceso
2 www.biggerplate.com/
a mapas mentales creados por miles de individuos
en casi todos los temas. También existen muchos
libros en muchos lenguajes que ofrecen guía para
mejorar las habilidades.

10 ISACA JOURNAL VOL 5

MEMBER GET A MEMBER 2016

Get Members.
Get Rewarded.
REACH OUT AND HELP COLLEAGUES AND OTHER PROFESSIONALS BECOME
ISACA® MEMBERS. THEY GET THE BENEFITS OF ISACA MEMBERSHIP.
YOU GET REWARDED.
Recruit 2 – 3 new members and receive an attachable Recruit 8 – 9 new members and receive hi-tech,
tracking device. Easily locate your valuable items, includes smart luggage that you can control from your phone:
multiple customization options: a US $25 value. a US $375 value.

Recruit 4 – 5 new members and receive an indoor/outdoor Recruit 10 or more new members and receive a high-
home assistant that flies, 2.4 Ghz camera included. Flips quality gaming system with WiFi capabilities and built-in
upside down with 4.5 ch. 3D control and LED lights: a US Blu-ray player. Also includes a controller and 2 games:
$145 value. a US $550 value.

Recruit 6 – 7 new members and receive an any-surface

projector. Turn any surface into your very own display and
entertainment center: a US $279 value.

THE MORE MEMBERS YOU RECRUIT, THE MORE VALUABLE THE REWARD.
When ISACA grows, members benefit. More recruits mean more connections,
more opportunities to network—and now, more rewards you can use for work or fun!

Get recruiting today. It’s easy. Learn more at www.isaca.org/GetMembers

* Rules and restrictions apply and can be found at www.isaca.org/rules. Please be sure to read and understand these rules. If your friends or colleagues do not reference
your ISACA member ID at the time they become ISACA members, you will not receive credit for recruiting them. Please remember to have them enter your ISACA
member ID on the application form at the time they sign up.
© 2016 ISACA. All Rights Reserved.

Leonard Ong, CISA,
CISM, CRISC, CGEIT,
COBIT 5 Implementation
and Assessor, CFE, CIPM,
CIPT, CISSP ISSMP-
ISSAP, CPP, CSSLP,
CITBCM, GCFA, GCIA,
GCIH, GSNA, PMP
Tiene más de 16 años de
experiencia en seguridad de
la información y corporativa
obtenida en las industrias de
telecomunicación, banca y
farmacéutica. Ha trabajado en
diferentes roles en profesiones
de seguridad incluyendo
ciberseguridad, seguridad
corporativa, administración
de la continuidad de negocio
y consultoría. Ong ha sido
voluntario en un número de
asociaciones de seguridad
desde 2003.
12 ISACA JOURNAL VOL 5
Q: ¿Cómo piensa A: Las funciones se A: A través del proceso
que el rol de los entrelazarán mucho más de certificación he
profesionales de que antes en el pasado. minimizado mis brechas
seguridad de la Los profesionales de de conocimiento
información está la seguridad de la mediante el aprendizaje
cambiando o ha información, de guías de conocimiento
cambiado? aseguramiento, ampliamente aceptadas.
administración de Las certificaciones que
A: A medida que riesgos y gobierno he obtenido también
las tecnologías de tendrán que trabajar más me han ayudado a
la información se cerca y sin restricciones. ser reconocido. Al
integran con el negocio, Veo que habrá contratar, miro a los
los profesionales movimiento de un rol a candidatos que tienen
de seguridad de la otro y viceversa, y los certificaciones relevantes
información deben profesionales se volverán más detenidamente;
estar mejor informados multidisciplinarios. por ejemplo, en un
respecto del contexto ISACA® facilita a rol enfocado en la
de negocio. El rol está los profesionales la administración del
cambiando actualmente adquisición de nuevas riesgo TI, un candidato
de ser reactivo y en áreas de conocimiento y que posea la CRISCTM
forma de soporte, a ser valida ese conocimiento a (Certified in Risk and
proactivo y habilitador. través de certificaciones. Information Systems
Los profesionales ControlTM, por sus
de seguridad de la Q: ¿Cómo es que las siglas en inglés), sería
información están certificaciones que deseable.
entregando y habilitando ha obtenido le han
nuevos valores tal como ayudado a avanzar o Q: ¿Cuál sería su
lo hacen otras funciones potenciar su carrera mejor consejo para
de negocio. profesional? ¿Cuáles los profesionales
son las certificaciones de seguridad de
Q: ¿Cómo ve que los que buscas cuando la información, al
roles de seguridad de reclutas a un nuevo planificar su plan de
la información, riesgo y miembro de tu equipo? carrera y al mirar al
gobierno cambiarán en futuro de la seguridad
el largo plazo? de la información?
la
red
1


¿Cuál es el mayor reto de
seguridad que se enfrentará
en el 2017? ¿Cómo debe ser
enfrentado?
La falta de conciencia y del apoyo de la alta
dirección. Se enfrenta mediante la participación y el
compromiso de la junta directiva y la alta gerencia,
y manteniéndolos situacionalmente concientizados.

A: Uno debe entender Las habilidades de papel en asegurar

2
¿Qué es lo que está sobre su
escritorio en este momento?
Una computadora portátil de trabajo, una
sus fortalezas y áreas de ciberseguridad se pueden que continuamos computadora portátil personal, una notepad de
interés. Generalmente desarrollar en varias beneficiándonos del uso negocios, un diario de viajes, un conjunto de
hay caminos técnicos y entidades incluyendo positivo de la tecnología bolígrafos (plumas fuente)
administrativos. Cada colegios, universidades a través de la seguridad,

3
uno de estos caminos y en el lugar de trabajo es crítico.  ¿Cómo le han impactado
resiste la opción de mediante la conversión los medios sociales
ser un generalista o un de trabajo. Un elemento Q: ¿Cuál ha sido su profesionalmente?
especialista. El plan de importante para reducir mayor desafío en su Es increíble que ya no estemos limitados por
carrera del CSX (The la brecha es tener la lugar de trabajo o fronteras geográficas físicas para generar redes de
Cybersecurity Nexus, habilidad práctica que carrera profesional y contacto y colaborar.
por sus siglas en inglés) puede ser utilizada en cómo lo enfrentaste?
es una gran herramienta terreno.
para mapear una carrera.
Uno puede elegir ser Q: Usted ha sido un
A: Cuando los roles
de seguridad de la 4
 ¿Cuál es su principal consejo
para otros profesionales de
seguridad de la información?
un CISM® (Certified voluntario activo en una información y de la
Information Security serie de asociaciones administración de Que estén orgullosos y sigan colaborando con el
Manager®, por sus siglas de seguridad durante riesgos tecnológicos negocio y otras funciones para lograr los objetivos
más de una década. no eran vistos como un empresariales en común.
en inglés) para el camino
administrativo o ser un ¿Por qué hace del valor agregado para el
CSXE (Cybersecurity voluntariado una negocio, sino como una
Nexus ExpertTM, por sus
siglas en inglés) para el
prioridad de entre los
muchos otros temas
sobrecarga innecesaria,
eran tiempos 5
 ¿Cuál es su beneficio favorito
como miembro de ISACA?
Conocer a profesionales con ideas afines en todo el
camino técnico. que demandan su desafiantes. Con el
mundo y aprender de esas interacciones. Además,
tiempo? fin de transformar la
el acceso a las publicaciones periódicas, encuestas
Q: ¿Cuáles cree situación en un entorno
e investigaciones.
que son las formas A: Todo el mundo puede más propicio, realicé

6
más eficaces para hacer una diferencia en un extenso trabajo de ¿Qué haces cuando no está
hacer frente al déficit este mundo y elegí divulgación a líderes en el trabajo?
de habilidades en servoluntario en empresariales y de otras Pasar el tiempo con mi familia y voluntariado. En mi
ciberseguridad? asociaciones de funciones de negocio. papel como director en la junta directiva de ISACA,
seguridad como un Como parte de la visito varios capítulos de ISACA e interactúo
A: Aprendizaje modo de impactar divulgación, reintroduje con los líderes y miembros de los capítulos. Al
estructurado, práctico positivamente en nuestra propuesta de mismo tiempo, contribuyo en el intercambio de
y vivencial con la nuestra sociedad. Dada valor y cómo podemos conocimientos, presentando en varias conferencias.
validación de habilidades la gran importancia de ser un socio en lugar de
tendrá el mejor efecto. la tecnología, nuestro una barrera.

ISACA JOURNAL VOL 5 13

 El desafío de ser “bueno”
El comportamiento moral es, quizás, fácil hablar,
pero difícil de poner en práctica. La respuesta a
¿Tienes algo
la pregunta “¿Hice lo correcto?” Puede que no
que comentar
sobre este sea inequívoca. Por otra parte, lo que yo podría
artículo? considerar como lo fundamentalmente correcto
Visita las páginas del de hacer, puede que no sea reflejado exactamente
Journal en el sitio web (por un acto intencional o no) en la acción siguiente.
de ISACA (www.isaca. Existen, de hecho, varios factores en el trabajo
org/journal), encuentra que producen la diferencia entre un bien moral que
el artículo y da click hay que hacer y lo que finalmente se hace. En esta
en el link Comments columna, voy a discutir algunas de las razones de
para compartir tus esta brecha. Si bien esto no podría ser un examen
pensamientos. exhaustivo sobre el desafío de ser bueno, un
ejercicio puente entre “el deber” y “el ser” ilustrará
lo que necesitamos para ver el futuro.
La cuestión moral
Para cualquier proyecto (o caso) que enfrentemos
en el momento, la formulación de una cuestión
moral puede no ser una tarea fácil. Si una situación
se ha estado gestando desde hace algún tiempo,
es probable que el tomador de decisiones haya
Vasant Raval, DBA, CISA, ACMA
Es un profesor de contabilidad en la Universidad de Creighton (Omaha,
Nebraska, ESTADOS UNIDOS). Es co-autor de dos libros sobre los
sistemas de información y seguridad, sus áreas de enseñanza e intereses
de investigación incluyen la seguridad de la información y la gestión
empresarial. Las opiniones expresadas en esta columna son personales
y no de la Universidad de Creighton. Él puede ser contactado en vraval@
creighton.edu
14 ISACA JOURNAL VOL 5
tenido tiempo para pensar en el caso y construir
posibles interrogantes morales. Si la situación es
inminente y no dio ningún aviso previo, es difícil
de resolver “en sus pies” lo que podría ser una
respuesta moralmente apropiada. Además, si dos o
más personas están involucradas en el caso, existe
la posibilidad de que los individuos involucrados se
transmitan su preocupación en relación con la parte
ética del proyecto general. Sin embargo, a menos
que el escenario sea frecuente, simple o familiar,
uno puede encontrar que las respuestas a, o incluso
las interrogantes de la acción moral son difíciles de
encontrar.
Si hay espacio para la reflexión sobre el aspecto
moral del problema en una etapa posterior en la
secuencia de decisiones, ciertamente proporcionaría
una oportunidad de volver a examinar la cuestión
moral a la luz de los progresos realizados hasta el
momento. Esto ayudará a determinar si el tomador
de decisiones se siente cómodo con la forma
en que se identifican y abordan las cuestiones
morales y si existe algún espacio para el cambio
en el planteamiento del problema y/o método para
abordarlo.
Para aumentar la dificultad está el hecho de que las
cuestiones morales (no materiales) no se identifican
de forma aislada; ellas son inherentes al problema
material y la forma en que se resuelven. Hay
buenos argumentos para indicar que la inmediatez
y la importancia de los problemas materiales de
la organización pueden consumir mucho tiempo y
concentración de las personas que participan en
la solución del problema, que no tienen recursos
disponibles para explorar la ética de la situación1. Esta
falta de atención puede llegar a ser aún más grave,
como los componentes de un gran proyecto que
se transmiten a los grupos encargados de resolver
sólo la parte del rompecabezas proyecto. La tarea
material asignada a un sub-equipo es guiada por
las especificaciones detalladas que acompañan a
la carga. Por el contrario, incluso si el equipo a nivel
de proyecto determina las cuestiones morales y
cómo deben ser abordados, el espíritu de la acción
moral puede no llegar a los niveles más bajos en la
implementación del proyecto. Por estas razones, es
probable que los temas no materiales sean dejados
atrás, mientras que la tarea material sea cumplida en
el afán por ser el primero en el mercado.

En estos días, las batallas legales entre Uber y Airbnb
por un lado y los gobiernos por otro, han escalado en
diversas materias. Un argumento planteado por los
reclamantes (gobiernos) es que los nuevos modelos
introducidos por Uber y Airbnb no son compatibles
con las normas existentes. Por ejemplo, Bloomberg
News informó de que las reglas del Servicio de
Impuestos Internos (IRS) de EEUU no son claras para
la presentación de informes de ganancias mediante
plataformas on-demand. Como resultado, Bloomberg
informa, las empresas no retiene los impuestos
sobre los ingresos que ellas pagan a los proveedores
de servicios.2 ¿Podrían Airbnb, Etsy y Lyft haber
visualizado el problema en el ecosistema en que se
estaban juntando? La respuesta, por supuesto, es que
no sabemos. Es probable, sin embargo, que un cierto
grado de intercambio de ideas podría haber disparado
preguntas, si no respuestas, sobre el potencial de la
falta de retención de impuestos para los contratistas
independientes. Tal reflexión podría haber apuntado
a la pregunta de cuales las reglas existentes de la IRS
son ambiguas y para cuáles la compañía necesita
buscar mayor claridad desde la agencia. A la luz de
las innovaciones de los habilitadores tecnológicos,
preguntas sin precedentes han surgido; como
resultado, la esperanza es que la preocupación de
las organizaciones sea proactiva en la búsqueda
de respuestas. Por ejemplo, el Instituto Americano
de Contadores Públicos Certificados (AICPA) envió
a la IRS una carta solicitando clarificación sobre la
situación de los impuestos de temas relacionados
con monedas virtuales (eCurrency3), incluyendo reglas
para las donaciones en monedas digitales.
Un par de observaciones emergen desde el conflicto
entre las nuevas plataformas emergentes tales como
Uber y los reguladores. Primero, si la regulación es
un indicador de la necesidad por mantener verdad y
armonía en un sistema4, 5, entonces la presencia de
regulaciones en el actual ecosistema podría entregar
algún entendimiento del legalmente mínimo mejor
comportamiento. Después de filtrar que es irrelevante
para el nuevo ecosistema, uno podría derivar una
línea base de entendimiento de porque estas reglas
actualmente existen y como ellas podrían impactar en
la regulación futura de la nueva industria. Segundo,
ambas modelos Uber y Airbnb dejan el componente
de la sensibilidad humana (conductores, anfitriones)
ampliamente fuera de sus propios perímetros. Dado
que las cuestiones morales son inherentes a los
Información
ética
problemas humanos, uno podría haber pensado sobre
los nuevos modelos como aislados desde, o fuera
del alcance de los problemas morales que preocupan
a los colaboradores (conductores, anfitriones). Pero
dado que la responsabilidad por aquellos a quienes
encomiendan servicios presumiblemente descansa
en la empresa propietaria del modelo de negocio,
algún grado de análisis de las actuales prácticas en
el entorno tradicional era garantizado. Una debilidad
aquí ha impactado las reputaciones de Uber y Airbnb.
Dado que no existen respuestas infalibles para
el desarrollo de cuñas entre progreso sobre
los lados materiales y morales, ayudaría tener
medidas establecidas para un comportamiento
responsable. Por ejemplo, un proceso integral donde
preguntas morales sean realizadas, direccionadas y
documentadas en conjunto con preguntas materiales,
esto ayudaría a reconocer brechas, si existen, y a
direccionarlas de manera oportuna.
Ser ‘bueno’
tiene un aura de
positividad por las
razones correctas…
Pero la acción moral
exige costos de todo
tipo.
¿Quién es el responsable?
Una buena interrogante moral debe claramente
articular el problema y el estado de para quien
es el problema. En una pregunta general sobre la
aceptabilidad moral de un particular curso de acción
o tecnológico, no identificamos necesariamente
para quien es el problema6. El lugar de algunos
problemas puede ser un individuo o una familia;
para otros, puede ser una organización; y para otros
incluso, puede ser la sociedad o las agencia del
gobierno. A menudo, un eslabón débil al ejercer la
responsabilidad recae sobre el responsable7. Por
ISACA JOURNAL VOL 5 15
 ejemplo, al proteger nuestra privacidad, tenemos
que seguir ciertos pasos. De hecho, todas las seis
condiciones asociadas con la privacidad (aviso,
elección, uso, seguridad, corrección y aprobación)
incluyen la frase “el individuo tiene el derecho a”; sin
embargo, por varias razones, la gente prefiere hacer
caso omiso de lo que tiene que hacer. El modo de
pensar que domina la mayoría también determina
el estado general de la integridad en el ecosistema.
Una de las razones que la gente piensa de una
manera y se comportan de manera diferente por
razones éticas se llama “conciencia restringida”.
La ‘inmoralidad de silencio’
impregna a la sociedad más allá
de una medida que uno puede
imaginar.
El concepto puede explicarse como “la tendencia
común de excluir información relevante de nuestras
decisiones mediante la colocación de límites
arbitrarios en torno a nuestra definición de un
problema, lo que resulta en una falla sistémica para
ver información importante”8. Además, se afirma
que las personas también sufren de “condición ética
limitada” o “restricciones sistemáticas sobre nuestra
moralidad que favorecen nuestro propio interés”9.
Como resultado, surgen deficiencias éticas, las
cuales se agravan a nivel de organización. De hecho,
las diferencias o brechas en la organización son
más que la suma de las diferencias de los distintos
miembros debido al fenómeno de pensamiento de
grupo, que arrastra al grupo hacia la unanimidad
e inhibe de diálogo abierto sobre cuestiones
éticamente difíciles10.
Puesto que los individuos y sus familias son
responsables de ser “buenos” en sus vidas
privadas, organizaciones (con y sin fines de lucro,
así como el gobierno) son responsables de un
gobierno responsable. En última instancia, que tan
bien se abordan las cuestiones no materiales en las
organizaciones depende en gran medida del clima
de la organización. Si el clima esté incitando un
comportamiento adecuado, lo más probable es que
se hagan serios intentos proactivos para identificar
y tratar las cuestiones morales que conllevan las
cuestiones materiales.
Los investigadores advierten que debemos
prestar atención a lo que no se está hablando
dentro de una organización, ya que puede
16 ISACA JOURNAL VOL 5
proporcionar información valiosa acerca de los
valores informales11, una poderosa fuerza en la
conformación de la cultura de la empresa. Es
responsabilidad del líder el establecer el tono en
la cima de la organización. Sin embargo, también
es necesario para la organización el evaluar
continuamente la calidad del clima. A menos
que algunos signos vitales sean monitoreados
regularmente, será difícil buscar comodidad en
el tratamiento de las cuestiones morales, como y
cuando estas se presenten.
Costo de la moralidad
Ser “bueno” tiene un aura de positividad por las
razones correctas. Se hace la vida útil y nos permite
conservar nuestra paz interior. Se propaga la calma
en nuestra mente constantemente agitada y nos
hace felices. Pero la acción moral exige costos
de todo tipo (es decir, dinero, energía, pérdida de
oportunidades). Por ejemplo, un estudiante puede
obtener una baja puntuación en una prueba por no
recurrir a la trampa. Sin embargo, para el progreso
académico del estudiante, sus calificaciones podrían
ser demasiado importante como para sacrificarlas.
Actuar con honestidad podría costar la admisión a
un programa de postgrado de prestigio.
Sea usted es un gerente, un estudiante, un
denunciante, un líder o un auditor, no es así de fácil
hacer caso omiso de las posibles consecuencias
de sus acciones voluntarias. El miedo al castigo, la
amenaza de la pérdida del trabajo, otras amenazas a
la persona o su familia, y la turbulencia esperada en
la vida de uno, éstos están en juego al considerar una
acción audaz. Sumando y ordenando todo contra de
lo que uno podría obtener de esa acción a menudo
deja a las personas poco dispuestas a “mover el
bote”. La observación pasiva de un hecho ilícito
desde un costado es inmoral, pero ¿cuántos saltas
y combaten contra el actor de ello? La “inmoralidad
de silencio”12 impregna a la sociedad más allá de
una medida que uno puede imaginar. Por ejemplo, si
nadie cuestiona irregularidades organizacionales, tales
como una invasión de la privacidad, la práctica de
violar el derecho de los demás a la privacidad podría
convertirse en la norma.
El anonimato ha demostrado ser una medida de
protección para alentar a la gente a hablar sobre
hechos ilícitos. Si se utiliza el anonimato para
preservar las libertades personales, proteger los
secretos comerciales o mejorar la calidad de las
respuestas, necesitamos sistemas diseñados para
asegurar la des-asignación13. La tecnología puede
proporcionar soluciones, como los sistemas de
denuncia de irregularidades, que ayudan a preservar
la privacidad de los informantes.
La intervención moderada de la tecnología, si es
percibida por el informante prospectivo como
segura, puede resultar en la detección y tratamiento
de la acción inmoral de forma oportuna y orgánica.
Debemos tener en cuenta, sin embargo, que
lo que funciona para proteger el anonimato de
manera correcta también puede crear problemas
en otros conceptos. Por ejemplo, el anonimato
en las eCurrency puede engendrar actos ilegales
de lavado de dinero. Incluso en ecosistemas que
otorgan anonimato, siempre existe el riesgo de
que alguien rompa el secretismo. El caso de los
Panamá Papers14 es sólo un ejemplo de cómo la
tecnología puede revelar los generalmente invisibles
malhechores y a sus socios.
Convicción en la causa
Los juicios éticos se basan en marcos formales e
informales. Un marco de intuicionismo ético (intuitivist)
ayuda a uno a identificar las acciones morales
aceptables intuitivamente. Un marco de valor-
dominante identifica las acciones morales apropiadas
mediante la generación de una convicción sobre el
valor más dominante entre los valores que compiten
en un dilema moral15. Independientemente del marco
utilizado, la percepción de los diversos valores es un
disparador importante para la acción moral. Sin una
fuerte identificación con un valor, uno podría dejar de
ver la importancia de una acción que elija para poner
en práctica.
Una serie de ejemplos pueden ser observados
aquí: en la política (Martin Luther King Jr. y Rosa
Parks), sociología (Candace Lightener y Madres
Contra Conductores Ebrios [Mothers Against Drunk
Driving]), negocios (Blake Mycoskie de Tom’s Shoes),
y tecnología (Julian Assange y WikiLeaks, el caso de
Edward Snowden relacionado con la vigilancia y la
Agencia de Seguridad Nacional de Estados Unidos
[NSA]). Independientemente de si usted cree en su
causa, cada uno tenía una fuerte convicción de que
algo estaba mal y la necesidad de corregir la situación.
Es por ello que tomaron el riesgo y, tal vez en un gran
esfuerzo, entregaron su opinión a los demás para
hacer que algo suceda. Si bien la convicción en la
causa es fundamentalmente importante para la acción
moral, es también necesario que la persona tenga
la valentía de hacer lo correcto. Reunir la valentía no
es una tarea fácil, debido a que las consecuencias
mundanas de desafiar las irregularidades pueden ser
devastadoras para la vida de uno. Por consiguiente,
la valentía se menciona a menudo en paralelo con
la causa y la primera (cuando se actúa) a menudo
implica un comportamiento valiente.
La moralidad como una cualidad
humana
Por definición, la moral se refiere a los seres
humanos, no máquinas. Todos los sistemas son
esencialmente una asignación de tareas entre
personas y máquinas; algunos tienen incluso
un papel mucho más importante para los seres
humanos que las máquinas, otros están dominados
por las máquinas. Entre los papeles que siguen
siendo de los seres humanos está el papel del
agente moral. En este papel, un profesional de TI no
sólo se esfuerza por comportarse de manera ética,
sino que también diseña las tareas automatizadas
(la parte que corresponde a las máquinas) de una
manera moralmente responsable. Por lo tanto, el
entendimiento de lo que es moral en las máquinas
es la responsabilidad de los seres humanos al
hacerse cargo de la asignación de tareas hombre/
máquina. Para ello, la consideración de los asuntos
no materiales por adelantado es fundamental en la
consolidación de un comportamiento responsable
predecible en los sistemas automatizados.
Desde los automóviles
automatizados hasta los aviones no
tripulados (drones), toda una serie
de normas de comportamiento
moral está programado en las
máquinas.
Curiosamente, el desarrollo en el campo de la
inteligencia artificial (IA) ha reducido el papel de los
seres humanos en una asociación hombre-máquina
en sistemas automatizados. El disminuido papel del
ser humano en los nuevos sistemas puede parecer
pequeña, pero no es insignificante; es la parte
del sistema que aún necesita del juicio humano y
opciones impulsadas por valores. Las decisiones que
el diseñador humano hace en la creación del sistema
automatizado tienden a ser implantadas de forma
permanente en la vida de la máquina. Las máquinas
pueden aprender a cambiar su comportamiento, pero
sólo si el aprendizaje automático ha sido programado
adecuadamente. El elemento humano en el impacto
moral en general no puede ser subestimado o
ignorado. Desde los automóviles automatizados hasta
los aviones no tripulados (drones), toda una serie de
normas de comportamiento moral está programado
en las máquinas.
ISACA JOURNAL VOL 5 17
 Cualquier error de juicio en la etapa de diseño
presagia mayor riesgo de compromisos morales.
Las cuestiones de comportamiento ético son
fundamentalmente cuestiones humanas. Ya sea
fuera o dentro del perímetro legal de una empresa,
colaboradores humanos seguirán participando
activamente en el ecosistema. En el contexto de
automóvil para contrato, tal vez esta pregunta vaya
a desaparecer o a cambiar drásticamente cuando
Uber despliegue vehículos autónomos. Y para los
drones, las reglas dominan su comportamiento;
hasta que estén diseñados para aprender, la
responsabilidad por la base moral de los drones
corresponde a los tecnólogos. Con el tiempo,
cuando las máquinas se vuelvan casi autónomas, la
ética de la máquina se podrá extender a lo que los
robots pueden aprender.
. 9 Ibid.
Notas Finales
1 Martin, K. E.; R. E. Freeman; “The Separation
of Technology and Ethics in Business Ethics,”
Journal of Business Ethics, vol. 53, 2004,
p. 353-364
2 Bloomberg News, “Billions From Airbnb and
Others Go Unreported,” as reported in the
Omaha World-Herald, 24 May 2016
3 Saunders, L.; “The Latest Stumbling Block for
Bitcoin: How to Tax It,” The Wall Street Journal,
25 June 2016
4 Kohlberg’s moral stage development work
includes compliance with the laws and
regulations as one of the stages. See Kohlberg,
L.; “Moral Stages and Moralization: The
Cognitive Development Approach,” December
1975.
5 Kohlberg, L.; The Psychology of Moral
Development: The Nature and Validity of Moral
Stages, Harper and Row, USA, 1984
6 Van de Poyel, I.; L. Royakkers; “The Ethical
Cycle,” Journal of Business Ethics, vol. 71,
February 2007, p. 1-13
7 Mims, C.; “In Securing Our Data, the Weak Link
Is Us,” The Wall Street Journal, 19 January 2016
8 Bazerman, M.; A. Tenbrunsel, “Blind Spots: The
Roots of Unethical Behavior at Work,” Rotman
Magazine, Spring 2011, p. 53-57
10 Ibid.
11 Ibid.
12 Das, G.; The Difficulty of Being Good: On the
Subtle Art of Dharma, Oxford University Press,
United Kingdom, 2010, p. 59
13 Poore, R. S.; “Anonymity, Privacy, and Trust,”
Information Systems Security, vol. 8, iss. 3,
21 December 2006, p. 16-20
14 Stack, L. et al.; “The Panama Papers:
Here’s What We Know,” The New York
Times, 4 April 2006, www.nytimes.
com/2016/04/05/world/panama-papers-
explainer.html?_r=0
15 
Op cit, Van de Poyel and Royakkers, p. 6

