SlideShare una empresa de Scribd logo

EDI - Respuestas al cumplimiento ¿Cada vez más complejas?

Fabián Descalzo
Fabián Descalzo

Las regulaciones globales y locales están creciendo en volumen y en complejidad, y como resultado, la demanda de responsabilidad legal se ha intensificado, a la vez que la administración de los costos asociados a la gestión de riesgo y cumplimiento continúa siendo un reto.

Noticias y política
1 de 5
Descargar para leer sin conexión
Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 1 Respuestas al cumplimiento ¿Cada vez más complejas? Las regulaciones globales y locales están creciendo en volumen y en complejidad, y como resultado, la demanda de responsabilidad legal se ha intensificado, a la vez que la administración de los costos asociados a la gestión de riesgo y cumplimiento continúa siendo un reto. ¿Debe la estrategia de cumplimiento de una empresa ser parte de la estrategia de seguridad? ¿Debe ser independiente o estar más cerca del área legal? ¿Cómo elige mejorar el cumplimiento en su empresa? En una organización la gestión de cumplimiento puede tornarse compleja y difícil de realizar, no solo por razones técnicas sino también por razones organizativas y funcionales. Coordinar todos los esfuerzos encaminados a asegurar un entorno de cumplimiento corporativo requiere de un adecuado control que integre los esfuerzos de toda la organización, empleando mecanismos reguladores de las funciones y actividades desarrolladas por cada uno de sus empleados. Por ello deben establecerse pautas para la integración de capacidades de gobierno, aseguramiento y gestión del desempeño, riesgo y cumplimiento que integren estos esfuerzos de una manera conjunta, y que luego se representarán a través de las políticas y normas organizacionales, que formaran un marco normativo como medio de comunicación en el cual se establecen las reglas y controles reflejados en los diferentes procedimientos de la organización, para asegurar el cumplimiento de leyes y regulaciones del negocio apoyando a la confidencialidad, integridad y disponibilidad de la información previniendo y manejando los riesgos de seguridad en diversas circunstancias. Tengamos en cuenta que las pautas establecidas deben representarse en un programa que defina el objetivo, dirección, principios y reglas básicas para la gestión del cumplimiento y la seguridad. En el mundo actual, no hay forma de asegurarnos contra el robo o el fraude si no podemos controlar o gobernar los procesos de negocio desde la tecnología que les brinda servicios y a su vez, si no capacitamos y concientizamos a las personas que los gestionan. Toda persona que intervenga en los diferentes procesos de negocio y a su vez utilice los servicios informáticos que ofrece la organización, debe conocer el marco normativo que regula las actividades de la organización, teniendo en cuenta que su desconocimiento no lo exonera de responsabilidad, ante cualquier eventualidad que involucre a la organización y a la seguridad de la información. El objetivo de un programa de cumplimiento es el crear una mejor imagen de mercado y reducir los daños tangibles o intangibles ocasionados por los potenciales riesgos; esto determina que las necesidades de cumplimiento se centren en dar respuesta a la gestión riesgos, el control de los procesos y el control de accesos a la información y a los sistemas, siendo cada una de estos puntos módulos fundamentales para el entorno de GRC (Governance, Risk & Compliance) de cualquier organización, y el medio para dar respuesta puede ser representado, por ejemplo, a través de la gestión de seguridad de la información alineada con los objetivos comerciales de la organización para asegurar su negocio. Tomando como guía este sistema de gestión, se tiene la posibilidad de cubrir una respuesta tanto a requerimientos legales o de industria (SOX, PCI-DSS, LFPDP, BCRA, SBIF, SBS, etc.) como el demostrar la adopción de prácticas comunes desde la visión de seguridad de la información (ISO9001, ISO27001, ITIL, COBIT, ISO20000, etc.) y las prácticas internas o la interacción con diferentes funciones y terceros. Los retos de cumplimiento han
Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 2 llevado a un incremento del espectro de responsabilidades, que abarcan aspectos relacionados con la administración de riesgos, la administración de cumplimiento y seguridad de la información, continuidad del negocio y la protección de datos. Este incremento de responsabilidades ha llevado a lo largo del tiempo a integrar dentro de las organizaciones áreas específicas para su gestión, siendo el CSO o CISO (Chief Security Officer o Chief Information Security Officer) el responsable de supervisar el cumplimiento de los objetivos del sistema de gestión de seguridad y, al mismo tiempo, de establecer nuevas metas. Debemos tener en cuenta que, para una buena comprensión de las pautas establecidas por la organización, la normativa debe ser organizada de manera sencilla para que pueda ser interpretada por cualquier persona que ostente un cargo de empleado o terceros con un contrato de trabajo por servicios en la organización, con conocimientos informáticos o sin ellos. Las políticas deben ser creadas según el contexto de aplicación, organizadas por niveles de seguridad y siguiendo un entorno de desarrollo, sobre la problemática de la compañía o previniendo futuras rupturas en la seguridad y el cumplimiento, aplicada sobre sus diferentes recursos o activos de información. Dentro de la práctica de la seguridad de la información, los objetivos para controles individuales de seguridad o grupos de controles deben ser propuestos por el Comité de Seguridad y aprobados por la Dirección en la declaración de aplicabilidad; los cuales son revisados al menos una vez al año. El Comité de Seguridad de la Información debe estar destinado a garantizar el apoyo manifiesto de la Dirección a las iniciativas de seguridad, siendo sus principales funciones: 1. Revisar y proponer a la Dirección para su consideración y posterior aprobación, las políticas de seguridad de la información y las funciones generales en materia de seguridad de la información que fueran convenientes y apropiadas para la organización. 2. Monitorear cambios significativos en los riesgos que afectan a los recursos de la información de la organización frente a posibles amenazas, sean internas o externas. 3. Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes, relativos a la seguridad, que se produzcan en el ámbito de la organización. 4. Aprobar las principales iniciativas para incrementar la seguridad de la información, de acuerdo a las competencias y responsabilidades asignadas a cada sector, así como acordar y aprobar metodologías y procesos específicos relativos a la seguridad de la información 5. Evaluar y coordinar la implementación de controles específicos de seguridad de la información para los sistemas o servicios de esta organización, sean preexistente o nuevos. 6. Promover la difusión y apoyo a la seguridad de la información dentro de la organización, como así coordinar el proceso de administración de la continuidad del negocio. Teniendo en cuenta las necesidades de cumplimiento, el programa definido para la gestión de la seguridad de la información, debe tomar como lineamientos principales cuatro dominios relacionados con el Gobierno Corporativo:  Seguridad Organizacional Estableciendo el marco formal de seguridad que debe sustentar la organización, incluyendo servicios o contrataciones externas a la infraestructura de seguridad, Integrando el recurso humano con la tecnología, denotando responsabilidades y actividades complementarias como respuesta ante situaciones anómalas a la seguridad.
Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 3  Seguridad Lógica Estableciendo e integrando los mecanismos y procedimientos, que permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades, perfiles de seguridad, control de acceso a las aplicaciones y documentación sobre sistemas, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, selección y aceptación de sistemas, hasta el control de software malicioso.  Seguridad Física Identificando los límites mínimos que se deben cumplir en cuanto a perímetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en la importancia de los activos.  Seguridad Legal Integrando los requerimientos de seguridad que deben cumplir todos los empleados, socios y terceros que interactúan en procesos de negocio y la información de la compañía, bajo la reglamentación de la normativa interna de políticas y manuales de procedimientos de la organización en cuanto al recurso humano, sanciones aplicables ante faltas cometidas, así como cuestiones relacionadas con la legislación del país y contrataciones externas. Para la práctica de estos cuatro dominios, y según lo mencionamos en párrafos anteriores, se debe establecer una metodología para determinar el proceso para la administración de riesgos, asegurando cubrir las siguientes etapas que llevan a completar su tratamiento: • Identificación de los procesos de Negocio y servicios de TI y seguridad que lo soportan • Identificación de riesgos de Negocio y servicios de TI y SI que lo soportan • Análisis de riesgos de Negocio y servicios de TI y SI que lo soportan • Evaluación de riesgos de Negocio y servicios de TI y