Pinpoint your next job opportunity

with ISACA’s CareerLaser
ISACA’s CareerLaser newsletter offers monthly updates on the latest jobs, top-of-mind industry news,
events and employment trends to help you navigate a successful career the information systems industry.
Let CareerLaser become your top resource for quality jobs matched specifically to your talents in audit,
assurance, security, governance, risk management and more.

Subscribe today by visiting www.isaca.org/careerlaser

Visit the ISACA Career Centre at www.isaca.org/careercentre to

find additional career tools, including access to top job candidates.

18 ISACA JOURNAL VOL 5

2016 ISACA® TRAINING WEEK COURSES
TRAIN AT THE
HIGHEST STANDARDS.
KEEP CURRENT ON
BEST PRACTICES.
READY YOUR SKILLS
TODAY FOR TOMORROW’S
CHALLENGES AND
OPPORTUNITIES.
Gain new expertise or refresh your
skills to align with current industry
standards, protocols and best
practices. ISACA® Training Week offers
invaluable tools, proven techniques
and state-of-the-art thinking—
something for professionals at every
level—in information systems audit,
security, cybersecurity, privacy,
governance, and risk.
EARN UP TO 32 CPEs
for each 4-day course.
REGISTER EARLY:
US $200 Early Bird discount and
group rates available!
REGISTER TODAY AT:
www.isaca.org/train16-jv5
CYBERSECURITY FUNDAMENTALS
Las Vegas, Nevada | 5 – 8 December 2016
Learn to demonstrate an understanding of the principles that
frame and define cyber security and the integral role of cyber
security professionals in protecting enterprise data and
Las Vegas infrastructure.
HEALTHCARE INFORMATION TECHNOLOGY
Chicago, Illinois | 10 – 13 October 2016
Obtain a deeper understanding of healthcare’s regulatory issues,
trends and reforms. Prepare yourself to navigate the complexities
of the fast-growing industry in an era of significant reform.
Chicago
INFORMATION SECURITY ESSENTIALS
FOR IT AUDITORS
Miami, Florida | 12 – 15 December 2016
Keep on top of audit security essentials. Learn how to assess
security risks and practices and use security frameworks and
Miami models to mitigate those risks.
TAKING THE NEXT STEP—
ADVANCING YOUR IT AUDIT SKILLS
Atlanta, Georgia | 28 November – 1 December 2016
Learn how to scope, plan and manage IT audits, and identify
and analyze risks associated with a broad range of infrastructure
Atlanta platforms and technologies.
 Como auditar el elemento humano y evaluar
el riesgo de seguridad de su organización
El Reporte del 2016 de la Investigación de Violación
¿Tienes algo de Datos (DBIR) noveno reporte anual de Verizon,
que comentar revelo algunas malas noticias—el vector de
sobre este amenazas humanas es más peligrosa que nunca. El
artículo? ultimo DBIR reafirmo el hecho que los empleados
continúan jugar un papel mayor en muchas de las
Visita las páginas del
violaciones del año pasado. Un 63 por ciento de
Journal en el sitio web
de ISACA (www.isaca. violaciones confirmadas involucraron contraseñas
org/journal), encuentra débiles, por defecto o robadas. Peor, errores
el artículo y da click misceláneos—empleados enviando informaciones a
en el link Comments las personas erradas—corresponde a cerca del 18
para compartir tus por ciento de las violaciones1. A pesar de una gran
pensamientos. cantidad de medidas preventivas, los empleados
permanecen ser uno de los vectores más caros en
un gran número de violaciones de datos e incidentes
de seguridad los cuales están aumentando a un
ritmo alarmante.
¿Quién tiene la culpa? Es difícil decir porque, aunque
los empleados son identificados claramente como
una fuente de riesgo para el negocio, directores
y ejecutivos también están siendo responsables
cada vez más por prácticas de ciberseguridad más
riesgosas. De hecho, recientes investigaciones
Tom Pendergast, Ph.D.
Es el arquitecto Jefe del Marco de la concientización de adaptación de
MediaPro, una visión de cómo analizar, planificar, formar y reforzar la
construcción de un programa integral de concientización, con el objetivo de
construir una cultura consciente del riesgo. Él es el autor o editor de 26 libros
y colección de referencia. Pendergast ha dedicado toda su carrera a los
contenidos y plan de estudios de diseños, impreso por primera vez como el
fundador de Full Circle editorial, a continuación, en soluciones de aprendizaje
con MediaPro.
20 ISACA JOURNAL VOL 5
Também disponível em português
www.isaca.org/currentissue
muestran que los empleados usualmente quieren
culpar por las deficiencias de ciberseguridad en los
hombros de los directores y ejecutivos. Veintinueve
por ciento de los trabajadores encuestados y los
tomadores de decisiones de TI en el Reino Unido
creen que el director ejecutivo (CEO) debiese ser
responsable por una violación de datos significativa
mientras que el 38 por ciento de los trabajadores
creen que los directores deben ser responsables2.
A la inversa, estos directores y ejecutivos están
buscando a los de TI o seguridad de la información
y preguntándoles que están haciendo para mitigar el
riesgo planteado por el “elemento humano”.
Si esta examinación de prácticas actuales es
llamada una auditoria o algo más, el empuje
está en una forma más rigurosa que representa
los esfuerzos de la organización para abordar el
riesgo de seguridad más fastidioso: empleados.
Directores y ejecutivos quieren saber exactamente
que se está haciendo para abordar los temas y si
estas acciones están obteniendo los resultados
deseados. Ellos quieren ver que existe un programa
de concientización verdadero, ej., un programa que
se dirige a cambios significativos en el conocimiento
y comportamiento de los empleados.
Sin embargo, aquellos a quien se les ha pedido
efectuar tal auditoria encuentran poca guía sobre el
tema. Las fuentes normales que guían un programa
de evaluación—varios documentos proporcionados
por el Instituto Nacional de Normas y Tecnología de
EEUU (NIST), la Organización Internacional para la
estandarización (ISO), y Decreto de Seguro de Salud
Portabilidad y Responsabilidad de EEUU (HIPAA),
entre otros-proporcionan solo una descripción
vaga de un programa de concientización normas
y requisitos. Afortunadamente, existe una gran
cantidad de buenos trabajos que se están
efectuando en esta área que pueden ayudar a las
organizaciones a evaluar si están en el camino
correcto en abordar la amenaza humana. Las
mejores prácticas utilizadas en algunas de las
empresas globales más conscientes del riesgo
destacan algunos atributos básicos que las

organizaciones debiesen buscar (o crear) mientras
buscan efectuar mejoras en el rendimiento del
elemento humano.
…Aunque
los empleados
son claramente
identificados como
la fuente de riesgo
para el negocio,
directores y
ejecutivos también
cada vez más se
les está haciendo
responsables
por prácticas de
ciberseguridad
riesgosas.
Aunque estas mejores prácticas toman diferentes
formas y diferentes nombres, los mejores programas
de concientización efectúan algunas cosas comunes:
Evalúan y analizan el rendimiento real del personal
dentro de la organización; crean un plan para mejora
continua; e introducen una seria de intervenciones
educativas (ej., entrenamiento y reforzamiento)
enfocado a cambiar el comportamiento y fomentar
una cultura consciente del riesgo. Las organizaciones
que toman el problema humano seriamente
saben que deben examinar el estado actual del
conocimiento de los empleados, sus habilidades
y actitud sobre seguridad (y privacidad, a menudo
entrelazado en los ojos de los empleados). Esto
requiere dar un paso atrás para tomar una mirada
amplia a la cultura de la organización, evaluar todas
maneras potenciales que los empleados están (o
no están) entendiendo y respondiendo al riesgo
relacionado con la seguridad.
artículo
artículo
Algunas de las mejores maneras para entender
el factor de riesgo humano de una compañía es ¿Disfruto este
realizar una encuesta de los empleados pre y post
artículo?
entrenamiento. Esto ayuda a las organizaciones a
entender cuanto saben hoy día, para que mejoras
• Aprenda más
apropiadas puedan efectuarse en el futuro. Aun si
acerca, discute
el presupuesto es apretado, no existe escases de
datos gratis de la industria, como es el DBIR citado
y colabora en
cyberseguridad y
previamente, para ayudar a una organización entender
gestión del riesgo
su riesgo de empleados especifico. Solo cuando
los factores de riesgo son entendidos puede una
en el Centro de
Conocimiento.
organización asegurar de que funciona para entregar
el entrenamiento correcto a los empleados correctos.
www.isaca.org/
knowledgecenter
Además, los datos de las herramientas de reportes
de incidentes de la red, como ser los sistemas de
la gestión de eventos de seguridad e información
(SIEM) y del software de prevención de pérdida
de datos (DLP) que puede que estén en su lugar,
ayudaran en entender el predominio del manejo de
temas de datos. El concepto de usuario y el análisis
de comportamiento de la entidad (UEBA o UBA)
está emergiendo rápidamente como una manera de
analizar a través de toda la información colectada por
SIEM, DLP y otras fuentes, y proporcionar información
sobre las tendencias priorizadas a los profesionales
de TI monitoreando la RED. Las herramientas UEBA
proporcionan un valor real en la identificación de
patrones y signos que revelan la presencia de actores
malos en el entorno de TI.
Un excitante y emergente uso para el UEBA es
amarrarlo directamente a “entrenamiento-justo-a-
tiempo” en el punto de la falla. UEBA podría identificar
a Jane Dow almacenando un documento de la
compañía en un sitio de almacenaje en la nube no
autorizado como ser Dropbox, Box o Google Drive,
y entregarle un pop-up generado por el sistema que
le recuerda de la política de la compañía sobre el
almacenamiento de documentos de la compañía en un
ecosistema autorizado. Si Jane lo hace nuevamente,
el sistema puede proporcionarle un video rápido sobre
las razones por la cual es mejor evitar un sistema de
almacenaje de la nube no aprobado. Meses después,
si Jane comete el mismo error nuevamente, puede
que se le inscriba automáticamente en un curso de
15 minutos sobre almacenamiento aprobados en
la nube. Este es un ejemplo perfecto de entregar el
entrenamiento correcto a la persona correcta en el
momento oportuno.
ISACA JOURNAL VOL 5 21
 Separado de las herramientas de monitoreo de la
red, ataques de simulación de phishing e ingeniería
social revelan que acciones riesgosas son más
propensas que los empleados tomen al darles la
oportunidad. Tales simulaciones pueden emplear
una amplia variedad de técnicas inteligentes para
capturar contraseñas, obtener acceso a información
sensible, u obtener acceso físico a través de
tácticas tan simples como un correo electrónico o
una llamada telefónica, tailgating, o dejando falsos
dispositivos USB en el entorno de trabajo.
Un número de proveedores ofrecen programas
de simulación de phishing como parte de un
paquete del programa de concientización. Pero los
proveedores que se centran demasiado en phishing
como el ser un todo, finalizan todo sobre amenazas
de ciberseguridad debiesen ser vistos con cierta
cautela. Tal acercamiento solo se enfoca en un
vector de ataque y no hace el trabajo de ayudar a
los empleados a ver la naturaleza multicapa de las
amenazas.
Una vez que estos factores de
riesgo relacionados a los humanos
son entendidos y descritos, el
próximo paso es desarrollar un plan
para el programa de concientización
que aborda los factores de riesgo.
Otro paso importante en mejorar el rendimiento
y cultura de los empleados es entender el riesgo
especifico a la industria de la organización y
el entorno de negocio único. Por ejemplo, si
una organización tiene un centro de llamados,
sus empleados se van enfrentar en factores de
riesgo diferentes de los que se pueden encontrar
empleados bancarios-solo es parte de la naturaleza
de lo que el trabajo conlleva. Entender los factores
de riesgo en áreas específicas del negocio ayuda
a las organizaciones a entregar entrenamiento que
está adaptado a las líneas de trabajo específicas
de cada empleado el cual es inherentemente más
relacionables y útiles. (El entrenamiento pierde
mucha de su efectividad si no es relevante.)
Recientemente la Comisión de EEUU de la Bolsa
y Valores (SEC) noto que la ciberseguridad es el
mayor riesgo para el sistema financiero de los EEUU,
con la Presidente Mary Jo White diciendo, “Lo que
encontramos, como una cuestión general por ahora,
22 ISACA JOURNAL VOL 5
es mucha preparación, mucha concientización,
pero también sus políticas y procedimientos no
están adaptados a sus particulares riesgos3.”Un
reporte reciente por la Oficina de Cumplimiento de
Inspecciones y Examinaciones (OCIE) de la SEC
examino la industria de Valores y recomendó a
la industria como un todo “centrarse en cómo la
formación se adapta a las funciones específicas
del trabajo y cómo el entrenamiento está diseñado
para alentar a los empleados responsables y el
comportamiento del proveedor”4, prestar más apoyo
para la necesidad de entrenamiento que sea más
relacionables y útiles.
Mientras que existen muchas herramientas para
efectuar análisis, la meta de estas es la misma: lograr
una lista de cinco a 10 factores de riesgo centrados
en humanos que puedan ser un punto focal de los
esfuerzos para mejorar (no existe un numero de oro,
pero el programa más efectivo limita el número para
enfocar sus esfuerzos). Una vez estos factores de
riesgo relacionados con humanos son comprendidos
y descritos, el próximo paso es desarrollar un plan
para un programa de concientización que aborda
estos factores de riesgo. Como todo en la vida,
planificar es la clave cuando se trata de desarrollar un
programa de concientización exitoso y comprensivo.
Como parte de ese plan, las organizaciones
debiesen preguntarse si se han establecido para
poner en práctica ambos programas de educación
formal e informal. Sabiduría convencional dirían que
entrenamiento formal, usualmente basado en la Web,
es la manera de proceder. Esto se debe mayormente
a la facilidad en que los empleados pueden ser
hechos responsables de tomar el entrenamiento,
pero el programa de educación no puede parar allí
si la organización realmente quiere alcanzar a sus
empleados y crear ese siempre importante cambio
en el comportamiento. Los mejores programas
no solo se basan en entrenamiento formal; en vez
dependen de una variedad de medidas educacionales
para comunicar el conocimiento y comportamiento
deseado a los empleados.
Una vez que la organización tiene un plan sólido,
necesita efectuar un inventario rápidamente para ver
si cuenta con la capacidad para entregar o no un
programa y hacer bien en su plan. ¿Por ejemplo, tiene
la organización la capacidad de entregar un refuerzo
educacional en la forma de juegos, videos y posters?
¿Están los ejecutivos a bordo y están dispuestos a
promover mensajes en sus comunicaciones diarias
con sus empleados? ¿Están todas las personas
idóneas disponibles para apoyar y llevar a cabo el
programa? La capacidad de la organización para
desplegar exitosamente un programa es crítico para
llevar a cabo el plan y esto va determinar si puede
o no proceder con una campaña adaptiva “todo
incluido” de phishing, entrenamiento, posters, juegos,
animaciones y similares en el transcurso del año.
En organizaciones más progresivas donde los
objetivos son un cambio de mentalidad, mensajes
sobre protección de la información forman parte de
la cultura diaria. Esto puede incluir posters pegadizos
y memorables en las paredes, videos animados
presentados en el vestíbulo, Pantallas de TV, o juegos
que causan competencia entre las personas y les
permite a los empleados mostrar que saben sobre
seguridad y privacidad. Este tipo de ejemplos son lo
que hacen la diferencia cuando se combina con el
entrenamiento más formal, en curso.
Un ejemplo usualmente citado es Microsoft porque
efectúa un gran trabajo relacionado con esto.
Cualquiera que haya caminado por sus muchos
campus debiesen estar acostumbrados a ver
mensajes de seguridad y privacidad cambiando
constantemente. Un auditor o ejecutivo en cualquier
compañía debiese ver estos tipos de dispositivos
de concientización cuando caminan alrededor, si
lo hace, esto es una indicación de una compañía
que ha tomado tremendos pasos en proteger la
información de la compañía y empoderar a los
empleados hacer lo mismo.
Identificando
factores de riesgo
al nivel individual
ahorra tiempo y
dinero, ya que
la organización
probablemente no
requiere entrenar
a Juan y Juana
igualmente.
Además, un buen programa entrega el
entrenamiento que es basado y especifico en roles;
empleados en diferentes roles, como ser recursos
humanos (HR) y TI, debiesen recibir entrenamientos
adaptados a sus especialidades. ¿Porque importa
esto? Empleados TI no necesitan saber sobre
cómo salvaguardar conversaciones con empleados
potenciales, pero si necesitan estar bien versados
en prevenir en el acceso y uso de datos no
autorizados. Por lo contrario, el personal de HR no
necesitan estar tan preocupados por la educación
en prácticas de transmisión de datos, al tiempo
que protege la información confidencial de los
empleados es exactamente en su puente de mando.
Otra manera de enfocar la educación en aquellos
que la necesitan es de desplegar una manea
de evaluar competencias previo a la entrega
del entrenamiento. ¿Cómo? En vez de entregar
entrenamiento a todos sobre toda una serie de
temas—el más caro y la opción que más tiempo
consume—individuos pueden ser entrenados en
lo que les puede estar faltando, sobre una base de
caso por caso. Por ejemplo, Jane Doe ha recibido
cinco intentos de phishing simulados durante el año
pasado y ha reenviado cada uno de ellos a TI sin
darle clic al link, mientras que John Doe ha fallado
en tres de esas cinco campañas de phishing. En
base a esa información, uno puede concluir que
Jane probablemente no requiere entrenamiento
sobre phishing pero John definitivamente si lo
necesita. Identificando los factores de riesgo al
nivel individual ahorra tiempo y dinero, ya que la
organización probablemente no requiere entrenar a
John y Jane de forma igual. Como dice el refrán “el
tiempo es dinero” y cuando los empleados pasan
tiempo siendo entrenados en cosas que ellos no
necesitan conocer, ellos están potencialmente
perdiéndose de las tareas más importantes (¡y
llegando a la conclusión que seguridad de la
información no les importa!).
Incluso la organización que ha identificado sus
factores de riesgo específicos, desarrolló un plan,
y se va a poner en práctica la formación formal e
informal puede hacer más si se desea, y para evaluar
si tiene una cultura de la seguridad. Esto es difícil
de medir, pero no es imposible. La recopilación de
la información en este nivel exige una evaluación
rigurosa del conocimiento de los empleados. Una
Encuesta del Diagnóstico de la Cultura de Seguridad
ha sido diseñada para identificar y comparar culturas
de seguridad en organizaciones y puede encontrarse
en Personas-Centradas en Seguridad: Transformando
su Cultura de Seguridad Empresarial5.
Alternativamente, las organizaciones pueden
comenzar buscando que mensajes los gerentes y
ejecutivos están (o no) comunicando relacionado
con seguridad. ¿Por otra parte, son los sistemas de
refuerzo de la seguridad (por ejemplo, notificación
de incidentes, revisiones de seguridad sistémicos)
valorados y utilizados? ¿Algunas de las unidades
de negocio fuera de la seguridad de la información
tratan de participar de manera significativa con
los problemas de seguridad? Si la respuesta a
cualquiera de estas es “no” o “no se sabe”, la
organización puede ser que no ha alcanzado el
punto en el cual ha establecido una cultura de
seguridad, el cual debiese ser parte de su plan para
mejorar su postura de concientización.
ISACA JOURNAL VOL 5 23
 Una verdadera organización madura, una que se
adhiere a los principios del tier 3 y tier 4 en el Marco
de Ciberseguridad NIST (CSF)6, enfoca seguridad de
la información como un programa de auto-refuerzo
de mejora continua, no simplemente un evento anual,
como el modelo de entrenamiento anteriormente
requerido. El CSF deja claro que hay niveles de
madurez de ciberseguridad y, en forma similar,
madurez de la concientización. Estos niveles de
madurez se han separado convenientemente en tiers:
Una organización
verdaderamente madura…se enfoca
en seguridad de la información
como un programa de auto-refuerzo
de mejora continua, no simplemente
un evento anual.
• Parcial (tier 1)—La gestión de riesgos es ad hoc
con un conocimiento limitado de riesgo y sin la
colaboración con los demás.
• Riesgo Informado (tier 2)—Los procesos
y programa de la gestión del riesgo están
implementados, pero no están integrados a nivel
de toda la empresa, colaboración es entendida,
pero a la organización le hace falta capacidades
formales.
• Repetible (tier 3)—Políticas formales para los
procesos y programa de la gestión de riesgo
están implementados en toda la empresa, con
colaboración externa parcial.
• Adaptado (tier 4)—Procesos y programas de
gestión de riesgo están basados en lecciones
aprendidas y embebido en la cultura, con
colaboración proactiva.
Organizaciones que enfocan el entrenamiento
como un evento anual simple es muy probable
que se encuentren en tier 1 o tier 2, mientras que
organizaciones que continuamente mejoran muy
probablemente se encuentren en tier 3 o tier 4.
24 ISACA JOURNAL VOL 5
Cualquier tier o nivel de madurez que una
organización es o aspira a ser, el paso para entender
y mejorar empieza con dar un paso atrás y examinar
las prácticas existentes. Las mejores organizaciones
analizan sus factores de riesgo humano utilizando
una variedad de diferentes herramientas; desarrollan
un plan para cambiar el comportamiento relacionado
con esos factores del riesgo; alinean sus recursos
para ejecutar en ese plan; y luego entregan educación
adaptativa y flexible a las personas adecuadas,
cuando y donde lo necesiten. Las amenazas no
están disminuyendo y los mejores esfuerzos de los
empleados no se está manteniendo. La educación
sobre concientización de seguridad de los empleados
debe continuar y adaptarse a nuevas y emergentes
amenazas. La mejor manera de alcanzar este objetivo
es a través de un programa alineado al riesgo robusto
y concientización adaptivo.
Notas del autor
El autor desea revelar que Microsoft ha realizado
trabajos con MediaPro en el pasado.
Notas Finales
1 Verizon, 2016 Data Breach Investigations Report,
www.verizonenterprise.com/verizon-insights-lab/
dbir/2016/
2 VMare, “The Cyber Chasm: How the Disconnect
Between the C-suite and Security Endangers the
Enterprise,” The Economist Intelligence Unit, 2016,
www.vmware.com/radius/wp-content/
uploads/2015/08/EIU-VMware-Data-Security-
Briefing.pdf
3 Lambert, L.; “SEC Says Cyber Security Biggest
Risk to Financial System,” Reuters, 18 May 2016,
www.reuters.com/article/us-finance-summit-sec-
idUSKCN0Y82K4
4 Securities and Exchange Commission, “OCIE’s
2015 Cybersecurity Examination Initiative,”
National Exam Program Risk Alert, vol. 4, iss. 8,
USA, 15 September 2015, https://www.sec.gov/
ocie/announcement/ocie-2015-cybersecurity-
examination-initiative.pdf
5 Hayden, L.; People-Centric Security: Transforming
Your Enterprise Security Culture, McGraw-Hill,
USA, September 2015
6 National Institute of Standards and Technology,
Cybersecurity Framework, USA, 2013,
www.nist.gov/cyberframework/
 artículo
artículo
Cyber seguros: ¿Generador
de valor o costo a cargar?
Algunas de esas consecuencias a largo plazo
Também disponível em português incluyen:
¿Tienes algo
www.isaca.org/currentissue • Continuidad del negocio/interrupciones en la que comentar
cadena de suministro sobre este
artículo?
El rápido avance de la tecnología está impulsando • Encontrar y corregir vulnerabilidades Visita las páginas del
un cambio significativo en muchas industrias.
• La responsabilidad forense de los datos perdidos y Journal en el sitio web
Como resultado, se generan grandes cantidades
de ISACA (www.isaca.
de datos, que pueden aprovecharse en información administración de respaldos
org/journal), encuentra
para facilitar y dar sentido a un mundo en el artículo y da click
• La restauración de datos
constante movimiento. Los datos se consideran en el link Comments
ahora un generador de riqueza para el siglo 21. En • Gasto de notificación a los afectados para compartir tus
consecuencia, los costos financieros de la pérdida pensamientos.
• El pago de un rescate de datos o ciber extorsión
de datos causado por ciber eventos pueden ser
sorprendentes. Por ejemplo, la publicación de un • Protección contra el robo de identidad y monitoreo
ataque altamente costoso orientado a instituciones de crédito
como el retail o financieras alcanza la astronómica
• Volver a emitir tarjetas comprometidas
suma de US$ 348 millones1. Otro ataque cibernético
costoso fue el ataque a la cadena de hoteles • Regulatorias y sanciones civiles
Wyndham, en donde no sólo se perdieron los datos • Juicios de accionistas contra la junta y la
de tarjetas de crédito de más de 619.000 clientes, administraciónt
sino que causó US$ 10,6 millones en pérdidas,
lo que sometió a la empresa a una demanda del
gobierno de los Estados Unidos por prácticas
comerciales engañosas y ser atacado en tres
ocasiones2. Otro ejemplo son los ataques que
utilizan CryptoWall (precursor del Ramsomware),
lo que causó US$ 18 millones en pérdidas en
2014 correspondientes a pagos de rescates para
desencriptar datos personales3.

Es posible que el enfoque en la seguridad

cibernética no haya sido lo suficientemente incisiva,
ya que los cibercriminales continúan elevando la
complejidad, con ataques más sofisticados y con el
apoyo de la Dark Web, que consiste en sitios web
que ocultan su identidad y típicamente se accede
por una red cifrada (por ejemplo, Tor) que también
oculta la identidad del usuario, lo que permite un
mercado negro de comercio electrónico lucrativo
de los datos robados de fuentes legítimas. A pesar
de que el impacto a corto plazo de un ataque Syed K. Ishaq, CISA, CRISC, CCISO
Es el fundador de ControlPoints, una empresa de seguridad de la
cibernético puede ser abrumador, las consecuencias
información con una estrategia basada en la ejecución. Ishaq tiene más
a largo plazo pueden ser nefastos.
de 15 años de experiencia en auditoria, cumplimiento y cyberseguridad. El
puede ser ubicado en syed@controlpoints.com.

ISACA JOURNAL VOL 5 25

 • Honorarios de abogado durante las
investigaciones y comparendos
• La pérdida de la ventaja competitiva y mercados
conquistados
• Daños a la marca
• La pérdida de clientes, beneficios y empleos
La probabilidad de incurrir en uno o más de
estos daños y el impacto que tienen sobre una
organización, depende de una combinación de
factores, pero no están limitados a el:
• Tipo de ataque, por ejemplo, denegación de
servicio distribuido (DDoS) vs. ransomware
• Alcance de ataque, por ejemplo, dejar una red
fuera de operación por varios días frente a una
toma de control de una cuenta en medios sociales
sólo unas pocas horas
• La complejidad de ataques a la red, por ejemplo,
alto nivel de conexiones con terceros proveedores
vs. impacto sólo para telecomunicaciones debido
a que se encuentran alojados en una nube segura
• Tiempo de ataque, por ejemplo, durante un ciclo
conciliación de datos o negociaciones de compra
vs. horas de baja demanda
Las empresas están empezando
a considerar cyberinsurance como
un componente de estrategia de
transferencia del riesgo.
• Area de negocio afectada, por ejemplo, caída de
servicios de misión crítica, prevención caídas de
actividades de negocio vs. indisponibilidad de
servicios no esenciales
• Capacidad para la organización afectada, por
ejemplo, las políticas y los procedimientos de
recuperación inexistentes vs. programa de
respuesta ante incidentes
Una encuesta en el 2016 encontró que un 66pro
ciento en USA, el 75 por ciento en el Reino Unido y
el 57 pro ciento de los alemanes eran propensos a
dejar de hacer negocios con una organización que
26 ISACA JOURNAL VOL 5
sufrió hackeo4. Aunque las compañías más grandes
pueden estar mejor preparados para resistir un
Cyberstorm y sus correspondientes secuelas, según
Experian, el 60 por ciento de las pequeñas empresas
cierran sus puertas dentro de los seis meses después
de un ataque5, haciendo de la ciberdelincuencia
una igualdad de oportunidades con consecuencias
desiguales. Por lo tanto, las organizaciones se
beneficiarían de utilizar las estrategias de gestión
del riesgo de evasión, la mitigación, la aceptación
y transferencia. En otras palabras, la realización de
todas las actividades de negocio de forma manual,
en lugar de utilizar cualquier tipo de tecnología,
puede ayudar a evitar por completo ciber riesgo. Esta
estrategia sin embargo, es susceptible de crear una
desventaja competitiva en la era moderna, y es poco
probable que sea una opción viable para la mayoría
de empresas. Securizar el perímetro de la red con
servidores de seguridad, IPS, el parchado oportuno
de vulnerabilidades y configuraciones son los
métodos de línea de base para mitigar o disminuir
el ciber riesgo. Teniendo un programa robusto
de monitoreo, generando políticas formales para
revisión de registros de auditoría de forma poco
frecuente debido a otras prioridades, demuestra la
aceptación de riesgos, es decir el nivel de riesgo
dado su consentimiento de su gestión.
Con las filtraciones de datos, hackeos
supuestamente inevitables y su impacto nocivo
ostensiblemente ineludible, las empresas están
empezando a considerar cyberinsurance (póliza de
seguros contra ciber ataques) como un componente
de estrategia de transferencia del riesgo. En otras
palabras, las organizaciones contractualmente
obligan a una aseguradora a aceptar la totalidad
o parte de su riesgo en el caso de un ataque
cibernético y/o incumplimiento.
Tipos de políticas
Una política tradicional de responsabilidad general
sólo cubre daños a la propiedad, por lo que es
insuficiente para abordar casos cibernéticos porque
los datos son intangibles. Ante estas deficiencias,
hay aproximadamente 50 aseguradoras globales
que ofrecen ciber protección, 35 de las cuales son
operadores de los Estados Unidos6. Ofrecen alguna
combinación de los cuatro siguientes componentes
(figura 1)7:
1. Errores yomisiones (E&O)—Cubre los reclamos
derivados de errores en el cumplimiento del
servicio.

Errores y omisiones
Tercera parte Tercera parte
Source: S. Ishaq. Reprinted with permission.
2. R
 esponsabilidad de multimedia—
Responsabilidad de multimedia cubre ante
escenarios de defacement o modificación de
sitios web, contenido multimedia, los derechos
de propiedad intelectual, la infracción de los
derechos de autor/marcas registradas, calumnias
e injurias. La cobertura también puede extenderse
al contenido fuera de línea.
3. Seguridad en la red y responsabilidad de
extorsión —La responsabilidad de seguridad en
la red cubre los costos asociados a la transmisión
de virus, pérdida de secretos comerciales o
solicitudes de patentes y las violaciones de
datos. Eso incluye el costo de la restauración
de datos, notificación voluntaria, relaciones
públicas, gestión de riesgos, interrupción del
negocio, y la gestión de crisis. De la misma
manera, la responsabilidad de extorsión cubre los
daños efectuados a partir de la extorsión, como
ransomware o denegación de servicio distribuido
(DDoS) que exige pago para detener el ataque.
4. Protección de la privacidad —Incluye la
divulgación indebida de datos personales
identificables (PII), la salud y la información
confidencial. Incluye los costos de investigación,
notificación, monitoreo de crédito, las tasas
reglamentarias (por ejemplo, Federal de EEUU
Trade Commission [FTC] y fiscal general del
estado) y asociados y honorarios legales. La
privacidad también puede incluir una pérdida
de registros físicos debido a un tratamiento
inapropiado de archivos, errores humanos
Figura 1—Policy Types
Red de seguridad
Primera parte Tercera parte Primera parte Tercera parte
(por ejemplo, un ordenador portátil perdido, el
envío de información sensible a una dirección
equivocada, una fotocopiadora con un disco
duro que contiene los registros de clientes) o la
colección de información de forma ilícita.
Lo que es cierto acerca de la seguridad de la red y
coberturas de privacidad, es que tanto los costos
de primera parte y obligaciones de terceros están
cubiertos. La cobertura de primera parte se aplica
a los costos directos para responder a una falla en
la seguridad o por violación de la privacidad. En el
caso de un tercero, la cobertura se aplica cuando se
demanda a una empresa.
Por otro lado, un ciber seguro no cubre los errores
o problemas que ya estaban en conocimiento
previo, litigios pendientes, daños a la reputación, la
pérdida de ingresos futuros, costo para mejorar los
sistemas de tecnología internos, pérdida del valor
de la propiedad intelectual, lesiones corporales o
daños a la propiedad, y los efectos de los ataques
cibernéticos maliciosos. Sin embargo, algunas
compañías de seguros, han comenzado a hacer
excepciones a la regla, en particular para las dos
últimas limitaciones. Por ejemplo, aunque Verizon
reportó que entre el 2012 y 20138 se ha triplicado
las naciones y estados que patrocinaban estas
actividades. Este tipo de ataques deja al descubierto
la dificultad en la atribución de perseguir
responsabilidades en un ataque nación/estado.
ISACA JOURNAL VOL 5 27
 Como amenazas, los corredores mantienen en
¿Disfruto este evaluación la ciber responsabilidad, ya que las
aseguradoras necesitan actualizar continuamente las
artículo?
políticas de exclusión.
• Aprenda más acerca,
La letra chica
discute y colabora
sobre cyberseguridad Aunque hay una gran variedad de políticas
en el Centro de disponibles, cada una de ellas está diseñada de
Conocimiento. manera diferente por las aseguradoras. Sin el
www.isaca.org/topic- debido cuidado, el asegurado puede recibir una
cybersecurity política que excluye a la mayoría de las amenazas
del mundo real, lugares límites irracionales lo que
hace que cubra menos escenarios probables. En
particular, una simple notificación fuera de plazo a la
compañía de seguros, puede ser una razón común
para negar la cobertura. Por ejemplo, una política
puede indicar que una violación de seguridad deba
ser reportado antes o dentro de los 60 días de
vencimiento de la póliza. Sin embargo, en el 2015
un estudio del instituto Ponemon encontró que los
ataques cibernéticos no son detectados antes de
ocho meses9 en promedio, tiempo que es más que
suficiente para que se realicen borrado de datos de
auditoria, con lo que se impide el análisis forense y
acabar con la evidencia legal. Como consecuencia
de lo anterior, una compañía que está consciente de
que ha sido violada o que ha sido notificada por un
tercero, habrá perdido la fecha para presentar
un reclamo.
A medida que las
amenazas siguen
evolucionando,
corredores y
compañías de
seguros necesitan
políticas de exclusión
a medida.
De la misma manera, algunas políticas pueden excluir
actualizaciones y mejoras. El pago de objetivos de
recuperación que no incluyen la restauración del
sistema con los datos más actuales. Esto hace que
el sistema quedará nuevamente expuesto a ataques
similares dejando el sistema en la misma condición
de vulnerabilidad. Los siguientes de casos se han
destacados por la naturaleza compleja de los ataques
cibernéticos y su impacto en empresas que se nego el
reembolso de seguros.
28 ISACA JOURNAL VOL 5
Cottage Health System es un proveedor del área de la
salud, que en el 2013 se le negó el cobro de seguro,
porque no pudo volver a evaluar continuamente su
exposición, la privacidad, amenazas, y prácticas
de seguimiento mínimo requerido tales como: la
encriptación de los registros médicos en un sistema
totalmente accesible a cualquier persona en la
Internet10.
Ubiquiti Networks Inc. Cayó en una popular estafa del
CEO en el 2015. Los ciber delincuentes suplantaron
la cuenta de correo electrónico del CEO (Gerente),
luego enviaron instrucciones a un empleado de una
empresa filial en Hong Kong para transferir US$
39 millones para cuentas en el extranjero que eran
controladas por los piratas informáticos. Puesto que
el pago fue “voluntario” a través de un empleado,
“la empresa no puede obtener cualquiera de las
coberturas del seguro”, explicó la compañía en un
comunicado11.
Medios BTC tenía el correo electrónico de su
CEO comprometido, pero la violación incluye una
componente de ingeniería social (spearphishing). A
través de la cuenta comprometida del CEO se envió
un correo electrónico para una posible adquisición. El
director financiero de destino (CFO) con instrucciones
para revisar las modificaciones, abrió el archivo
adjunto para revisar la propuesta, lo que provocó
que las credenciales del CFO también se hicieran
conocidas por piratas informáticos. El director
financiero reporta a su CEO, que la transacción ya
estaba realizada, lo que significó la transferencia de
5.000 bitcoins por valor de US$ 1,8 millones a una
cuenta controlada por un usuario remoto. Dado que
la fuente de comunicación del ilícito fue a través
de correos de BTC medios, el requerimiento a la
aseguradora no acogió el pago de su reclamo, porque
la política cubría pérdidas sólo de fraude directos12.
La aseguradora Define “directo” a decir sin ningún
interviniente o factores de desviación.
Desafíos
Los estudios de casos antes mencionados plantean
la pregunta: ¿Cómo hace uno para evaluar la
cantidad de políticas y seleccionar la cobertura
adecuada que asegura el reembolso oportuno
y adecuado después de un ataque? Aunque las
empresas son capaces de discutir sus necesidades
ciberinsurance (o seguro contra ataques) con
las compañías aseguradoras, hay cuestiones
importantes de ambas partes que se deben superar
por separado. Para empezar, los aseguradores a
través de un proceso de evaluación rudimentaria,
pueden aplicar cuestionarios genéricos que
examinen el nivel aplicación de ciberseguridad,
la gestión de riesgos de una empresa, lo que
determina la estrategia para establecer las primas
de seguros. A pesar de esto, no hay ninguna línea
de base estándar entre compañías de seguros, lo
que hace que puedan aplicarse herramientas menos
maduras, lo que por consecuencia pueda asumir
mayor riesgo de exposición.
Para los clientes potenciales de seguros, la
interpretación de las preguntas puede variar
significativamente, especialmente si los recursos
técnicos no están involucrados en el proceso
de respuesta interna de la empresa. Dado que
las medidas eficaces requieren varias capas de
seguridad, si se pasan por alto una o no se entiende
con claridad, puede dar lugar a altas primas y/o
mayores políticas de restricciones. Por ejemplo, un
programa de cumplimiento fuerte no necesariamente
significa que es un programa efectivo de seguridad
de la información, y vice versa. Por otra parte, la
adopción de cualquier programa no necesariamente
corresponde a una reducción del riesgo. Con la
seguridad cibernética dinámicamente en evolución,
si la administración, abogados o corredores carecen
de conocimiento para evaluar las preguntas y
garantías de que disponen, se pueden pasar por
alto una oportunidad para negociar la política más
favorable para maximizar la responsabilidad de
protección. Por otra parte, los seguros que detallan
controles que eventualmente no son examinados por
el asegurado hasta después de que se produce un
incidente. De ahora en adelante, si se comprueba que
la información presentada por el negocio exagera los
controles que realmente se aplican en terreno, puede
hacer que el conjunto de la política sea inútil después
de un incidente.
Siguiendo la tendencia, compañías de seguros,
corredores y aseguradores carecen del
conocimiento para evaluar este tipo de riesgos o
protecciones de orden tecnológico. Se requiere un
conocimiento especializado, pero la seguridad de
TI necesita un enfoque centrado en la experiencia,
porque el impacto de la cibernética trasciende
mucho más allá del Departamento de TI. La
mejor práctica en seguridad cibernética continúa
evolucionando, lo que refuerza la idea de que las
soluciones que funcionan bien en la actualidad,
podrían convertirse obsoletas el día de mañana.
Una política de seguridad en una empresa de
constante evolución, también aumenta el panorama
de las amenazas que aumentan la complejidad
de determinar el alcance y el costo adecuado de
cobertura. La naturaleza interconectada de los
medios informáticos más las redes con las que
una sola empresa interactúa estará sujeta a riesgo.
Conseguir una imagen clara del riesgo material,
también debe ser evaluado por una tercera parte,
por lo que no es tarea fácil para una compañía
de seguros. Y los riesgos que representan los
aumentos en la adopción de criterios de valoración,
los medios sociales y la Internet de las cosas (IoT)
no se deben pasar por alto. Por ejemplo, puede
ser difícil asociar de manera concluyente un caso
de robo de identidad a un único vector de ataque,
debido a que la violación podría ocurrir a partir de
un teléfono perdido, o ingresando a un sitio web
infectado, los datos robados en tránsito en tiempo
real o un dispositivo conectado a una red pública de
Wifi. Las aseguradoras deben superar esta amplia
brecha de conocimiento, ya que debe tratar de
averiguar el tipo, la frecuencia y gravedad de las
ciber amenazas que enfrenta una organización.
Los primeros días de esta industria presenta desafíos
adicionales dignos de considerar. Por ejemplo,
la presión del gobierno para informar los detalles
de violaciones sin una garantía de inmunidad,
desincentiva las empresas a compartir datos de
análisis ataques. De la misma manera, la percepción
negativa que rodea al mercado inhibe a las compañías
a hablar de sus incidentes cibernéticos a menos que
sea absolutamente necesario.
Una política de seguridad en una
empresa de constante evolución,
también aumenta el panorama
de las amenazas que aumentan
la complejidad de determinar el
alcance y el costo adecuado de
cobertura.
Esta paradoja restringe el flujo de datos y
tendencias históricas lanzados al mercado, lo que
las compañías de seguros podrían aprovechar para
para realizar comparaciones dentro del espectro
de industrias. Desde un punto de vista jurídico,
el término cyberinsurance (o seguro cibernético)
todavía relativamente nueva en los contratos y
no está bien litigado. Por esa razón, la falta de
elementos robustos obliga a los tribunales a ser
reacios a escuchar cybercasos, lo que conduce a
disputas dirigida principalmente a través de arbitraje.
Retorno de la inversión
TEl mercado de cyberinsurance es relativamente
nuevo, impredecible, y que carece de datos de
tendencias y de amplia cobertura. Técnicas de
análisis complejas pueden dar lugar a un contrato
difuso o con un leguaje complicado, lo que despierta
inquietud respecto valor real de cyberinsurance. El
cyberinsurance debe demostrar tangiblemente que
ISACA JOURNAL VOL 5 29
 aumenta la seguridad, reduciendo la responsabilidad,
¿y es una fuente fiable de alivio durante y después
de un ataque? El sentimiento del mercado es tal
vez mejor capturado en una encuesta de KPMG en
el 2015, la cual encontró que 74 por ciento de las
empresas manifestaron no tener ningún tipo de seguro
de ciber responsabilidad. De los que contestaron,
sólo el 48 por ciento cree que su cobertura cubriría el
costo real de la violación13. Y en un informe preparado
por Reuters, para algunas empresas hackeadas,
sus primas triplican el tiempo de renovación14. Sin
embargo, accionistas esperan que el directorio y la
gerencia cumplan con los requisitos de beneficiario de
un seguro para proteger los intereses de la empresa.
Adicionalmente, no sólo son las regulaciones que
han comenzado a requerir cyberinsurance, las
fusiones y las transacciones de adquisiciones también
consideran cada vez más el cyberinsurance como
medio para limitar la responsabilidad
…el simple proceso de aplicación
del cyberinsurance puede alentar
a las empresas para identificar las
mejores prácticas y herramientas, y
propicie la comunicación entre las
partes interesadas.
En términos simples, una violación puede ocurrir
en la infraestructura y la información; el primero
es inevitable, pero el último es prevenible a
través de estrategias eficaces que no requieren
necesariamente compras de tecnología costosa.
Como era de esperar, empresas y juntas se ven
obligadas a gastar dinero cuando se ha producido
una violación, o cuando están frente a una demanda
civil después de un incidente, pero en realidad,
medidas proactivas pueden ayudar a reducir la
carga general. Por ejemplo, un fuerte programa de
conciencia de seguridad, un plan de continuidad de
negocio eficaz y un plan de respuesta a incidentes
de manera significativa, pueden fortalecer la
preparación de una empresa y reacción a un ataque
y ayudar a evitar un incumplimiento.
Cyberinsurers (o ciber asegurados) pueden requerir
la implementación de las medidas básicas de
seguridad cibernética por evitar la denegación
30 ISACA JOURNAL VOL 5
o anulación de cobertura. Por lo tanto, el simple
proceso de aplicación del cyberinsurance puede
alentar a las empresas para identificar las mejores
prácticas y herramientas, y propicie la comunicación
entre las partes interesadas, como el área legal,
áreas de TI, los equipos de finanzas y gestión de
riesgos. Entre los beneficios residuales pueden
incluir más de una posibilidad de repeler un
adversario y una menor prima, lo que ha comenzado
a fomentar que las organizaciones consideren sus
defensas más allá del mínimo. En una muestra de
33 empresas vinculadas a la salud, la educación,
el comercio minorista e industrias de servicios
financieros, han conseguido en promedio un 1,2 por
ciento de ingresos15. Las primas para el total de las
empresas de salud cuestan, en promedio un 2,8 por
ciento de los ingresos totales, en gran parte debido
al mayor riesgo y el aumento de las infracciones
que implican datos de paciente. En general, los
encargados de seguridad de información general en
jefe (CISO) será capaz de demostrar un beneficio
medible con sus iniciativas de seguridad cibernética,
si el ahorro obtenido a partir de incidentes
disminuyó más los reembolsos por cyberinsurance
pueden ser mucho mayores que el coste de las
garantías más las contramedidas.
A fin de cuentas, ya que esta industria naciente
continúa madurando, queda por ver si
cyberinsurance puede demostrar suficiente valor
para justificar la adopción generalizada como
componente necesaria de una estrategia global de
la ciberdefensa.
Notas Finales
1 Chiarodo, J.; P., Beshara; “What Cyber
Insurance Can Do for Contractors,” FCW,
7 July 2015, https://fcw.com/articles/2015/
06/30/comment_chiarodo_beshara.aspx
2 Northrop, S.; “Is Your Business Ready for FTC
Oversight of Data Security?,” IAPP, 21 September
2015, https://iapp.org/news/a/is-your-business-
ready-for-ftc-oversight-of-data-security
3 Federal Bureau of Investigation, “Criminals
Continue to Defraud and Extort Funds From
Victims Using CryptoWall Ransomware
Schemes,” USA, www.ic3.gov, 23 June 2015,
www.ic3.gov/media/2015/150623.aspx
4 Mann, B.; “Centrify Consumer Trust Survey: The
Corporate Cost of Compromised Credentials,”
Centrify, 8 June 2016, http://blog.centrify.com/
corporate-cost-of-compromised-credentials/
 5 National Cyber Security Alliance, “3 Reasons
Hackers Love Your Small Business Infographic,”
StaySafeOnline.org, 2015, http://staysafeonline.
org/ncsam/resources/3-reasons-hackers-love-
your-small-business-infographic
6 Kirkpatrick, K.; “Cyber Policies on the Rise,”
Communications of the ACM, vol. 58,
no. 10, p. 21-23, http://cacm.acm.org/
magazines/2015/10/192376-cyber-policies-on-
the-rise/fulltext
7 Schutzer, D.; “An Assessment of Cyber
Insurance,” CTO Corner, February 2015,
http://fsroundtable.org/cto-corner-assessment-
cyber-insurance/
8 Ibid.
9 Ponemon Institute Research Report, 2015 Cost
of Data Breach Study: Global Analysis, May
2015, www-01.ibm.com/common/ssi/cgi-biniali
as?subtype=WH&infotype=SA&htmlfid=SEW03
053WWEN&attachment=SEW03053WWEN.PDF
10 Greenwald, J.; “Insurer Cites Cyber Policy
Exclusion to Dispute Data Breach Settlement,”
Business Insurance, 15 May 2015,
www.businessinsurance.com/article/20150515/
NEWS06/150519893
11 Hacker, R.; “Fraudsters Duped This Company
Into Handing Over $40 Million,” Fortune,
10 August 2015, http://fortune.com/2015/08/10/
ubiquiti-networks-email-scam-40-million/
12 Dotson, K.; “BitPay Hacked for $1.8 Million in
Bitcoin During December 2014,” SiliconAngle,
17 September 2015, http://siliconangle.com/
blog/2015/09/17/bitpay-hacked-for-1-8-million-
in-bitcoin-during-december-2014/
13 Reeve, T.; “Cyber Insurance Not Trusted by
Business, KPMG Claims,” SC Magazine UK,
1 May 2015, www.scmagazineuk.com/cyber-
insurance-not-trusted-by-business-kpmg-
claims/article/412535/
14 Finkle, J.; “Cyber Insurance Premiums
Rocket After High-Profile Attacks,” Reuters,
12 October 2015, www.reuters.com/
article/us-cybersecurity-insurance-insight-
idUSKCN0S609M20151012
15 Marciano, C.; “How Much Does
Cyber/Data Breach Insurance Cost?,”
Data Breach Insurance, 1 June 2016,
https://databreachinsurancequote.com/
cyber-insurance/cyber-insurance-data-
breach-insurance-premiums/

17 – 19 October | Las Vegas, Nevada, USA Earn up to 32 CPEs!

CSX 2016 North America by the numbers:

7 Cyber tracks designed to help you customize your conference

experience and enhance your cyber expertise.
6 Pre-conference workshops available to help you get a head start on
learning new techniques and making connections with fellow attendees.

70 High-impact sessions that offer invaluable new tools and perspectives on cyber security. CSX sessions provide unique opportunities to learn from top
experts in the field. You select the sessions right for you and your level of cyber expertise.

5
Thought-leading keynote speakers brought together for the first time ever. Learn while listening to those on cyber security’s frontlines. Speakers include:
Brian Krebs, Investigative Journalist, Founder of Krebs on Security blog and Former Washington Post Reporter; Pablos Holman, Notorious Hacker, Inventor,
Entrepreneur and Technology Futurist; and Brett Kelsey, CISA, CISSP, Vice President and Chief Technology Officer for the Americas at Intel Security.

32 Continuing Professional Education (CPE) Credits. Earn up to

32 CPE credits; 18 by attending the conference and an additional
14 CPE credits for attending pre-conference workshops. 92 Percent overall satisfaction
reported by CSX 2015 North America
Conference attendees.

Register today at www.isaca.org/CSXNA2016-Jv5

*See website for pricing and registration details.

ISACA JOURNAL VOL 5 31

 artículo
artículo Un enfoque integrado para el monitoreo
de amenazas cibernéticas utilizando
aplicaciones código abierto
A medida que las amenazas cibernéticas
evolucionan cada día, detectar estas amenazas
¿Tienes algo
que comentar se transforma en un asunto más importante.
sobre este Estudios recientes muestran que el tiempo entre
artículo? que ocurre una brecha y que esta sea detectada
Visita las páginas del es en promedio, 229 días1. Entendiendo que 229
Journal en el sitio web días es un tiempo largo, una empresa promedio no
de ISACA (www.isaca. responderá a un ataque de manera oportuna y no
org/journal), encuentra va a mitigar estos efectos, si no hay un esfuerzo
el artículo y da click extra invertido en la detección. Este número nos
en el link Comments muestran que hay una falta de un monitoreo más
para compartir tus
preciso de amenazas cibernéticas en la mayoría de
pensamientos. las empresas, y esto es mayoritariamente debido
a que los mecanismos de monitoreo necesarios
no han sido ubicados en el lugar correcto o bien
no funcionan de manera eficaz. Adicionalmente,
la mayoría de las empresas se enfocan en la
prevención en vez que en la detección. Sabiendo
que los mecanismos de prevención para las
amenazas más sofisticadas fallan, la necesidad de
detección se está convirtiendo en un punto más
importante cada día. También está la preocupación
en los costos de inversión en seguridad
especialmente para las empresas de pequeño y
mediano tamaño (SMB/PYME). Mientras que un
atacante no tan avanzado puede fácilmente penetrar
una infraestructura de TI corporativa mediante el
uso de una explotación que se vende en el mercado
negro por USD$ 500. El costo para prevenir o
detectar estos ataques no es proporcional a este
bajo coste nominal, cuando una empresa elije
comprar e instalar soluciones comerciales.
Para este tipo de necesidades, el software de tipo
Open Source (Código Abierto) presenta numerosas
ventajas, ya que tiene un gran soporte de parte de
la comunidad, y es costo—efectivo, especialmente
para las PYME (SMB). Con estas ventajas, una
compañía puede elegir construir su infraestructura
de seguridad usando soluciones de Open Source
(Código Abierto).
Furkan Caliskan, CISA
Es el subgerente de la seguridad de la información en el Banco Ziraat
A.S., el banco más grande en Turquía. Antes de eso, él trabajaba como
un auditor de TI, él puede ser contactado en caliskanfurkan@gmail.com.
32 ISACA JOURNAL VOL 5
Una penetración tipo estándar típicamente consta
de siete pasos principales (figura 1), como fue
modelado por Lockheed Martin, y llamada la cadena
de Muerte Cibernética2. Si las organizaciones
quieren detectar adecuadamente los ataques, estos
pasos son un punto de partida necesario para
identificar las necesidades de monitoreo.
Figura 1—Seven Steps of the
Cyber Kill Chain
Steps Example Actions
Step 1: Harvesting emails, social networking,
Reconnaissance passive search, IP addresses, port
scans, etc.
Step 2: Developing exploits with payloads,
Weaponization delivery system
Step 3: Spear phishing, man-in-the-middle
Delivery attacks (MitM), universal serial bus (USB),
infected web sites, etc.
Step 4: Exploiting a vulnerability to execute a
Exploitation code on victim’s machine
Step 5: Installing malware on assets
Installation
Step 6: Command channel for remote
Command and manipulation of victim’s system
Control
Step 7: Data exfiltration, expand compromise,
Actions on Target remote “hands-on keyboard” access
Source: Lockheed Martin. Reprinted with permission.
Mediante el uso de la abstracción de la cadena
de muerte cibernética, existe una oportunidad
de detectar un adversario, si los mecanismos de
detección necesarios están en el lugar correcto, y
son ejecutados y correlacionados correctamente en
cada paso. Por ejemplo, si un sistema de detección
de intrusos en la red (NIDS) esta monitoreando las
conexiones activas desde IPs remotas, buscando
posibles actividades del tipo comando y control (C&C)
utilizando reportes de inteligencia de amenazas, se
puede fácilmente alertar al equipo de seguridad,
para que tomen las acciones necesarias de bloqueo.
También si un sistema de detección de intrusos
basado en el servidor (HIDS), puede monitorear las
actividades en el servidor (ej, chequeos de integridad
sobre los archivos críticos de sistema), este puede
alertar al equipo de seguridad cuando un evento
malicioso ocurre en un servidor.
Sistema de detección de Intrusos
basado en la red
Un NIDS realiza el análisis del tráfico de paso en
la subred completa, contra la base de ataques
conocidos. Si es utilizado efectivamente, un NIDS
puede ayudar una organización a estar alerta para
reconocer intentos de ataques característicos en
varios pasos del modelo de cadena de muerte
cibernética. Por ejemplo, si un malware está
utilizando una URL/IP maliciosa, el NIDS va
a identificarla del resto de tráfico usando sus
firmas, relacionándola con el paso 6. Y si su firma
vulnerable calza con la encontrada en el tráfico
activo, esto estaría relacionado con el paso 4.
Cebolla de Seguridad (SO) es una distribución Linux
creada para la detección de Intrusiones, monitoreo
de seguridad en la red y administración de registros
de auditoría (logs). Está basada en la distribución
de Linux Ubuntu (GNU) y contiene los softwares de
seguridad de redes ya bien conocidas de código
abierto, tales como Snort, Suricata, Bro y Sguil, con
un enfoque integrado3. Ya que están integradas con
scripts para su facilidad de uso, es muy fácil instalar
y empezar a usar a través de su interfaz gráfica de
usuario (GUI). Tiene tres opciones de instalación:
independiente, sensor y servidor. Si uno quiere
instalar sensor y servidor en la misma máquina,
el modo independiente puede ser usado. Para
redes grandes, la instalación distribuida puede ser
la respuesta correcta para un fácil mantenimiento
y administración centralizada de sensores
distribuidos usando el soporte de administración de
configuración SaltStack integrado.
Mientras se usa SO, uno debe usar o el
espejamiento de puertos o dispositivos de hardware
de intervención de redes para espejar todo el
tráfico de la red hacia las máquinas de sensor SO.
Después del proceso de instalación y habilitar
las configuraciones necesarias, los componentes
de software NIDS comenzarán a ver y analizar el
tráfico en contra de amenazas utilizando firmas de
amenazas integradas.
La ubicación exitosa de los sensores en la red es
algo de gran consideración para lograr una clara y
ajustada visión de la red.
La figura 2 es un ejemplo de una ventana de reporte
de alertas NIDS usando la aplicación Sguil.
SO también incorpora una herramienta de búsqueda
de registros de auditoría llamada búsqueda de
registros empresariales y archivo (ELSA). Está
construida sobre syslog-ng, MySQL y Sphinx.
Provee una interface de consulta de buena
base, fácil de usar similar a las bien conocidas
aplicaciones Splunk. También soporta alertas
por correo electrónico, consultas programadas
y gráficos. Las consultas de eventos históricos
y resultados estadísticos pueden ser reunidos
utilizando ELSA.
Una de las funciones más notables de SO es su
capacidad de captura de paquetes usando la
herramienta netsniff-ng. Al escoger configurar la
funcionalidad de captura de paquetes, cada vez
que se genere una alarma de un sistema detector
de intrusiones (IDS), uno puede fácilmente ver
y analizar las capturas de paquetes del evento
relacionado para un análisis detallado. Debido a que
capturar todo el tráfico consume una gran cantidad
de capacidad de disco duro, las organizaciones
deben planear cuidadosamente antes de instalar
su sistema. El valor del ancho de banda de la red y
las prácticas de retención de registros de auditoría
pueden ser utilizadas como un punto de partida
para estos planes.
Sistemas de detección de intrusos
basados en el servidor
HIDS es un sistema de detección de intrusos que
monitorea y analiza la parte interna de un sistema de
computación.
Diferente al NIDS, HIDS monitorea las actividades
basadas en el servidor. Por ejemplo, puede
monitorear la integridad de archivos críticos,
conexiones de red, registros de auditoría de
sistemas, estado del cortafuego local, detección
de rootkit, intentos de fuerza bruta al sistema y
más. Usar HIDS efectivamente puede ayudar a una
organización a detectar intentos de ataque en los
pasos 5 y 7 en la cadena de muerte cibernética.
Por ejemplo, el paso 5 utiliza la funcionalidad de
monitoreo de la integridad de los archivos de HIDS,
ISACA JOURNAL VOL 5 33
 Figura 2—Sguil Screen
Source: Furkan Caliskan. Reprinted with permission.
la que puede detectar cuando el malware corrompe
un archivo de sistema o se agrega a sí mismo en el
registro y levanta una alerta.
¿Disfruto este Uno o más de estos proyectos HIDS bien conocidos
artículo? de código abierto es OSSEC4 (figura 3). Él soporta
Windows, Linux, Mac, BSD, sistemas VMWare ESX
• Aprenda más y más.
acerca, discute
y colabora en Sus capacidades incluyen la administración
cyberseguridad y centralizada, alertas en tiempo real configurables,
seguridad de redes monitoreo sin agentes, una integración seguridad
en el Centro de de la información comercial y administración de
Conocimiento. eventos (SIEM).
www.isaca.org/
knowledgecenter También es fácil de personalizar debido a que es
de código abierto. OSSEC puede ser personalizado
para propósitos como una lista blanca de
dispositivos USB y escaneo de vulnerabilidades de
software.
Para el despliegue, la instalación de un servidor
OSSEC es necesaria. Posterior a este paso, un agente
puede ser instalado en cualquier servidor, y, dada
la llave del agente y la información IP del servidor,
el agente empezará a monitorear el servidor que ha
instalado y enviar los registros de auditoría al servidor
OSSEC. Este proceso puede ser automatizado
34 ISACA JOURNAL VOL 5
para grandes despliegues usando métodos como
Instrumentación de Administración de Windows (WMI)
y Puppet. También hay un proyecto llamado auto-
OSSEC5 para un fácil despliegue.
Sebos de atracción (Honeypots)
Muchos adversarios inician sus actividades maliciosas
escaneando las subredes externas e intentando
explotar la máquina más débil de entre los servidores
de una organización expuestos públicamente. Un
sebo de atracción puede ser utilizado para engañar
al adversario y atraerlo a intentar explotarlo. Mientras
el atacante está intentando abrir una brecha, los
sebos de atracción reportan el evento a los servidores
centrales de monitoreo de seguridad y ayuda a
defender la infraestructura de producción.
Cuando se utilizan efectivamente, los sebos de
atracción pueden ayudar a las organizaciones a
detectar intentos de ataque en el paso 1 de la Cadena
de Muerte Cibernética.
Existe una distribución de Linux llamada HoneyDrive,
que es un paquete de software de sebos de atracción
y es de fácil utilización para empezar. Otro bien
conocido sebo de atracción de código abierto es
Dionaea. Es un sebo de atracción capturador de
 Figura 3—OSSEC Screen Shot
Source: Furkan Caliskan. Reprinted with permission.
software malintencionado inicialmente desarrollado
bajo los Proyectos de Sebos de Atracción 2009
del Verano de Código de Google (GSoC)6. Dionaea
apunta a atrapar el software malintencionado
explotando vulnerabilidades expuestas por servicios
ofrecidos en una red y, esencialmente, para obtener
una copia del software malintencionado. Captura el
código para explotar debilidades ofrecido en la red y
almacena los detalles de estos eventos dañinos, tales
como IP de origen, tipo de ataque, y código binario
descargado para un análisis posterior. Mientras un
atacante está montando un ataque con su sebo de
atracción, la organización puede lanzar una defensa
proactiva utilizando esta información. Por defecto,
Dionaea soporta Bloques de Mensaje de Servidor
(SMB), Protocolo de Transferencia de Hipertexto
(HTTP), Protocolo de Transferencia de Archivos (FTP),
Protocolo de Transferencia de Archivos Triviales
(TFTP), Servidor SQL de Microsoft (MSSQL) y
Protocolo de Iniciación de Sesión (SIP).
La figura 4 muestra software malintencionado
capturado por Dionaea y funciones hash
relacionadas. Estas funciones hash pueden ser
enviadas a Virustotal.com para un análisis más
detallado.
La figura 5 muestra la dirección IP de origen del
software malintencionado con el propósito de
bloquearla.
Una preocupación mayor para los sebos de
atracción es su correcta ubicación en la red.
Mientras un sebo de atracción en una ubicación
pública es bueno para ataques externos, los sebos
de atracción extra para detectar movimientos
laterales son también un esfuerzo efectivo.
Integrando software de código
abierto y haciendo que todo
funcione
Uno de los principales desafíos en la seguridad
cibernética es gestionar todos los esfuerzos de
seguridad centralizadamente y hacerlos fáciles de
usar. Cuando una organización tiene numerosos
registros de auditoría y sistemas de seguridad,
monitorearlos y gestionarlos se vuelve más
complejo. Este es un desafío importante para los
esfuerzos de detección de intrusión, ya que todos
los registros de auditoría de seguridad debieran ser
cuidadosamente analizados. Si uno no es capaz
de detectar una intrusión dentro de una ventana de
tiempo razonable, puede llevar al sistema completo
a una precaria situación.
Por lo tanto, la utilización efectiva y en una manera
combinada de servicios de detección es importante
para una infraestructura de TI bien protegida.
Para el monitoreo centralizado y propósitos de tablero
de control, el compendio ElasticSearch, Loghash
y Kibana (ELK)7 son soluciones bien conocidas de
código abierto. Ellas consisten de tres componentes
principales. ElasticSearch es un servidor de búsqueda
basado en Lucene y provee un motor de búsqueda
distribuido de texto completo. Loghash es un marco
de trabajo de recolección de registros de auditoría
fácil de usar que trabaja muy bien con ElasticSearch.
Kibana es la más novedosa interfaz web de usuario
de monitoreo y ayuda a visualizar todos los registros
de auditoría que provienen de Loghash y que son
indexados por ElasticSearch.
Usando este compendio, los HIDS, NIDS y sistemas
de sebos de atracción pueden enviar sus datos
ISACA JOURNAL VOL 5 35
 Figura 4—Malware Samples

Source: Furkan Caliskan. Reprinted with permission.

desplegar una detección mejorada de amenazas

Figura 5—Attacker IP Addresses
Source: Furkan Caliskan. Reprinted with permission.
a ELK, y un analista puede correlacionar esos
datos, crear un tablero de control para monitoreo
centralizado y comenzar tomando acciones rápidas
(por ejemplo, bloquear la IP del atacante usando los
datos del sebo de atracción, correlacionando los
datos de HIDS y NIDS para aumentar la precisión
de un ataque detectado de acuerdo a la abstracción
de la cadena de muerte). A no ser que se utilicen
los datos de seguridad en forma efectiva, todos los
esfuerzos de registros de auditoría son inútiles
Conclusión
Con las rápidamente crecientes necesidades de
seguridad cibernética, construir una infraestructura
de defensa cibernética efectiva es un gran desafío
para muchas organizaciones. Construir una sólida
y precisa infraestructura de monitoreo disminuirá
el tiempo para detectar ataques dado que ayudará
a ganar el conocimiento profundo necesario de los
sistemas. Una fuerte infraestructura de monitoreo
será capaz de correlacionar y usar los datos en
forma precisa, permitiendo al equipo de seguridad
que trabaje sólo con alarmas importantes y precisas.
Este artículo provee una mirada de las herramientas
de código abierto que pueden ser utilizadas para
cibernéticas y defensa para ajustarse a los recursos
de la mayoría de los defensores cibernéticos.
Adicionalmente, esta oferta de software de código
abierto provee una flexibilidad significativa y el
beneficio de una comunidad de gran soporte. Esto
puede ayudar a nivelar el campo de juego para
aquellos encargados de proteger una organización y
sus “joyas de la corona”. Por otra parte, para utilizar
la flexibilidad y ventajas de soluciones de seguridad
de código abierto de un bajo presupuesto, el equipo
de seguridad encargado de la instalación de estas
soluciones debe saber lo que está haciendo y
disfrutar de la comunidad y cultura de la comunidad
de código abierto. Pero el código abierto también es
un riesgo para las compañías que tienen pequeños
equipos de seguridad. Especialmente en el largo
plazo, un producto que no tiene más soporte debe
ser gestionado por la organización, resultando en
desafíos únicos.
Notas Finales
1 Mandiant, 2014 Threat Report, M-Trends, April
2014, https://dl.mandiant.com/EE/library/WP_M-
Trends2014_140409.pdf
2 Lockheed Martin, Cyber Kill Chain, http://cyber.
lockheedmartin.com/solutions/cyber-kill-chain
3 Security Onion, http://blog.securityonion.net/
4 OSSEC, http://ossec.github.io/
5 Kennedy, D.; “Tool Release: Auto-OSSEC—
Automated OSSEC Deployment,” Binary Defense
Systems Update blog, 5 October 2015, https://
www.binarydefense.com/bds/tool-release-auto-
ossec-automated-ossec-deployment/
6 The Honeynet Project, Google Summer of Code
2009, http://honeynet.org/gsoc2009
7 Sissel, J.; “An Introduction to the ELK Stack,”
Elastic, https://www.elastic.co/webinars/
introduction-elk-stack

36 ISACA JOURNAL VOL 5

artículo
artículo Balanceando el campo de batalla de
la seguridad cibernética
La historia muestra que las mujeres dan un valor
diferente al entorno de trabajo y mejoran la efectividad
operacional total y los resultados financieros. En
las métricas financieras claves, las compañías con
mujeres en su Junta de Directores (BoDs) superan el
rendimiento de aquellas sin mujeres1. Investigaciones
recientes reportan que si las mujeres tuvieran paridad
económica con los hombres en el lugar de trabajo,
el producto interno bruto (GDP) podría aumentar en
US$ 12 trillones de dólares para el 20252. Cuando
las mujeres están en posiciones de liderazgo en
cantidades significativas, “la línea base mejora –
desde el éxito financiero hasta la calidad y ámbito de
la toma de decisiones3.”
Las personas que
piensan diferente por
su género, cultura
o entrenamiento,
atacan y se
defienden de manera
diferente y aportan
valor único a los
equipos de seguridad
cibernética.
Los grupos son colectivamente más inteligentes que
los individuos—y la inteligencia colectiva aumenta
según aumenta el porcentaje de mujeres en el grupo,
como se aprendió cuando las mujeres comenzaron
a enlistarse en el ejército de EEUU4. Los militares
observaron que “las mujeres proveen una contribución
vital para el pensamiento crítico y creativo y la toma
de decisiones en el aparato de seguridad nacional”5
y esta capacidad está faltando en muchas unidades
militares donde actualmente no hay mujeres.
Hoy, la industria de la ciberseguridad está pidiendo
mujeres expertas, dolorosamente consciente del que
sólo el 11 por ciento de los profesionales de seguridad
de la información son mujeres, con cerca de un 56
por ciento de estas mujeres dejando este sector a
mitad de carrera6. Las mujeres traen valor específico
al campo de la seguridad cibernética. Siendo la
mitad de la sociedad consumidora de tecnología
mujeres, una fuerte representación de las mujeres
¿Tienes algo
como practicantes de la seguridad traería nuevos y que comentar
más profundos accesos hacia las vulnerabilidades sobre este
sociales, sicológicas, emocionales, técnicas y físicas, artículo?
que los atacantes están aprovechando hoy. Visita las páginas del
Journal en el sitio web
La ciber seguridad, en esencia, se trata de proteger la de ISACA (www.isaca.
información y sistemas contra ataques cibernéticos, org/journal), encuentra
terrorismo cibernético y guerra cibernética7. En el artículo y da click
tiempos de guerra, los gobiernos utilizan la totalidad en el link Comments
de su población para superar a sus enemigos, para compartir tus
frecuentemente trayendo millones de mujeres para pensamientos.
ocupar roles previamente asumidos por hombres8.
Excluyendo a las mujeres en seguridad cibernética,
donde hay una severa escasez de habilidades, es
como excluir a un batallón en la guerra. Se requiere
de todos los recursos para ganar una guerra9. La
seguridad cibernética es un ambiente que consiste
en anticiparse al adversario, protegiendo activos
más rápido que los vectores de amenazas que los
puedan explotar, yendo un paso más adelante que
los atacantes y aplicando contra inteligencia. La
seguridad cibernética es un campo de batalla de
tipos. En la guerra, todo lo que un país posee es un
activo y es usado en su propio favor, incluyendo la
diversidad de inteligencia, habilidades y estrategia.
Las mujeres son capaces de alcanzar los mismos
resultados que sus contrapartes masculinas si tienen
los mismos derechos, privilegios y posibilidades10.
Las mujeres deben ser vistas como contribuidores
críticos a la industria de la seguridad cibernética.
La seguridad cibernética se apalanca en los tres
pilares las personas, procesos y tecnología, todos
los cuales pueden ser explotados por atacantes. Las
Daksha Bhasker, CISM, CISSP
Tiene más de una década de experiencia en la industria de las
telecomunicaciones trabajando en varios roles incluyendo inteligencia de
negocios, planificación estratégica, operaciones y controles de gestión
de negocios, gobierno, cumplimiento de la ley Sabanes-Oxley, soluciones
técnicas complejas, arquitectura de seguridad, gestión de riesgos y
seguridad cibernética. Ella es una arquitecto senior de seguridad en redes
que trabaja con el equipo de desarrollo de tecnología en redes en Bell
Canadá y se enfoca en la seguridad de tecnologías emergentes.
ISACA JOURNAL VOL 5 37
 personas pueden ser hackeadas más fácilmente que
la tecnología. Las personas que piensan diferente
por su género, cultura o entrenamiento, atacan y se
defienden de manera diferente y aportan valor único
a los equipos de seguridad cibernética. Algunas
naciones-estado que han ganado reputación
como semilleros para hackers no están buscando
las últimas credenciales de seguridad, el grado
académico con mayor reputación o una licenciatura
profesional para ejercer en este campo. Estas
naciones-estado están dispuestas a reclutar y a
cruzar la línea del tren por el trabajo. La contra
respuesta necesita ser tan flexible, diversa y prolífica
como ellas. Las habilidades no tradicionales
son importantes para la industria de seguridad
cibernética. Por ejemplo, un cientista político puede
tener acceso a la agenda y estrategias de naciones-
estado que pueden ser aumentadas para entender
el motivo y los medios para un ataque. De modo
similar, un sicólogo puede ofrecer inteligencia contra
amenazas basada en el comportamiento y análisis
humano. En seguridad cibernética, la diversidad trae
valor y expande la fortaleza del equipo.
A medida que el avance y
participación en la carrera se
torna un desafío, las mujeres
insatisfechas tienden a abandonar
voluntariamente la seguridad
cibernética a mitad de carrera.
Las mujeres pueden enfrentar numerosas barreras
para entrar en la arena de la seguridad cibernética.
Las oportunidades en la industria de la seguridad
que son comúnmente denegadas a las mujeres
incluyen:
• Inclusión en la comunidad de la seguridad
cibernética
• Igualdad de oportunidades para entrenamiento y
desarrollo de habilidades
• Peer acceptance
• Aceptación como líderes
• Aceptación como ingenieros y expertos técnicos
• Oportunidades de avance de carrera en la
industria de seguridad
38 ISACA JOURNAL VOL 5
La comunidad actual de profesionales de seguridad
cibernética es una comunidad predominantemente
masculina y bien establecida11. Requiere un gran
esfuerzo, coraje y fortaleza mental para los nuevos
integrantes, especialmente mujeres, para penetrar
estas redes. Ellas enfrentan una inclusión dubitativa
a medida que se esfuerzan por la aceptación de
la comunidad y tienen la esperanza de, en algún
punto, su carrera de seguridad florezca. Ellas buscan
iguales oportunidades de participación, aceptación e
integración. Esto se refleja en el pobre 10 por ciento
de roles de liderazgo en seguridad de la información
ocupados por mujeres hoy12. La seguridad cibernética
es única porque es una comunidad de secretos,
conocimiento secreto, información clasificada,
asociación con comunidades oscuras de hackers,
círculos de confianza y otros recursos secretos. Las
organizaciones de inteligencia en seguridad alrededor
del mundo destacan el secretismo como su principal
fortaleza. Un secreto, por definición, es la exclusión
de otros en la compartición de información. La
exclusión en la comunidad de ciberseguridad puede
ocurrirle a cualquiera que no encaje con el típico
perfil, incluyendo a las mujeres13. Las autorizaciones
gubernamentales de seguridad hacen poco por
ayudar a las mujeres a avanzar hacia círculos
profesionales de seguridad de la información, incluso
trabajando en torno a comunidades de seguridad en
organizaciones de seguridad. Esta falta de avance
resulta en un mayor porcentaje de mujeres siendo
relegadas a funciones esenciales, pero auxiliares,
relacionadas con la seguridad, como administración,
proyectos o gestión de programas, desarrollo de
negocios y marketing o comunicaciones. Porque las
mujeres a menudo trabajan en estos roles, algunas
puede que nunca logren penetrar a roles del núcleo de
la seguridad14. A medida que el avance y participación
en la carrera se torna un desafío, las mujeres
insatisfechas tienden a abandonar voluntariamente
la seguridad cibernética a mitad de carrera a áreas
donde la movilidad ascendente es más accesible15.
Los profesionales de la seguridad son rara vez
los expertos más populares en una compañía, sin
importar su género. La mayoría de los proyectos e
iniciativas consideran los requerimientos de seguridad
como impedimentos o esfuerzos dolorosos y
necesarios. El conocimiento profesional de seguridad,
opiniones y requerimientos presupuestarios
invariablemente experimentan respuestas de
escrutinio agresivo y alborotos rigurosos, a menudo
de parte de profesionales ajenos a la seguridad16.
Las mujeres tienen una tendencia a compensar en
exceso el hecho de estar en un campo dominado por
los hombres, un fenómeno conocido como el efecto
Madame Curie, implicando que las mujeres creen que
deben ser más calificadas y desarrollar habilidades
excepcionales para competir con hombres en
ciencias dominadas por hombres”17. Esta tendencia,
combinada con las barreras antes mencionadas,
es especialmente agotador y tiene un efecto en las
mujeres que están desarrollando nuevas habilidades
y trabajando su desarrollo de carrera en seguridad
cibernética.
Cuando los eventos sociales relacionados con el
trabajo son eventos dominados por hombres, pese a
las mejores intenciones, las mujeres pueden continuar
sintiéndose marginadas y luchando por unirse con sus
colegas en seguridad cibernética. Estas situaciones
pueden aislar y alejar a un profesional femenino
en seguridad cibernética que no tiene intereses
masculinos estereotipados.
Aparte de los requerimientos más básicos de equidad
en la paga y de balance entre vida personal y trabajo,
hay una gran cantidad de cosas que se pueden
hacer para apoyar, fomentar y retener a las mujeres
en seguridad cibernética. Los siguientes esfuerzos
pueden ayudar a impulsar a las mujeres a participar
en la seguridad cibernética y avanzar hacia posiciones
de liderazgo:
• Invitaciones y bienvenidas a mujeres como
profesionales y aliados en el campo
• Compartición abierta de información
• Entrenamiento
• Acompañamiento de carrera
• Apoyo
puedan destacar en eventos sociales de carácter
laboral tanto como sus contrapartes masculinas.
• En el lugar de trabajo, acoger a las mujeres en la
medida en que desarrollan conocimiento experto de
la materia en roles claves de seguridad cibernética.
Asegurar un espacio de respeto hacia todos los
empleados, especialmente aquellos que no tienen
una historia de trabajo con mujeres como pares y
líderes.
• Animar a las mujeres tomando un interés activo en
sus carreras en seguridad cibernética. Ofrecer igual
acceso al entrenamiento y ayudar a eliminar barreras
donde las mujeres deseen perseguir y mantener
carreras en seguridad cibernética. Proveer acceso
a redes profesionales y mentores. Desarrollar
un programa para mujeres de emparejamiento
de mentores específico por disciplina y ofrecer
mentores establecidos en la industria por el tiempo
que sea necesario este apoyo. Estar atentos al
efecto Madame Curie y utilizar a los mentores como
un canal para reducir esta tendencia. Animar a las
mujeres, especialmente a las líderes en ingeniería y
tecnología, para alimentar a nuevos entrantes en el
dominio de la seguridad cibernética.
• Incentivar a las mujeres para alcanzar roles de
liderazgo en seguridad cibernética y establecer
caminos claros de promoción para empleadas.
Las empresas pueden comenzar por mantener
estadísticas transparentes en la distribución
de géneros en seguridad cibernética, dándoles
seguimiento y comparándolos contra referencias
deseadas. Comunicar estas estadísticas en
forma abierta, mientras se mide anualmente

• Respeto a las diferencias de opinión basadas en

un trasfondo profesional

• Asociación con mentores

Los siguientes pasos pueden ayudar para incorporar

de mejor forma a las mujeres en la fuerza de trabajo
de seguridad cibernética:

• Hacer esfuerzos claros por disminuir el estereotipo

de dominio masculino de la industria de seguridad
cibernética. Ambos, hombres y mujeres son
necesarios para ganar la batalla en seguridad
cibernética. La imagen de los profesionales de
seguridad cibernética es predominantemente
masculina en los medios. Revisar esa imagen
ampliamente difundida de polerones con capucha,
golpes de teclado, ninjas acróbatas masculinos
a una de etiqueta de negocios profesionales,
elegancia y estándares. Asegurar un clima de
trabajo profesional similar donde las mujeres

ISACA JOURNAL VOL 5 39

 su progreso, aumenta la concientización de la
brecha en la distribución de géneros y cataliza
¿Disfruto este el deseo de remediación. Recompensar a las
artículo? mujeres con incentivos financieros o incorporar
el reconocimiento por tomar una carrera no
• Aprenda más, tradicional en seguridad cibernética, y monitorear
discuta y colabore su progreso año tras año. Crear grupos de interés,
en career redes y foros de seguridad cibernética a favor
de las mujeres, para permitirles tener más fácil
management y
acceso a apoyo, guía e información. Establecer
cyberseguridad
entrevistas de salida para mujeres que deciden
en el Centro de dejar el campo para entender y abordar falencias
Conocimiento. identificadas. Abordar a los gerentes para atraer y
www.isaca.org/ retener empleadas.
knowledgecenter
• Administrar la cultura de inteligencia secreta y
no divulgación que es requerida en la industria
de seguridad con tanta apertura y transparencia
como sea posible. Ayudar a prevenir el mal uso
de sistemas de clasificación de información
para prevenir la exclusión innecesaria de recién
llegados al campo de seguridad cibernética. Crear
un mecanismo que desafíe dicha exclusión y
abiertamente discuta como prevenir esta exclusión.
Promover la necesidad de entrenamiento en el lugar
de trabajo para superar sesgos inconscientes en
contra de las mujeres en esta industria.
Colectivamente, el objetivo de los profesionales de
la seguridad cibernética es ganar la guerra contra
sus atacantes en seguridad cibernética. Permitir
que las mujeres entren en la arena y saber que la
seguridad cibernética es su batalla, también. Las
mujeres en el campo de batalla de la seguridad
cibernética son un activo.
Agradecimientos
El autor quisiera agradecer a Tyson Macaulay,
estratega en jefe de seguridad y vicepresidente de
servicios de seguridad en Fortinet, por muchos años
de enseñanza, guía y sabiduría compartida.
Nota del autor
Las opiniones expresadas en este artículo son del
autor y no necesariamente las de su empleador.
Notas Finales
1 International Labour Organization, “Women
at Work: Trends 2016,” International Labour
Office, Geneva, 2016, www.ilo.org/wcmsp5/
groups/public/---dgreports/---dcomm/---publ/
documents/publication/wcms_457317.pdf
40 ISACA JOURNAL VOL 5
2 Woetzel, J.; A. Madgavkar; K. Ellingrud;
E. Labaye; S. Devillard; E. Kutcher; J. Manyika;
R. Dobbs; M. Krishnan; “The Power of Parity:
How Advancing Women’s Equality Can Add
$12 Trillion to Global Growth,” McKinsey Global
Institute, McKinsey & Company, September
2015, www.mckinsey.com/global-themes/
employment-and-growth/how-advancing-
womens-equality-can-add-12-trillion-to-
global-growth
3 Seliger, S.; S. L. Shames; The White House
Project Report: Benchmarking Women’s
Leadership, White House Project, USA, 2009
4 Haring, E. L.; “Women in Battle: What Women
Bring to the Fight,” Parameters, vol. 43, iss. 2,
2013, p. 27
5 Ibid.
6 Frost & Sullivan, “Agents of Change: Women
in the Information Security Profession, The
(ISC)2 Global Information Security Workforce
Subreport,” www.isc2cares.org/uploadedFiles/
wwwisc2caresorg/Content/Women-in-the-
Information-Security-Profession-GISWS-
Subreport.pdf
7 Palo Alto Networks, Inc.; “What is Cyber
Security,” 2016, www.paloaltonetworks.com/
documentation/glossary/what-is-cyber-security
8 Kabanenko, I.; The Importance of Effective
Utilization of Women at Arms, Naval
Postgraduate School, USA, March 2015
9 Online Highways LLC, “Rosie the Riveter,”
u-s-history.com, www.u-s-history.com/pages/
h1656.html.
10 Rayman, N.; “Female Chess Legend: ‘We
Are Capable of the Same Fight as Any Other
Man’,” TIME, UK, 20 April 2015, http://time.
com/3828676/chess-judit-polgar-nigel-short-
sexism/
11 Op cit, Frost & Sullivan
12 Ibid.
13 D’Hondt, K; Women in Cybersecurity, Harvard
Kennedy School, USA, 2016
14 Op cit, Frost & Sullivan
15 Morbin, T.; “RSA: Women Breaking the Glass
Firewall,” SC Magazine UK, 21 April 2015,
www.scmagazineuk.com/rsa-women-breaking-
the-glass-firewall/article/410089/
16 Sethi, R.; “Managing Security Requirements in
Agile Projects,” InfoQ, 4 June 2012,
https://www.infoq.com/articles/managing-
security-requirements-in-agile-projects
17 Natural Sciences and Engineering Research
Council of Canada, “Women in Science and
Engineering in Canada,” November 2010,
http://publications.gc.ca/collections/
collection_2012/rsgc-serc/NS3-46-2010-eng.pdf
artículo
artículo Planificación de pruebas de
seguridad de la información—
un enfoque práctico
Una vez que la aprobación para llevar a cabo una
auditoría de seguridad de la información y, muy
probablemente, una prueba de penetración (pen-
test) de las redes y sistemas de una organización
ha sido obtenido, entonces, ¿qué? ¿Por dónde
empezar? Planearlo requiere una gran cantidad de
trabajo y consideración y, para los principiantes,
• Evaluación de Seguridad—Este se basa en la
esta tarea puede ser bastante intimidante. La mala
planificación puede tener graves consecuencias
para la red, provocando la interrupción del negocio
no deseado y, en el peor de los casos, un daño
permanente. Dependiendo del apetito de riesgo de
la organización, el alcance de la prueba podría ser
drásticamente diferente.
• Prueba de Penetración—Esto sucede un paso
Lo primero que hay que entender es que la auditoría
de seguridad de la información no es una talla
única para todo tipo de contrato. Es razonable
empezar poco a poco y así progresivamente
pasar a compromisos más complejos. También
es importante señalar que las diferentes redes y
aplicaciones pueden progresar en diferentes etapas.
Por ejemplo, si una organización tiene un sistema
de supervisión de control y adquisición de datos
(SCADA) que nunca se ha probado, ni escaneado
para vulnerabilidades, uno podría querer no considerar
partir las pruebas de seguridad de la información
mediante la implementación de una prueba de
penetración completa. Sería prudente comenzar
con una evaluación de vulnerabilidades para probar
las aguas y utilizar los resultados para endurecer el
sistema para una futura prueba de penetración.
El modelo de la figura 1 propone una guía de
madurez de las actividades de prueba mediante
la correlación de diferentes combinaciones de las
“reglas de contrato”, que se tratarán en detalle
en este artículo, con la tolerancia al riesgo. Estas
combinaciones predeterminadas se pueden utilizar
como punto de partida.
Antes de considerar las reglas del contrato, es
importante conocer los tipos de pruebas de
seguridad de la información:
• Escaneo de Vulnerabilidades—Esta exploración
examina la seguridad de los computadores
individuales, los dispositivos de la red o
aplicaciones para vulnerabilidades conocidas.
Las vulnerabilidades son identificadas mediante
la ejecución de un escáner, sniffers, la revisión
¿Tienes algo
de configuraciones, etc. Las vulnerabilidades que comentar
identificadas no son explotadas. Esta prueba sobre este
tiende a ser menos perjudicial y también menos artículo?
costosa cuando es externalizado. Visita las páginas del
Journal en el sitio web
de ISACA (www.isaca.
evaluación de la vulnerabilidad mediante la adición
org/journal), encuentra
de verificación manual de los controles para
el artículo y da click
confirmar la exposición mediante la revisión de en el link Comments
ajustes, políticas y procedimientos. Eso tiene una para compartir tus
cobertura más amplia. Evaluación de medidas de pensamientos.
seguridad físicas serían cubiertos aquí.
por delante de una evaluación de vulnerabilidad.
Se aprovecha de vulnerabilidades conocidas
y desconocidas (por ejemplo, ataque de día
cero). También hace uso de ingeniería social
para la explotación del componente humano
de la seguridad cibernética. Tenga en cuenta
que la evaluación de vulnerabilidad se incluye
en la prueba de penetración. La evaluación
de vulnerabilidad es el punto de partida para
buscar vulnerabilidades. Se llama la fase de
Karina Korpela, CISA, CRISC, CISM, CISSP, PMP
Es la directora de auditoría de TI en AltaLink, una compañía de energía
Hathaway Berkshire y Alberta, el proveedor de transmisión más grande
de Canadá. Korpela tiene más de 15 años de experiencia internacional
en auditorías de TI, evaluaciones de seguridad cibernética, realización de
análisis de datos y desarrollo de aplicaciones de monitoreo de controles
continuos para muchos diferentes procesos de negocio. Ella comenzó
su carrera en Coopers & Lybrand como administrador del sistema, y
que más tarde fue invitada a unirse a su grupo Auditoría de Asistencia
Informática (CAAG) como auditor de TI. Ella puede ser contactada en
karina.korpela@altalink.ca.
Paul Weatherhead, CISSP
Es el vicepresidente y director de tecnología de Grupo Límite Digital,
una empresa de seguridad informática que atiende a clientes en toda
América del Norte. A menudo es llamado a asesorar a clientes de
América del Norte en los servicios financieros, la aplicación de la ley, el
gobierno municipal y provincial, los servicios públicos, y de los servicios
profesionales en las investigaciones de intrusión de seguridad de TI
corporativa y la red. Durante los últimos 17 años, Weatherhead se ha
centrado en la seguridad de redes y consultoría de gestión de amenazas,
después de haber realizado más de 400 evaluaciones de la seguridad
de TI en Canadá, los Estados Unidos y el Reino Unido. Lleva a cabo
periódicamente cursos de formación de seguridad de la red y ha dado
instructor en la Escuela de Policía de Canada.
ISACA JOURNAL VOL 5 41
 Figura 1—Information Security Testing Maturity Model
Fuente: K. Korpela. Reimpreso con permiso.
descubrimiento (o reconocimiento) del ciclo de
prueba. Los probadores (testers) de penetración
deben ejecutar un escaneo de vulnerabilidades
para identificar los puntos débiles a ser explotado.
Idealmente, las pruebas de
penetración pueden ser ejecutadas
sólo una vez al año, mientras que
las evaluaciones de vulnerabilidad
pueden llevarse a cabo con mayor
frecuencia.
• Ingeniería Social—A pesar que la ingeniería
social es actualmente una técnica de las pruebas
de penetración, muchas empresas, sin embargo,
no están listas para una prueba de penetración y
podrían optar por solo desplegar una campaña de
correo electrónico de suplantación de identidad,
por ejemplo, para verificar cuántos de sus usuarios
son vulnerables a esta técnica y requieren una
formación complementaria. Sus resultados son
reportados, pero la información recopilada nunca
es utilizada para penetrar la red.
Una evaluación no es mejor que una prueba de
penetración o vice versa. Estas proporcionan
resultados y valores diferentes. Su aplicabilidad
42 ISACA JOURNAL VOL 5
dependerá de la tolerancia al riesgo, la sensibilidad
y madurez de los sistemas de seguridad de la
infraestructura. Pero, idealmente, las pruebas de
penetración pueden ser ejecutadas sólo una vez al
año, mientras que las evaluaciones de vulnerabilidad
pueden llevarse a cabo con mayor frecuencia.
Ambos el análisis de vulnerabilidades y pruebas
de penetración, se pueden realizar en los sistemas
internos y externos y dispositivos de red. Ambos
pueden ser de alcance general o centrado en
áreas específicas. La figura 2 muestra las áreas de
enfoque y su aplicabilidad.
Reglas del contrato
Estas reglas deben ser considerados como las
perillas de ajuste del sonido en un sistema de cine
en casa. Una combinación podría ser mejor para una
habitación más pequeña que está observando TV por
cable, mientras que otra combinación podría ser mejor
para una habitación más grande donde se reproduce
un DVD. Una vez que estas reglas son entendidas, se
hace más fácil para decidir los objetivos y el alcance
de la prueba.
Un conjunto diferente de combinaciones se puede
aplicar a cada sistema dentro del alcance. En una red
muy sensible, uno se puede realizar solo un escaneo
de vulnerabilidades y en otras redes, más robustos, se
podría ejecutar una prueba más real de penetración.
O bien, el sonido se puede ajustar de según se van
ejecutando a las pruebas. Por ejemplo, cuando la
prueba no tiene éxito en la penetración de la primera
línea de defensa, la prueba se puede considerar
 Figura 2—Areas de Enfoque
Análisis de Evaluación de Pruebas de Ingeniería
Areas de Enfoque/Tipos Vulnerabilidades Seguridad Penetración Social
Enrutadores y conmutadores I I I -
Cortafuegos I I I I
Sistema deteción de intrusos(IDS); sistema prevención I I I I
de intrusos (IPS)
Redes inalámbricas I I I -
Denegación de servicios (DoS) O O O -
Descifrado de contraseñas - O I -
Ingeniería social - O I I
Dispositivos móviles robados - I I -
Aplicación I I I -
Físico I I I I
Base de datos I I I -
Protocolo de Voz sobre Internet (VoIP) O I I -
Red virtual privada (VPN) I I I -
Seguridad de correos I I I I
Parches de seguridad I I I -
Fuga de datos - I I I
Telecomunicación y comunicación de banda ancha I I I -
I=Icluída O=Opcional - = Generalmente no incluido
Fuente: K.Korpela y P. Weatherhead. Reimpreso con permiso.

completada o información adicional, o aún el acceso,
se puede proveer para que el probador pueda
prescindir de ella y reiniciar la prueba desde ahí. De
esta manera, las vulnerabilidades adicionales pueden
ser identificadas en caso que un atacante futuro
pudiese violar el primer nivel de defensa.
La combinación elegida depende de la tolerancia al
riesgo y la madurez de los procesos de seguridad
cibernética de una empresa. Sin embargo, estas
reglas permiten flexibilidad para ajustar el plan de
pruebas de acuerdo con los sistemas y redes dentro
del alcance.
defensa? ¿Cómo responderían los sistemas internos?
La cita de Andy Grove en la complacencia es muy
aplicable a la seguridad de la información: “El éxito
alimenta la complacencia. La complacencia engendra
fracaso. Sólo los paranoicos sobreviven”1.
Es esencial aplicar un enfoque cíclico a las pruebas
de seguridad de la información como se sugiere en
la figura 3.
Figura 3—Testing Cycle

Es importante tener en cuenta que el siempre mundo

evolucionando de la seguridad de la información,
es el alcanzar el nivel de madurez más alto y, como
consecuencia, caer en la autocomplacencia puede ser
peligroso.

A pesar de que se requiere un mayor nivel de madurez

para realizar una prueba más realista, este viene
con un precio ya que puede dar una falsa sensación
de seguridad. Una prueba de caja negra completa
permite al probador evaluar sólo la primera línea en
la defensa en el momento de la prueba. ¿Pero qué
pasa si ocurre un ataque de día cero que explota
Fuente: K. Korpela. Reimpreso con permiso.
vulnerabilidades detrás de la primera línea de

ISACA JOURNAL VOL 5 43

 Estrategia: Interna vs. externa
La estrategia determina si la prueba debe ser
realizada desde fuera de la red como de la Internet,
o desde dentro de la red o ambas.
• Externa—Esta es, quizás, la forma más
ampliamente usada de prueba de penetración.
Se dirige a la capacidad de un atacante remoto
para llegar a la red interna. El objetivo de la prueba
de penetración es a servidores específicos y a
las “joyas de la corona” dentro de la red interna
explotando servidores expuestos externamente,
clientes y personas.
No anunciar la prueba de
penetración ayuda la organización
para comprobar las amenazas de
seguridad que puedan surgir debido
a errores humanos y la ignorancia.
• Interna—Contrariamente a lo que piensa
la administración que es esto, no es una
estrategia de trabajo aplicable a la evaluación
de vulnerabilidades solamente. Las pruebas de
penetración se pueden ejecutar internamente
cuando el objetivo es simular lo que sucedería
si el propio empleado de una empresa está
intentado llevar a cabo un ataque desde dentro o
si un atacante logró obtener acceso a una red. El
objetivo es típicamente el mismo que la prueba de
penetración externa, pero la diferencia principal
es el “atacante” o bien tiene algún tipo de acceso
autorizado o está empezando desde un punto
dentro de la red interna. Las pruebas internas
pueden ayudar a las empresas a identificar
debilidades en sus líneas de segunda o tercera
defensa, considerando que un ataque interno
pasará por alto las salvaguardas del perímetro.
Las pruebas internas pueden responder preguntas
tales como, “¿Qué tan bien esta segregada la
red?” “¿Es la gestión de parches efectiva?” Si el
atacante está en un segmento de red, las pruebas
internas pueden determinar si él/ella puede ver los
otros segmentos, lo que él/ella puede ver en esos
otros segmentos, y cuáles son las actividades que
él/ella puede llevar a cabo.
44 ISACA JOURNAL VOL 5
Anuncio: Encubierto vs. no
encubierto
Esta sección de las reglas del contrato se utiliza
para documentar si se darán a conocer las pruebas
o no.
• No encubierto—Estas pruebas de penetración
se llevan a cabo con el conocimiento y el
consentimiento del personal de TI y, por supuesto
de la administración superior. La siguiente decisión
es la posibilidad de defender la red contra los
probadores. Esta opción, también conocido como
el enfoque del equipo azul vs. el equipo rojo, se
puede terminar la prueba si el equipo defensor
puede simplemente apagar la red una vez que
se ha detectado a los probadores. En orden
para maximizar la prueba de penetración, se
recomienda que se den instrucciones específicas
para no realizar ninguna acción para detener
los probadores mientras se efectúa la prueba
de penetración en el momento y la duración
acordado. Esto puede ser una gran oportunidad
para que el equipo defensor pueda aprender
la forma de pensar de los piratas informáticos
monitoreando el ataque y documentar que
sistemas y sensores activan alarmas durante el
ejercicio.
• Encubierto—Esta opción también se conoce
como el Equipo Rojo, e implica la realización de
una prueba de penetración sin el conocimiento del
personal de TI, pero con el consentimiento de la
administración superior. No anunciar la prueba de
penetración ayuda la organización para comprobar
las amenazas de seguridad que puedan surgir
debido a errores humanos y la ignorancia.
También examina la agilidad de la infraestructura
de seguridad y la capacidad de respuesta del
personal de TI.
Tipo: Gris vs. blanca vs. caja negra
Las organizaciones deben decidir el compartir
o no información sobre el sistema y red con
la organización evaluando (probadores). Esas
decisiones son tipificadas como:
• Caja Negra—Ninguna información es compartida
con el probador. Esto simula un ataque externo
donde los probadores utilizaran más tiempo en
la fase de reconocimiento y, debido a eso, tomas
más tiempo y cuesta más.
• Caja Gris—Cierta información es entregada al
probador—de la cual los hackers podrían, tal vez
obtener al utilizar herramientas de reconocimiento
o después de obtener acceso a la red de área
local (LANs). Esto disminuye el tiempo ocupado
por los probadores y, por lo tanto, también costos.
La información entregada no compromete la
validez de la prueba de penetración Ejemplos de
tales informaciones sería una lista de servidores
fuera del alcance o una versión más simple de la
topología de la red.
• Caja Blanca—Toda información que
los probadores necesiten para explotar
vulnerabilidades es entregada. Esta opción es
preferible cuando:
- La tarea de definir el alcance se les deja a los
probadores a determinar
- Una auditoria completa de seguridad se está
ejecutando
- Organizaciones quieren simular un ataque desde
una amenaza interna, como ser un empleado de
ti descontento el cual ya tendría acceso a cierta
información
No existe un tipo correcto o errado, y todas
las opciones se pueden efectuar con o sin el
conocimiento del personal de TI. Caja negra ofrece
Figura 4— NDT vs. Técnicas DT
Técnicas No Destructivas (NDT)
• Investigación pasiva, incluyendo cuentas medios sociales de
los empleados
• Suplantación de identidad y URL
• Ingeniería social en el lugar físico
• Ingeniería social lógica/remota
• Lectura de correos corporativos
• Mapeo de redes y sistema de huellas digitales
• Identificador de ilamada (ID) y suplantación de direcciones de
correo
• Espionaje en la red
• Análisis de vulnerabilidades*
• Herramientas de monitoreo de redes
• Herramientas de conexión
• Herramientas de detección en modo promiscuo
• Herramientas de Criptografía
• Herramientas de administrador de dominio
• Suplantación de IP
• Escaneo de puertos*
• Herramientas de cortafuego
• Ataque de hombre en medio
• Manipulación de archivos
• Envenamiento de archivos compartidos
• Investigación de antecedentes personales
• Análisis de escenario
* Vulnerabilidades y escaneo de puertos son por naturaleza no destructivos si son configurados apropiadamente.
Fuente: K. Korpela y P. Weatherhead. Reimpreso con permiso.
una prueba más realística desde la perspectiva
de un hacker externo, pero la prueba caja blanca
tiene el potencial de ser más devastadora porque
los probadores tendrán el conocimiento de lo
que es importante dentro de la red y donde están
localizados—algo que los atacantes externos
usualmente desconocen desde un inicio. Un enfoque
de un ataque interno no siempre va requerir un tipo de
prueba de caja blanca. Por ejemplo, si el objetivo es
probar lo que un hacker podría hacer si él / ellas solo
ingresaran a las oficinas de la compañía y conectaran
un computador, entonces una estrategia interna de
prueba con un tipo de prueba de caja negra podría ser
seleccionada.
Técnica: No destructiva vs.
destructiva
Es importante informar a los probadores que
técnica será permitida durante el compromiso.
Cuando métodos no destructivos (NDT) son
seleccionados, probadores pondrá sus herramientas
para evitar causar una negación de servicio (DoS),
por ejemplo, o cualquier otro ataque que pudiese
interrumpir las operaciones normales del negocio.
NDT provee una prueba de concepto, pero no lo
demuestra. Figura 4 lista técnicas comúnmente
Técnicas potencialemnte Destructivas/Disruptivas
• Inundación ICMP (ataque pequeño, inundación ping y ping de
la muerte)
• Lágrima
• Inundación a nivel de aplicación distribuido, reflejado,
degradación del servicio
• Denegación de servicio no intencional Nivel II
• Denegación de servicio ciego
• Manipulación de registros del sistema con la intención de
borrar o disimular registros
• Ataques de denegación de servicios
• Desbordamiento de búfer
• Reinstalación forzada y reinicio
• Ataque de fuerz bruta
• Inyección de SQL
ISACA JOURNAL VOL 5 45
 utilizadas. Estas técnicas deben ser discutidas entre herramientas comerciales y de código abierto.
¿Disfruto este con los probadores anticipadamente cuando Un ejemplo seria el desarrollo de una herramienta
la organización notifique a los probadores que para escanear la red sin bloquear cuentas SQL
artículo? tipo de pruebas pueden ser utilizadas durante el (Structured Query Language) lo cual puede suceder
compromiso. Independientemente de la técnica al utilizar un scanner comercial.
• Lea más acerca,
seleccionada, es recomendable de explícitamente
discute y colabora
definir que herramientas y técnicas serán permitidas El riesgo de que estas herramientas interrumpan el
en la gestión de
y cuales no serán permitidas. Por ejemplo, hay negocio o causen la propagación de malware puede
seguridad de
ataques y herramientas que pueden ser destructivas ser controlado por:
la información
por naturaleza, pero pueden ser “sintonizadas a
y políticas y • No permitir la instalación en el sistema objetivo
la baja” por el probador para que no causen un
procedimientos
DoS, desbordamiento de memoria o que cualquier • Ejecutar las herramientas contra sistemas no
de seguridad de
sistema se apague. productivos o sistemas de prueba primero
la información
en el Centro de • Cerciorarse que el probador adquirió las
Un punto muy válido a ser considerado es el uso
Conocimiento. herramientas de fuente abierto de sitios de
de herramientas de fuente abierto o desarrollado
www.isaca.org/ confianza y efectuó un Secure Has Algorith 2
internamente por el probador para la evaluación de
knowledgecenter (SHA2) checksum para verificar integridad
vulnerabilidades y pruebas de penetración. Ambos
tipos de software vienen con riesgos y beneficios. • Cerciorarse que el probador ha utilizado un marco
Fuente abierto significa que el código fuente está de desarrollo de software que pueda incluir una
disponible a todos los potenciales usuarios, y son revisión por pares, para software interno
gratis para utilizar, modificar y redistribuir el código
• Cerciorarse que el probador ha parcheado y
fuente. Considerando que el código fuente es
actualizado el software apropiadamente
accesible, probadores usualmente pueden retocar el
software, conectar exploits y remover características
Y para técnicas de ingeniería social como es el
innecesarias. Esto puede mejorar eficiencia,
identificador de llamadas y spoofing de direcciones
velocidad y seguridad. El software de fuente abierto
de correo electrónico, uno puede escoger que se
comúnmente utilizado para pruebas de seguridad de
permita su implementación pasivamente, eso es,
la información es Linux Backtrack and kali, el cual
solo con el propósito de recolectar información
viene con una gran comunidad de soporte y, por lo
durante la fase de reconocimiento. Otras
tanto, desarrollan mejoras y adiciones versátiles.
consideraciones incluyen si los probadores serna
permitidos ingresar a las oficinas de la organización,
ingresar a las casas de los empleados y/o hackear
las cuentas de redes sociales de los empleados.
Es recomendable
Estas herramientas y técnicas pueden ser
de explícitamente identificadas como permitidas solo con
definir que consentimiento previo y pueden ser manejadas en
una base de caso por caso.
herramientas y
técnicas serán Declaración de trabajo

permitidas y Además de asignar profesionales calificados y con

experiencia para efectuar la prueba y conociendo
cuales no serán las reglas del compromiso, también es esencial que
permitidas. un plan de pruebas sea desarrollado para establecer
parámetros como es ser los objetivos, alcance,
supuestos y riesgo.

Utilizando un modelo como se muestra en la

En cuanto a las herramientas desarrolladas figura 5, está la provee al probador con claras
internamente, es muy probable que la mayoría expectaciones para la prueba y transparencia y
de los probadores experimentados desarrollen delinea el plan en una forma no técnica para que la
herramientas ellos mismos para cubrir la brecha alta gerencia la apruebe.

46 ISACA JOURNAL VOL 5


Figura 5—Pen-test Plan Template
Fuente: K. Korpela and P. Weatherhead. Reimpreso con permiso.
Antecedentes
Al desarrollar la prueba, es crítico mantener en
mente que va requerir la aprobación de la alta
gerencia (es preferible los ejecutivos senior) y, por
lo tanto, los antecedentes debiesen proveerles
con contexto detallando la necesidad de efectuar
este tipo de trabajo, resumen de pruebas previas,
razón fundamental para el objetivo y el alcance
seleccionado, cambios efectuado al entorno de TI,
nuevas amenazas, y así. Aquí es donde la justificación
para utilizar una organización de evaluación de
terceros puede ser previsto.
Metas
¿Cuál será el área de enfoque (referirse a figura 2)
para la prueba? O, ¿será general? ¿Existe una
amenaza particular contra la cual la empresa
necesita probar sus controles? Por ejemplo,
una organización puede escoger probar contra
una vulnerabilidad particular como ser el bug
Heartbleed, o puede escoger probar si es posible
que hackers o un empleado disgustado obtenga
acceso no autorizado al sistema ERP (Planificación
de Recursos Empresariales) y transferir dinero en
forma electrónica a una cuenta bancaria offshore.
Pero para la mayoría de las compañías, buenas
metas iniciales pueden simplemente ser: ¿Esta
la organización segura? ¿Está la organización en
cumplimiento?
Para asegurar que las pruebas agregan valor a la
organización, es crucial identificar y entender las
áreas de riesgo y/o el link potencial más débil en
defenderse de los ciber ataques. Los marcos de
evaluación de riesgos pueden ser útiles en identificar
las metas para las pruebas. Organizaciones
que han efectuado un análisis de impacto del
negocio podrían utilizar esto como input para
identificar áreas específicas de riesgos de negocio
y ajustar la prueba de acuerdo. Por ejemplo, una
organización que identifica datos de investigación
y desarrollo como sus activos más importantes,
podrían desarrollar un plan de pruebas que incluya
intenciones de obtener acceso no autorizado a los
datos. Organizaciones pueden desear involucrar a
probadores de terceros en esta fase, ya que ellos
pueden sugerir tendencias de la industria actuales
Marcos de evaluación de riesgos
puede ser útil en la identificación
de los objetivos de la prueba.
Objetivos
Es aconsejable proveerles a los probadores con
objetivos específicos. ¿Qué deben hacer los
probadores una vez obtengan acceso a la red?
¿Debiesen dejar migajas? ¿Debiesen los probadores
encontrar una aplicación específica y crearle cuentas
de usuarios? Esos objetivos se tornarán claros y fácil
definir según la organización se familiarice con sus
sistemas y ciber riesgos. Un buen lugar para empezar
es definir objetivos relacionados con la primera y/o
segunda línea de defensa como ser los cortafuegos
ISACA JOURNAL VOL 5 47
 Alcance/fuera de alcance Ayuda tener un diagrama no técnico que muestra
la red en el alcance y los puntos de inicio de la
El criterio de las pruebas puede ser a gran escala prueba (puertas) (figura 6). Esto le proveerá a la alta
para la red entera y los sistemas o definida más gerencia con contexto adicional y un entendimiento
estrechamente de dispositivos específicos como visual del alcance.
servidores web, ruteadores, SCADA, cortafuegos,
servidores DNS, servidores de correo electrónico, y Factores de éxito
servidores de protocolo de transferencia de archivos
(FTP) como se lista en figura 2. Para determinar la ¿Cuándo se considerará la prueba un éxito? ¿Es
extensión a lo cual la prueba debe efectuarse, estas cuando el probador ingresa a la red o cuando una
preguntas se debiesen hacer: violación no es posible? ¿Es suficiente el penetrar
la red como prueba suficiente de la necesidad de
• ¿Que será probado?
endurecer los controles?
• ¿En caso de solo ingeniería social, cuales
empleados están en el alcance? Las mediciones definidas en la sección de metas de
este artículo pueden repetirse aquí para determinar,
• ¿Desde dónde se va efectuar la prueba?
en detalle, que actividades deben efectuarse por la
• ¿Cuándo no debiese efectuarse la prueba? organización evaluadora o aun por el personal de TI
para considerar la prueba exitosa.
• ¿Están los sistemas productivos fuera del
alcance?
Programar
• ¿Que hosts están fuera del alcance/restringidos?
Si el tema de tiempos no se resuelve apropiadamente
• ¿Por quién será probado? puede ser catastrófico para una organización. Es
fácil de imaginar el escandalo si una prueba de DoS
Figura 6—Ejemplo de Diagrama fue efectuada en una universidad el día en que los
No Técnico de Red estudiantes están programados para tomar sus
Puerta 1
exámenes en línea. Esto es un ejemplo de una pobre
En Alcance Puerta 2
programación cómo también una mala comunicación
Internet Internet
www www entre el probador de penetración y la universidad. Una
buena planeación y preparación ayudara evitar dichas
PRINCIPAL
DMZ
malas prácticas.
DMZ

RSA
Una prueba de penetración no dura para siempre y,
por lo tanto, es importante ser explicito en el plan del
RED PRINCIPAL RED DE RESPALDO (DRP)
Servidor A Consola periodo finito para la prueba. El plan debe también
Servidor B
solicitarle a los probadores que notifiquen a las partes
interesadas de la organización cuando ha iniciado las
pruebas según el día acordado para comenzar.
WEB
DMZ
Contactos
Una lista de contactos debiese desarrollarse para
identificar todas las personas clave (incluyendo los
Fuente: K. Korpela and P. Weatherhead. Reimpreso con permiso.
nombres, roles, direcciones de correo electrónico y
números de teléfono) participando en la planeación,
La mayoría de las organizaciones de evaluación coordinación y ejecución de las pruebas. Aquellos a
utilizaran el número de hosts, usuarios, IPs externos los cuales hay que contactarlos primero en caso de
y ubicaciones del alcance para calcular el costo del preocupaciones, cambios y emergencias debiesen
compromiso. ser definidos claramente. La lista no debiese
incluir personal que no necesita conocer acerca

48 ISACA JOURNAL VOL 5

de las pruebas; el incluirlos puede confundir a la
organización evaluadora.
Riesgo y contingencias
Todos los posibles factores de riesgo y su
probabilidad de ocurrir durante el periodo de
pruebas deben ser especificados. Un ejemplo de un
riesgo puede ser que las actividades de las pruebas
pueden inadvertidamente apagar la red causando
interrupción de las funcionalidades del negocio. Una
vez que los factores de riesgo han sido listados,
una tabla puede prepararse con los controles
preventivos y estrategias de mitigación en caso se
materialice el riesgo (figura 7).
Entregables
Es importante proveer contexto y antecedentes
a los resultados. Por ejemplo, si el número de
vulnerabilidades reportado se ha duplicado en
comparación al año pasado, es importante incluir
el número total de los puntos escaneado a los
resultados.
El reportar a la gerencia debe ser parte del
compromiso de la prueba de penetración. Los
probadores usualmente juntan un detalle y una
presentación muy técnica resumiendo los resultados
de la prueba. Las mejores prácticas es de tener
una presentación técnica detallada para el equipo
de TI (Director de TI [CIO] y gerentes clave) y una
presentación corta separada para los ejecutivos
que resuman las pruebas y se enfoquen en impacto
de riesgo del negocio y planes de mitigación. Las
mejores prácticas es de tener un resumen ejecutivo
creado por auditoria interna.
Figura 7— Ejemplo de un Riesgo y Plan de Contingencia
Riesgo Tolerancia al Riesgo
Las actividades de Medio
prueba sin darse cuenta
pueden apagar la red
causando la interrupción
de las funciones diarias
del negocio.
Fuente: K. Korpela y P. Weatherhead. Reimpreso con permiso.
Ejemplos de entregables a ser considerados
incluyen:
• UN reporte técnico detallado sobre las
vulnerabilidades del sistema explicado de una
manera que sea comprendido por la alta gerencia.
El reporte también debiese incluir, pero no esta
limitado a:
– Resultados de la prueba en términos técnicos
de riesgos
– Indicación de las habilidades necesarias
para explotar vulnerabilidades (script kiddies,
desarrolladores de virus/gusanos, investigadores
de seguridad, hackers profesionales o
hacktivistas)
– Explicación de falsos positivos
– Recomendaciones a corto plazo (tácticas)
– Causa raíz, recomendaciones a largo plazo
(estratégico)
– Planes de acción de mejoras de seguridad
• Un reporte listando los controles de ciberseguridad
(procesos y/o tecnologías) actualmente
implementadas que estén funcionando
efectivamente y su categoría contra las mejores
practicas de la industria (débil, moderada, fuerte)
• Un reporte mostrando los métodos de ingeniería
social utilizada y el factor de éxito en la compañía
siendo evaluada
Aprobaciones
El obtener consentimiento de la alta gerencia
antes de conducir las pruebas de penetración
es vital. Dependiendo de requisitos legales de la
organización, un formulario de autorización por
separado puede ser requerido (además de las reglas
del compromiso) que establezca que la organización
evaluando no será penalizada ni penalmente
Controles Preventivos Probabilidad (%) Estrategia de Mitigación Riesgo Residual
Los ataques podrían apagar 10% Invocar el plan de Bajo
la red el anfitrión podría continuidad de negocios.
ser sensible a la lógica de
templado y sea rechazado
como fuera de alcance.
ISACA JOURNAL VOL 5 49
 responsable por interrupciones no intencionadas y Referencias
perdidas o daños a los equipos.
EC-Council ECSA, LPT Courseware Manual, v4, vol. 2
Otras consideraciones Scarfone, K.; M. Souppaya; A. Cody; A. Orebaugh;
Technical Guide to Information Security Testing and
También se recomienda que los planes
Assessment, National Institute of Standards and
explícitamente expongan detalles relacionados con
Technology, NIST Special Publication 800-115, USA,
los siguientes temas:
September 2008, http://csrc.nist.gov/publications/
• Alcance—Empleados/ubicaciones fuera del nistpubs/800-115/SP800-115.pdf
alcance para las actividades de ingeniería social
Tipton, H. F.; M., Krause; Information Security
• Sanitización del Reporte—Existe un riesgo en la Management Handbook, 6th Edition, CRC Press,
potencial circulación de una versión no sanitizada USA, 2007
del reporte que incluya los IPs de la compañía u
Chan Tuck Wai, “Conducting a Penetration Test on
otras informaciones importantes. Organizaciones
an Organization,” SANS Institute InfoSec Reading
pueden considerar tener dos versiones del
Room, 2002, https://www.sans.org/reading-room/
reporte para diferentes audiencias y métodos de
whitepapers/auditing/conducting-penetration-test-
distribución.
organization-67
• Método de Distribución—Organizaciones
SANS Institute, “Guidelines for Developing
pueden considerar utilizar solo métodos seguros
Penetration Rules of Behavior,” InfoSec Reading
para comunicar planes no sanitizados u otras
Room, 2001, https://www.sans.org/reading-room/
informaciones suministradas sobre los sistemas y
whitepapers/testing/guidelines-developing-
redes.
penetration-rules-behavior-259

SANS Institute, “Security Concerns in Using Open

Source Software for Enterprise Requirements,”
Es critico proveer InfoSec Reading Room, 2009, https://www.
sans.org/reading-room/whitepapers/awareness/
el contexto y security-concerns-open-source-software-enterprise-
antecedentes a los requirements-1305

resultados. Notas Finales

1  Grove, A. S.; Only the Paranoid Survive: How
to Exploit the Crisis Points That Challenge Every
• Confidencialidad—La organización evaluadora Company, Crown Business, USA, 1999
debe hacérsele entender que cualquier
información o datos obtenidos durante la prueba
de penetración será tratada como confidencial
y tendrá que ser devuelta o destruida en forma
adecuada después de la prueba.

50 ISACA JOURNAL VOL 5

artículo
artículo Una perspectiva crítica de los
procesos de selección de controles

Los controles se han convertido en una parte
esencial de todos los entornos de TI. A medida que
las empresas se vuelven más dependientes de la
tecnología moderna, ellas también deben hacer
frente a más vulnerabilidades, las que deben ser
manejadas de manera eficiente. Sin embargo, la
selección de un control adecuada puede ser un reto.
Los diversos atributos y tanta información preliminar
como sea posible debiese ser considerada en el
proceso de selección. Un proceso sistemático de
revisión y técnicas de toma de decisiones ayudan a
evitar verse forzado a dar justificaciones inoportunas
basado en decisiones precipitadas y mala
preparación. Las partes interesadas debiesen estar
conscientes de los posibles problemas que pueden
ocurrir durante el proceso de selección, incluyendo
deficiencias en las técnicas de toma de decisiones
empleadas. El proceso de selección puede también
ser afectado por problemas imprevistos de costo,
tiempo y calidad.
Durante la preparación, ejecución y control de
calidad del proceso de selección de controles, se
debe utilizar una perspectiva crítica para señalar
posibles problemas.
rápido debido a amenazas severas, ellos pueden no
disponer de la oportunidad para consultar con los ¿Tienes algo
expertos apropiados previo a realizar la decisión de que comentar
invertir. En casos como este, las malas decisiones sobre este
son muy comunes. Posteriormente, los gastos son artículo?
altos sin generar el incremento de la seguridad Visita las páginas del
esperada. Journal en el sitio web
de ISACA (www.isaca.
La mejor manera de evitar las malas justificaciones, org/journal), encuentra
el artículo y da click
es un proceso de selección de controles bien
en el link Comments
pensado, que involucre a los expertos. Para
para compartir tus
encontrar la protección más apropiada, el pensamientos.
responsable de tomar la decisión debe ser capaz
de evaluar varias medidas de seguridad e identificar
y seleccionar la más adecuada. La selección de
controles se basa en la evaluación de múltiples
atributos cualitativos o cuantitativos. Por lo tanto, un
proceso de selección debe cubrir la comparación
de estos atributos y la evaluación de los controles
existentes. Los atributos se ponderan de manera
que la evaluación de los controles se puede
realizar teniendo en cuenta la situación específica y
características de la empresa.

Motivos
A veces, la selección de controles se basa en
justificaciones erradas. Las causas de estas
justificaciones son a menudo miedo, incertidumbre
y duda. Algunos representantes de productos poco
éticos, pueden incluso aumentar estas condiciones
para hacer crecer sus ventas a través del uso de la
desinformación sutil y subliminal. A menudo se hace
referencia a fuentes neutrales, pero la importancia
de la referencia es enormemente exagerada o es
presentada en el contexto incorrecto. El resultado
final puede ser una inversión costosa e inadecuada,
Stefan Beissel, Ph.D., CISA, CISSP, PMP
y un control por debajo de lo óptimo. Is a senior information security expert who has worked at international
companies in the finance, banking and commerce sectors for nearly 15
Por otra parte, actuar de manera precipitada y la years. He is the author of multiple books and journal articles and has
mala preparación puede llevar a una justificación trained and lectured professionals, undergraduate and graduate students
errada. Si los administradores deben reaccionar on information security and related topics.

ISACA JOURNAL VOL 5 51

 Figura 1—Selection Process
Source: S. Beissel. Reprinted with permission.
Las ventajas de utilizar un proceso estructurado
sobre un proceso no sistemático incluyen los
siguientes:
• El problema a ser resuelto debe ser definido antes
de iniciar la evaluación.
• La identificación y el uso de atributos facilitan la
consideración de diferentes perspectivas dentro
de la evaluación.
• El proceso de selección se organiza a través de
pasos claramente establecidos, y a su vez se
subdivide en subpartes que lo componen.
La manera en que se compone el proceso de
selección de controles, a nivel de detalle, dependerá
de la compañía que desarrolla y utiliza el proceso.
En general, un proceso estructurado incluye la
preparación de la selección, el estrechamiento de
la toma de decisiones y las actividades para el
aseguramiento de la calidad (figura 1).
Cada fase del proceso de selección se puede
describir como sigue:
1. L
 a fase de iniciación debiese estar basada
en una razón sólida para la selección de un
control específico, tomando en consideración
la percepción de las partes interesadas sobre la
seguridad de la información.
52 ISACA JOURNAL VOL 5
2. La fase de patrocinio se utiliza para obtener la
aceptación y el apoyo de la dirección ejecutiva y
para seleccionar un patrocinador apropiado.
3. El primer paso de la toma de decisiones, es
definir el problema que va a ser resuelto por
dicha decisión. Esta etapa apunta a obtener
un entendimiento de aquellos elementos (por
ejemplo, la estrategia, el alcance, los activos,
los riesgos, la protección y los involucrados)
que serán factores importantes en el proceso de
toma de decisiones.
4. Durante la identificación de atributos, el
responsable de tomar la decisión debe
considerar todos los atributos relevantes que
serán utilizados para la evaluación de las
alternativas de controles.
5. Después, el responsable de tomar la decisión
también debe determinar la importancia de
cada atributo mediante la realización de una
evaluación de atributos.
6. La etapa de identificación de alternativas de
controles, es un paso crucial y su resultado
depende de la información que se puede
obtener acerca de las alternativas disponibles,
a través de la investigación de conocimiento en
fuentes externas.
7. La etapa de evaluación de alternativas, es
necesaria para valorar las alternativas respecto
a los atributos pertinentes, para así crear una
clasificación de rangos posterior.
 8. Basándose en la clasificación, la mejor
alternativa (la alternativa con el rango más alto)
puede ser identificada.
9. Documentar el proceso asegura que la toma
de decisiones puede ser entendida por
tercera partes, quienes luego pueden utilizar
la documentación para obtener información
sobre estos y reunir indicadores respecto de la
corrección e integridad de las etapas realizadas.
10. Una segregación en la etapa de aprobación,
sobre todo por la alta dirección, agrega un
control de calidad adicional, a objeto que los
resultados del proceso no sean mal utilizados.
Técnicas de toma de decisiones
Cuando se ve enfrenta la necesidad de seleccionar
entre alternativas de control que poseen múltiples
atributos, las técnicas de toma de decisiones más
comunes son: adición simple de ponderadores
(SAW: Simple additive weighting)1 y el proceso
analítico jerárquico (AHP: Analytic hierarchy
process)2. Ambas técnicas se basan en la misma
secuencia general:
• Definir el problema.
• Identificar y evaluar los atributos.
• Identificar y evaluar las alternativas de control.
• Seleccionar la mejor alternativa.
Las diferencias se encuentran en los cálculos
realizados para las evaluaciones. SAW utiliza
cálculos que se basan en evaluaciones
independientes de cada atributo y alternativas de
controles, mientras que AHP usa comparaciones por
pares de dos atributos o alternativas a la vez. Dado
que estas diferentes técnicas incluyen métodos
de cálculo diferentes, las mismas alternativas de
controles pueden conducir a resultados diferentes,
por ejemplo, una alternativa podría ser la más
adecuada cuando use SAW, pero sólo una segunda
opción cuando se utiliza AHP. La evaluación de
resultados si los puntajes de las alternativas de
controles están cerca el uno al otro puede llevar a
esta situación.
También existen otras técnicas de toma de
decisiones en el campo científico, por ejemplo, el
proceso analítico de red (ANP: Analytic network
process), la técnica de preferencia de orden por la
similitud con solución ideal (TOPSIS: Technique
for order preferance by similarity to ideal solution)
y el análisis envolvente de datos (DEA: Data
envelopment analysis). Sin embargo, SAW y AHP
proporcionan el mejor equilibrio entre una facilidad
de comprensión y aplicación práctica para su uso en
el sector empresarial.
SAW y AHP
proporcionan el
mejor equilibrio
entre una facilidad
de comprensión
y aplicación
práctica para su
uso en el sector
empresarial.
Como la mayoría de las técnicas de toma de
decisiones de múltiples atributos, SAW y AHP también
vienen con desventajas potenciales que deben ser
conocidas y, si es posible, evitar que sean incluidas:
• Las técnicas pueden ser manipuladas de muchas
maneras posibles. Debido a que se utilizan cifras
precisas y métodos de cálculo, la objetividad
puede ser falseada. Debido a la subjetividad
general en la ponderación y evaluación de
los atributos, el resultado puede ser afectado
significativamente por manipulación no detectada.
A pesar de que la subjetividad puede ser reducida
mediante la inclusión de expertos, no puede ser
eliminada. Además, el responsable de la toma de
decisiones tiene libertad de elección con respecto
a la selección de los atributos.
• La adición de las diferentes evaluaciones implica
la independencia de los atributos. Sin embargo,
dependencias entre los atributos, tales como
relaciones de competencia o complementarias, a
menudo no se pueden evitar completamente. Por
ejemplo, para un control, el nivel de protección y
los servicios de soporte de un mismo vendedor,
están a menudo estrechamente relacionados. En
consecuencia, existe el riesgo de que los atributos
con una dependencia fuerte conduzcan sin
intención a una subvaloración o sobrevaloración de
las alternativas de controles.
ISACA JOURNAL VOL 5 53
 • La mencionada adición de las evaluaciones
también conduce a una suerte de sustitución
de las diferentes calificaciones individuales. En
particular, resultados parciales que se derivan de
características muy malas de una alternativa de
control pueden estar sustituidas con diferentes
calificaciones de muy buenas características.
Por lo tanto, los atributos individuales pueden ser
ignorados. Incluso si los atributos se dividen en
atributos de exclusión y de comparación, este
problema se puede eliminar sólo parcialmente. Los
atributos de comparación aún se ven afectados por
una posible sustitución.
• El resultado global puede ser objeto de nivelación.
En este caso, es probable que las debilidades o
puntos fuertes de la mejor alternativa de controles
ya no sean reconocibles en el resultado. Cuantos
más atributos se consideren, lo más probable
es que los resultados estén posicionados en la
región media de la gama de las posibles de las
puntuaciones globales.
• Debido a la evaluación de alternativas de control
con atributos individuales, el problema general
se desglosa en muchos problemas individuales.
Esta descomposición es cuestionable, ya que,
en primer lugar, el problema global ya no es claro
y, en segundo lugar, existe el riesgo de que las
evaluaciones de muchos problemas individuales
conduzcan a una evaluación general indeseable. Si
los atributos están en una relación de competencia
entre sí, la mejora de una evaluación respecto a
un único atributo puede conducir a la evaluación
de otro atributo en competencia con un resultado
inferior. Por ejemplo, la reducción de eventos falsos
positivos en los sistemas de control de acceso
biométrico a menudo conduce a un aumento de los
eventos de falsos negativos.
Además de las desventajas particulares de las
técnicas de toma de decisiones, pueden ocurrir
dificultades generales durante la selección de unos
controles. La empresa puede estar influenciada por el
costo, el tiempo y los aspectos de calidad, mientras
toma la decisión. Por ejemplo, la compañía podría
centrarse en los costos de los controles y descuidar
los costos del proceso de selección de controles.
Varios eventos o actividades podrían ralentizar el
proceso de selección por razones imprevistas y
retrasar los planes de selección. Los errores y la
información que es pasada por alto, pueden causar
problemas de calidad en los resultados de la selección.
54 ISACA JOURNAL VOL 5
Problema de identificación
El resultado del proceso de selección debiese ser
revisado de forma crítica, para encontrar cualquier
indicación que implique problemas potenciales en
el proceso. Sólo los resultados que están libres de
errores y dudas evidentes deben ser aprobados
y utilizados para la adquisición e implantación de
los controles seleccionados. Entre otras cosas, los
siguientes escenarios pueden indicar problemas en
El proceso
de selección
de controles
es crucial y no
debe basarse en
justificaciones
defectuosas.
el proceso de selección:
• La definición del problema, incluyendo los
requerimientos de la estrategia y de protección,
ha cambiado durante el proceso o no fue
suficientemente analizado desde el principio. Por
lo tanto, la alta dirección tiene que asumir que el
resultado no satisface por completo el problema
de fondo.
• Las condiciones internas (por ejemplo, recursos y
horarios) han sido pasados por alto o cambiado
de modo que la solución recomendada en realidad
no sería la mejor solución. Condiciones internas
desfavorables también pueden dar lugar a
importantes problemas en la aplicación.
• Las condiciones externas (por ejemplo, las leyes,
los estándares o las condiciones del mercado)
han cambiado por lo que el proceso inicial de
toma de decisiones ya no es preciso. Algunos
factores ambientales pueden conducir a nuevos
requerimientos en la planificación o posibles
problemas en la adquisición, implementación y
aplicación de los controles.
• El proceso de toma de decisiones fue incorrecto o
 Figura 2—Fraud Triangle
Source: S. Beissel. Reprinted with permission.
incompleto, lo que resulta en errores que pueden
influir de manera significativa los resultados de
la evaluación. Si un error esta relacionado con
un atributo crítico, el ranking de las alternativas,
incluso puede ser alterado. En este caso, la
alternativa seleccionada no sería la mejor
alternativa.
• La documentación del proceso de toma de
decisiones no es suficiente en lo que respecta
al alcance y la calidad. Si la documentación es
insuficiente o faltante, la alta dirección puede
rechazar el resultado del proceso de selección.
• El abuso de poder podría haber influido en el
proceso de toma de decisiones. A menudo, este
abuso puede legalmente ser categorizado como
fraude, el cual es generalmente causado por la
motivación, la justificación y la oportunidad, tal
como se describe en el triángulo del fraude
(figura 2)3. La evaluación de atributos es una de
una serie de actividades que podrían haber sido
explotados con abuso. La alta administración
debiese ser consciente de las debilidades
potenciales o medidas de control faltantes
en el proceso de selección de controles. Las
indicaciones de abuso deben ser tomadas en
serio. Si el abuso parece haber afectado el
resultado, la alta dirección debe rechazarla.
Las indicaciones comunes para el abuso
son discrepancias en los registros, evidencia
en conflicto o falta de ella, y las relaciones
problemáticas o inusuales entre las partes
involucrados4.
Conclusión
Cada compañía está interesada en encontrar
los controles más apropiados para proteger a la
empresa de manera adecuada y costo-efectiva.
Por lo tanto, el proceso de selección de controles
es crucial y no debe basarse en justificaciones
defectuosas. Un proceso estructurado que permite
el manejo de múltiples atributos es preferible a
actividades no sistemáticas.
Este proceso también debe ser apoyado con una
técnica de toma de decisiones que sea manejable y
ofrezca resultados transparentes y comprensibles.
Sin embargo, las desventajas comunes como la
posibilidad de sustitución, nivelación, y sobre o
subvaluación, deben ser considerados. El proceso
de selección en general puede caracterizarse por
varios problemas, los cuales no siempre pueden
evitarse y, por lo tanto, deben ser revisados
permanentemente, sobre todo cuando se verifica
el resultado del proceso. Algunos indicadores de
estos problemas son, entre otras cosas, cambios
importantes en la definición del problema, así
como modificaciones de las condiciones internas
o externas, errores, documentación insuficiente,
y posibles actividades fraudulentas. Sobre todo,
se puede mejorar en gran medida la selección de
controles de una empresa, centrándose no sólo
en la evaluación de las alternativas de controles,
sino también en el examen crítico del proceso de
selección en sí.
Notas Finales
1 Fishburn, P. C.; “Additive Utilities With Incomplete
Product Set: Applications to Priorities and
Assignments,” Operations Research, vol. 15, iss.
3, April 1967, p. 537–542
2 Saaty, T. L.; “How to Make a Decision: The
Analytic Hierarchy Process,” Interfaces, vol. 24,
December 1994, p. 19–43
3 Nimwegen, S.; Prevention and Identification
of Fraud: Possibilities of Internal Corporate
Governance Elements, dissertation, University of
Münster, Westfalen, Germany, 2009
4 American Institute of Certified Public Accountants,
“AU Section 316—Consideration of Fraud in a
Financial Statement Audit,” USA, 2002, www.
aicpa.org/Research/Standards/AuditAttest/
DownloadableDocuments/AU-00316.pdf
ISACA JOURNAL VOL 5 55
 palabras cruzadas
puzzle by Myles Mellor
www.themecrosswords.com

ACROSS 1 2 3 4 5 6 7

1 Primary task of a DBA, 3 words

8 Gains access to 8 9 10 11 12
10 Conforming to a perfect standard
11 Unprocessed, as data 13
13 Voice, as a grievance
14 15 16
14 Elaborate overall plan for the future
16 Half
17 Point on an agenda
18  Rental company caught up in moral issues 17 18 19 20 21
relating to tax withholding
21 Technical department 22 23
24  Relating to favoritism to relatives, especially in
promotions or job placements 24 25
25 Interval in which repeating sequences of
actions occur
26 Weight measure, for short
26 27 28 29 30
27 Indication of damage
29 Not using up-to-date technologies 31
30 Zilch
32 Tools to visually lay out the concepts relating to 32 33 34 35 36 37
a project, negotiation, etc., 2 words
37 Temporarily obtain 38 39 40
38 “Patience ___ virtue” 2 words
41 42 43
39 Boundary
41 Trademark, abbr.
42 “Immorality of ____,” unwillingness to speak up
against unethical actions
43 Time period
15 Promise and then renege, 3 words
19 Between, prefix
DOWN 20 What a hacker often uses to gain access, 2 words
22 Details of a project
1 Tending to control a situation rather than 23 Situation
waiting for something to happen 26 Confine
2 Watching over and directing 28 __ __ rule (usually)
3 Verify 31 Kind of fingerprint
4 Tarnish ethically 33 Doctrine
5 Color 34 1006 in Roman terms
6 In the proper manner 35 Before, prefix
7 Goal to be obtained 36 Transgression
9 Transcendental number 40 Event controller, abbr.
12 
One who alerts on unethical activities within a
company for which the person is working

Answers on page 58

56 ISACA JOURNAL VOL 5

quiz#168
Based on Volume 3, 2016—Data Privacy
Gane—1 Hora de CISA/CISM/CGEIT/CRISC Educación Profesional Contínua (CPE) Credit

VERDADERO O FALSO

CPE
quiz
ARTICULO VANDERPOOL 9 Mientras que otros productos, como los
automóviles, pueden ser probada su calidad por
su propio fabricante o terceros autorizados, no
1 Una característica destacada de los reglamentos
hay ninguna garantía de que cualquier equipo
de protección de datos generales (GDRP)
podría encontrar de manera eficiente todas las
extiende el derecho popular para ser olvidado,
deficiencias en un sistema criptográfico.
una regla activa en la Unión Europea desde el
año 2006, lo que permite a los usuarios exigir Prepared by
la eliminación de sus fotografías, vídeos o
ARTICULO THARAKAN Smita Totade,
información personal de los registros de Internet
Ph.D., CISA, CISM,
encontrados por los motores de búsqueda.
CGEIT, CRISC
10 Mediante el desarrollo y la utilización de un
2 El derecho a saber que ha sido hackeado es
marco de gobierno de seguridad, el CISO puede
un componente popular de la GDPR y exige a
garantizar que las estrategias de seguridad
las organizaciones que informe a una autoridad
de la información están bien alineados con los
central tan pronto como sea posible cualquier
objetivos de negocio y las leyes y regulaciones
violación de datos que representan un riesgo
aplicables.
para los propietarios de datos.
11 El CISO debe recoger información sobre la base
3 Aunque muchos investigadores médicos no
de los indicadores de cumplimiento e informar al
están contentos con los últimos cambios en la
CEO de la eficacia del programa de seguridad
redacción GDPR, no hay actores atrapados en
de la información.
la mira de la GDPR.
12 La externalización de las operaciones de
4 El regulador de cualquier nación puede presentar
seguridad es una buena opción para las
una queja al regulador principal de presencia,
organizaciones de gran tamaño, ya que les
dependiendo del lugar donde el demandante
ayuda a reducir los problemas de mantenimiento
reside y donde se presenta la queja.
de un ambiente siempre que funcione.

ARTICULO STOLBIKOVA Take the quiz online

ARTICULO SERRANO

5 Los estudios muestran que el tiempo de diferentes

13 El análisis de los datos es una herramienta
procesadores llevan a cifrar y/o descifrar los
poderosa, pero la clave para el uso exitoso
datos puede ser 200 veces más lento de ECC
de los datos se basa en la comprensión de
que para una longitud equivalente RSA.
que está buscando o la aplicación de técnicas
6 No sólo escaleras Montgomery tienen la sistemáticas que se puede confiar para
ventaja de proporcionar multiplicación escalar determinar las respuestas.
rápida para ECC, sino que también tienden a
14 En el enfoque de SMART, el primer paso es
comportarse de forma regular, enmascarando el
recoger y gestionar datos y analizarlos, extraer
cómputo contra el tiempo y los ataques de lado
conocimiento con ese análisis, y, finalmente,
de los canales simples.
tomar decisiones basadas en el análisis
7 Los ataques Grover factorizan más fácilmente realizado.
mediante la creación de una superposición
15 Las organizaciones de servicios no financieros
variable en todas las entradas posibles, interferir
no tuvieron en cuenta los requisitos
estados que no son válidos y, en consecuencia,
reglamentarios como un riesgo clave, mientras
la búsqueda de las entradas que satisfacen una
que si lo hicieron las organizaciones financieras.
función dada.
16 Políticas de gobierno de datos, procedimientos
8 ECC será más fácil de romper que los
y controles deben ser implementadas con el
criptosistemas RSA debido a un requisito de
fin de obtener los niveles de calidad de datos
qubits más bajos (en equivalentes de bits
apropiados.
cuánticos tradicional).

ISACA JOURNAL VOL 5 57

 CPE
quiz#167 THE ANSWER FORM
Based on Volume 3, 2016

TRUE OR FALSE
VANDERPOOL ARTICLE THARAKAN ARTICLE Name
PLEASE PRINT OR TYPE
1. 10.
2. 11.
3. Address
12.
4.
SERRANO ARTICLE
STOLBIKOVA ARTICLE 13. CISA, CGEIT, CISM or CRISC #
5.
14.
6.
15.
7. Answers: Crossword by Myles Mellor
16. See page 56 for the puzzle.
8.
1 2 3 4 5 6 7

9. P R O T E C T T H E D A T A
R V N A U U A
8 9 10 11 12
O P E N S I D E A L R A W
13
A I R U N Y G H
14 15 16
C S T R A T E G Y S E M I
T E E O T S
17 18 19 20 21
I T E M A I R B N B I T
22 23
V I S N A A S L
24 25
E N E P O T I C C Y C L E
Please confirm with other designation-granting professional bodies for their CPE qualification acceptance criteria.
Quizzes may be submitted for grading only by current Journal subscribers. An electronic version of the quiz is G E E K K E B
26 27 28 29 30
available at www.isaca.org/cpequiz; it is graded online and is available to all interested parties. If choosing to submit L B S C A R O L D N I L
using this print copy, please email, fax or mail your answers for grading. Return your answers and contact information 31
I D S N O A O
by email to info@isaca.org or by fax to +1.847.253.1443. If you prefer to mail your quiz, in the US, send your CPE 32 33 34 35 36 37
Quiz along with a stamped, self-addressed envelope, to ISACA International Headquarters, 3701 Algonquin Rd., M I N D M A P S B O R R O W
#1010, Rolling Meadows, IL 60008 USA. Outside the US, ISACA will pay the postage to return your graded quiz. You 38
I S A V
39
R I
40
M R I E
need only to include an envelope with your address. You will be responsible for submitting your credit hours at year- 41 42 43
end for CPE credits. A passing score of 75 percent will earn one hour of CISA, CGEIT, CISM or CRISC CPE credit. T M S I L E N C E H O U R

Get Noticed!
Advertise in the ISACA® Journal

Journal
For more information, contact media@isaca.org

58 ISACA JOURNAL VOL 5

Guías y Estándares
herramientas y técnicas
Cumplimiento Miembro de ISACA y Portador de IS Audit and Assurance Guidelines
 as guías están diseñadas para apoyar directamente los estándares y ayudar a
L
una Certificación los practicantes lograr su alineación con los estándares. Estas siguen la misma
categorización al igual que los estándares (también divididos en tres categorías):
Aseguramiento y las habilidades necesarias para efectuar este tipo de
compromisos requiere estándares que se apliquen específicamente a las auditorias • Guías Generales (series 2000)
SI y aseguramiento. El desarrollo y diseminación de las auditorias de SI y
estándares de aseguramiento son una piedra angular de la contribución profesional • Guías de Desempeño (series 2200)
de ISACA® con la comunidad de auditoria. • Guías de Reportes (series 2400)
Auditorias SI y estándares de aseguramiento define los requisitos mandatorios para Por favor tomar nota que las nuevas guías son efectivas a partir del 1 de
la auditoria SI. septiembre del 2014.
Ellos reportan e informan:
General
• Profesionales de Auditoria SI y aseguramiento del nivel mínimo aceptable del 2001 – Estatuto de Auditoria
desempeño requerido para cumplir con las responsabilidades establecidas en el 2002 – Independencia Organizacional
Código de Ética de Profesionales de ISACA. 2003 – Independencia Profesional
• Gerentes y otras partes interesadas de las expectativas de la profesión 2004 – Expectación Razonable
relacionado con el trabajo de los practicantes. 2005 – Debido Cuidado Profesional
2006 – Competencia
• Poseedores de la designación de “Certified Information Systems Auditor® (CISA®) 2007 – Afirmaciones
de requisitos. Si fallan en cumplir con estos estándares puede resultar en una
2008 – Criterio
investigación de la conducta del poseedor de CISA por la Junta de Directores de
ISACA o comité apropiado y finalmente en una acción disciplinaria. Desempeño
2201 – Planificación de Trabajo
2202 – Evaluación de Riesgo en Planeación
2203 – Desempeño y Supervisión
ITAFTM, 3rd Edition 2204 – Materialidad
(www.isaca.org/itaf) provee un marco de referencia para múltiples niveles de guías: 2205 – Evidencia
2206 – Utilizando el Trabajo de otros Expertos
Auditoria SI y Estándares de Aseguramiento 2207 – Actos irregulares e ilegales
Los estándares han sido divididos en tres categorías: 2208 - Muestreo

• Estándares Generales (series 1000) – Son los principios guía bajo el cual
la profesión de aseguramiento de SI opera. Aplica a la conducta de todas
las asignaciones y hace frente con la auditoria SI y la ética del profesional
de aseguramiento, independencia, objetividad y al debido cuidado como al
conocimiento, competencia y habilidad.
• Estándar de Desempeño (series 1200) – Hace frente a la conducta de
la asignación, como ser planear y supervisar, determinación del alcance,
riesgo y materialidad, movilización de los recursos, supervisión y la gestión de
asignación, auditoria y evidencia de aseguramiento, y el ejercicio de su juicio
profesional y debido cuidado.
• Estándares de Reportar (series 1400) – Abordar los tipos de reportes,
medios de comunicación y la información comunicada.
Reporrtes
2401 – Reportando
2402 – Seguimiento Actividades
IHerramientas y técnicas de Auditoria SI y Aseguramiento
Estos documentos proveen de una guía adicional para los profesionales de
auditoria SI y aseguramiento y consiste, entre otras cosas, de white papers,
programas de Auditoria SI/Aseguramiento, libros de referencia y la familia de
productos COBIT® 5. Herramientas y técnicas están listadas bajo www.isaca.org/
itaf.
Un glosario sobre términos utilizados en ITAF lo puede encontrar en línea en
www.isaca.org/glossary

Por favor tomar nota que las nuevas guías son efectivas a partir del 1 de Previamente de emitir cualquier nuevo Estándar o Guía, un borrador es
septiembre del 2014. emitido internacionalmente para consulta del público general.
Comentarios también pueden ser enviados a la atención del Director
General de Privacidad y Practicas de Aseguramiento por correo (standards@
1001 – Estatuto de Auditoria isaca.org) fax (+1.847.253.1443) o correo postal (ISACA International
Headquartes, 3701, Algonquin Road, Suite 1010, Rolling Meadows, IL
1002 – Independencia Organizacional
60008-3105, USA).
1003 – Independencia Profesional
1004 – Expectación Razonable Links a actuales y expuestos Estándares, Guías y Herramientas y
1005 – Debido Cuidado Profesional Técnicas de ISACA están posteadas en www.isaca.org/standards.
1006 – Competencia
1007 – Afirmaciones Disclaimer: ISACA has designed this guidance as the minimum level
1008 – Criterio of Disclaimer: ISACA ha designado esta guía como el nivel mínimo de
desempeño aceptable requerido para cumplir con las responsabilidades
de profesionales expuestas en el Código de Ética Profesional de ISACA.
Desempeño ISACA no garantiza que los usos de estos productos aseguraran un
1201 – Planificación de Trabajo resultado exitoso. La orientación no debe ser considerada inclusive
1202 – Evaluación de Riesgo en Planeación de cualquier procedimiento y pruebas propias o exclusivos de otros
1203 – Desempeño y Supervisión productos y pruebas que son razonablemente dirigidos para obtener
1204 – Materialidad los mismos resultados. Para determinar la conveniencia de cualquier
1205 – Evidencia procedimiento o prueba específica, los profesionales de control deben
1206 – Utilizando el Trabajo de otros Expertos aplicar su propio juicio profesional a las circunstancias específicas de
1207 – Actos irregulares e ilegales
control presentados por los sistemas particulares o ambientes de SI.

Reportes
1401 – Reportando
1402 – Seguimiento Actividades
ISACA JOURNAL VOL 5 59
ISACA® Journal, formerly
Information Systems Control
Journal, is published by the
Information Systems Audit and
Control Association® (ISACA®),
a nonprofit organization
created for the public in 1969.
Membership in the association,
a voluntary organization
serving IT governance
professionals, entitles one to
receive an annual subscription
to the ISACA Journal.
Opinions expressed in the
ISACA Journal represent
the views of the authors and
advertisers. They may differ
from policies and official
statements of ISACA and/or
the IT Governance Institute
and their committees, and from
opinions endorsed by authors,
employers or the editors of the
Journal. ISACA Journal does
not attest to the originality of
authors’ content.
© 2016 ISACA. All rights
reserved.
Instructors are permitted to
photocopy isolated articles for
noncommercial classroom use
without fee. For other copying,
reprint or republication,
permission must be obtained
in writing from the association.
Where necessary, permission
is granted by the copyright
owners for those registered
with the Copyright Clearance
Center (CCC) (www.copyright.
com), 27 Congress St., Salem,
MA 01970, to photocopy
articles owned by ISACA,
for a flat fee of US $2.50 per
article plus 25¢ per page.
Send payment to the CCC
stating the ISSN (1944-1967),
date, volume, and first and
last page number of each
article. Copying for other
than personal use or internal
reference, or of articles or
columns not owned by the
association without express
permission of the association
or the copyright owner is
expressly prohibited.
ISSN 1944-1967
Subscription Rates:
US:
one year (6 issues) $75.00
All international orders:
one year (6 issues) $90.00.
Remittance must be made
in US funds.
web sites
advertisers/
Capella University
Chiron Technology Services
Saint Leo University
Society of Corporate
Compliance & Ethics
supporters
leaders and
Editor
Jennifer Hajigeorgiou
publication@isaca.org
Assistant Editorial
Manager
Maurita Jasper
Contributing Editors
Sally Chan, CGEIT, CPA, CMA
Ed Gelbstein, Ph.D.
Kamal Khan, CISA, CISSP, CITP, MBCS
Vasant Raval, DBA, CISA
Steven J. Ross, CISA, CBCP, CISSP
Smita Totade, Ph.D., CISA, CISM, CGEIT,
CRISC
Advertising
media@isaca.org
Media Relations
news@isaca.org
Reviewers
Matt Altman, CISA, CISM, CGEIT, CRISC
Sanjiv Agarwala, CISA, CISM, CGEIT,
CISSP, ITIL, MBCI
Cheolin Bae, CISA, CCIE
Sunil Bakshi, CISA, CISM, CGEIT, CRISC,
ABCI, AMIIB, BS 25999 LI, CEH,
CISSP, ISO 27001 LA, MCA, PMP
Brian Barnier, CGEIT, CRISC
Pascal A. Bizarro, CISA
Jerome Capirossi, CISA
Joyce Chua, CISA, CISM, PMP, ITILv3
Ashwin K. Chaudary, CISA, CISM, CGEIT,
CRISC
Burhan Cimen, CISA, COBIT Foundation,
ISO 27001 LA, ITIL, PRINCE2
Ian Cooke, CISA, CGEIT, CRISC, COBIT
Foundation, CFE, CPTS, DipFM, ITIL
Foundation, Six Sigma Green Belt
Ken Doughty, CISA, CRISC, CBCP
Nikesh L. Dubey, CISA, CISM,
CRISC, CISSP
Ross Dworman, CISM, GSLC
Robert Findlay
John Flowers
Jack Freund, CISA, CISM, CRISC,
CIPP, CISSP, PMP
Sailesh Gadia, CISA
Amgad Gamal, CISA, COBIT Foundation,
CEH, CHFI, CISSP, ECSA, ISO 2000
LA/LP, ISO 27000 LA, MCDBA, MCITP,
MCP, MCSE, MCT, PRINCE2
Robin Generous, CISA, CPA
Anuj Goel, Ph.D., CISA, CGEIT,
CRISC, CISSP
capella.edu/ISACA 3
chirontech.com Back Cover
SaintLeo.edu Inside Back Cover
complianceethicsinstitute.org 1
Tushar Gokhale, CISA, CISM, CISSP,
ISO 27001 LA
Smita Totade, Ph.D., CISA, CISM,
CGEIT, CRISC
Tanja Grivicic Ilija Vadjon, CISA
Manish Gupta, Ph.D., CISA, CISM, Sadir Vanderloot Sr., CISA, CISM, CCNA,
CRISC, CISSP CCSA, NCSA
Mike Hansen, CISA, CFE Anthony Wallis, CISA, CRISC, CBCP, CIA
Jeffrey Hare, CISA, CPA, CIA Kevin Wegryn, PMP, Security+, PFMP
Sherry G. Holland Tashi Williamson
Jocelyn Howard, CISA, CISMP, CISSP Ellis Wong, CISA, CRISC, CFE, CISSP
Francisco Igual, CISA, CGEIT, CISSP
Jennifer Inserro, CISA, CISSP
Khawaja Faisal Javed, CISA, CRISC, CBCP,
ISACA Board of
ISMS LA Directors (2015–2016)
Mohammed Khan, CISA, CRISC, CIPM Chair
Farzan Kolini GIAC Christos Dimitriadis, Ph.D., CISA,
Michael Krausz, ISO 27001 CISM, CRISC, ISO 20000 LA
Abbas Kudrati, CISA, CISM, CGEIT, CEH,
CHFI, EDRP, ISMS Vice-chair
Shruti Kulkarni, CISA, CRISC, CCSK, ITIL Theresa Grafenstine, CISA, CGEIT, CRISC,
Bhanu Kumar CGAP, CGMA, CIA, CPA
Hiu Sing (Vincent) Lam, CISA, CPIT(BA), Director
ITIL, PMP Rosemary Amato, CISA, CMA, CPA
Edward A. Lane, CISA, CCP, PMP
Romulo Lomparte, CISA, CISM, CGEIT, Director
CRISC, CRMA, ISO 27002, IRCA Garry Barnes, CISA, CISM, CGEIT,
CRISC, MAICD
Juan Macias, CISA, CRISC
Larry Marks, CISA, CGEIT, CRISC Director
Norman Marks Rob Clyde, CISM
Tamer Marzouk, CISA
Director
Krysten McCabe, CISA
Leonard Ong, CISA, CISM, CGEIT,
Brian McLaughlin, CISA, CISM, CRISC,
CRISC, COBIT 5 Implementer and
CIA, CISSP, CPA
Assessor (Singapore), CFE, CFP, CGFA,
Brian McSweeney
CIPM, CIPT, CISSP ISSMP-ISSAA,
Irina Medvinskaya, CISM, FINRA, Series 99
CITBCM, CPP, CSSLP, GCIA, GCIH,
David Earl Mills, CISA, CGEIT, CRISC,
GSNA, PMP
MCSE
Robert Moeller, CISA, CISSP, CPA, CSQE Director
Ramu Muthiah, CISM, CRVPM, GSLC, Andre Pitkowski, CGEIT, CRISC,
ITIL, PMP COBIT 5 Foundation, CRMA, ISO 27kLA,
Ezekiel Demetrio J. Navarro, CPA ISO 31kLA
Jonathan Neel, CISA
Director
Anas Olateju Oyewole, CISA, CISM, CRISC,
Edward Schwartz, CISA, CISM, CAP,
CISSP, CSOE, ITIL
CISSP, ISSEP, NSA-IAM, PMP, SSCP
Pak Lok Poon, Ph.D., CISA, CSQA, MIEEE
John Pouey, CISA, CISM, CRISC, CIA Director
Steve Primost, CISM Zubin Chagpar, CISA, CISM, PMP
Parvathi Ramesh, CISA, CA
Director
Antonio Ramos Garcia, CISA, CISM, CRISC,
Raghu Iyer, CISA, CRISC
CDPP, ITIL
Ron Roy, CISA, CRP Director
Louisa Saunier, CISSP, PMP, Six Sigma Jo Stewart-Rattray, CISA, CISM,
Green Belt CGEIT, CRISC
Daniel Schindler, CISA, CIA
Past Chair
Nrupak D. Shah, CISM, CCSK, CEH, Robert E Stroud, CGEIT, CRISC
ECSA ITIL
Shaharyak Shaikh Past Chair
Tony Hayes, CGEIT, AFCHSE, CHE, FACS,
Sandeep Sharma
Catherine Stevens, ITIL FCPA, FIIA
Johannes Tekle, CISA, CFSA, CIA
Past Chair
Robert W. Theriot Jr., CISA, CRISC Greg Grocholski, CISA
Nancy Thompson, CISA, CISM,
CGEIT, PMP Director and Chief Executive Officer
Matthew S. Loeb, CGEIT, CAE