SI que lo soportan • Tratamiento de riesgos de Negocio y servicios de TI y SI que lo soportan • Documentación, control y revisión Los diferentes riesgos al cumplimiento deben ser evaluados sobre cada conjunto de actividades o procesos definidos, teniendo en cuenta su interrelación de forma ordenada y consecutiva para identificar los factores de riesgo que puedan involucrar a una o más unidades de negocio. Estos factores de riesgo pueden involucrar aspectos de cumplimiento al producirse un evento determinado que influya negativamente en el normal funcionamiento y operación de los procesos de TI de la organización, afectando de esta forma tanto a la privacidad o disponibilidad de datos como a la integridad que puede conllevar a hechos delictivos, ya sea por robo o fraudes. La organización debe considerar dentro de la definición de Riesgos de TI aquellos eventos relacionados con los sistemas de información y con la infraestructura de TI propia y de terceros que soporta el funcionamiento de dichos sistemas, y con cualquier otro recurso relacionado empleado por la función de TI de la organización para brindar sus servicios. De la misma forma, deben tenerse en cuenta los riesgos resultantes de la falta de adecuación o fallas en los procesos internos, de la actuación del personal o bien de aquellos que sean producto de eventos externos.
Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 4 La organización debe considerar estos riesgos como componentes importantes a tener en cuenta en su programa de cumplimiento. Por lo tanto, independientemente de las normas y procedimientos específicos para la administración de riesgos, se debe aplicar un esquema en el cual las salidas del proceso de administración de riesgos se integren con el conjunto de la documentación de los procesos de negocio, con el fin de poder disponer de documentación acerca del perfil de riesgos operativos que enfrenta la organización en forma integrada y completa. El enfoque utilizado para identificar riesgos y factores debe incluir, entre otros, lo siguiente: • Juicios basados en la experiencia y conocimiento de la organización y de los procesos y funciones de TI con los cuales está involucrado • Observaciones formuladas en informes de Auditoría Interna, Auditoría Externa, y otras auditorías a las que esté sometida la organización. • Resultados de estudios de vulnerabilidad llevados a cabo por la organización, ya sea en forma interna como mediante la contratación de terceros especializados. • Conocimiento de incidentes registrados en el área, conocimiento de incidentes ocurridos en otras organizaciones del sector, aporte de las áreas usuarias • Nuevos proyectos encarados por la organización, mediante los cuales se afecte a procesos de negocio o a la infraestructura de TI, los sistemas de información, o cualquier recurso relacionado. • Cambios organizacionales, tales como reestructuración de áreas tecnológicas o funcionales, o la tercerización de actividades vinculadas con la administración y/o procesamiento de los sistemas de información o cualquier tipo de tratamiento de información de la organización. • Clasificación de activos: En la clasificación de activos de información se define la criticidad de los activos en base a su disponibilidad, confidencialidad e integridad. Esta información es de gran utilidad a la hora de identificar riesgos de cumplimiento en relación a los activos críticos. Adicionalmente a esto, las áreas de legales de las organizaciones, deben estar en conocimiento no solo de las actualizaciones legislativas y regulatorias, sino también de las necesidades de gobierno sobre las tecnologías actuales y nuevas que pueden influir negativamente en el cumplimiento de las organizaciones. Las áreas tecnológicas, de seguridad y riesgos deben conformarse como un núcleo consultivo que, en conjunto con las áreas legales y de control interno, permitan establecer un blindaje equilibrado a las organizaciones. Revise cualquier industria y encontrará que su entorno regulador se encuentra en un proceso constante de cambio, provocando alertas de cumplimiento a las cuales debe darse respuesta constante y en línea. Establecer controles e identificar riesgos nos permite determinar un seguimiento de las actividades más importantes dentro del programa de cumplimiento que son relevantes para cada función en la organización, y obtener datos procesables con los que se pueden medir y remediar las brechas rápidamente y de manera eficiente. Tener estos datos significativos a su alcance no sólo ayuda a comprender el nivel actual de madurez de cumplimiento, sino que también ayuda a tomar decisiones acerca de la priorización para su tratamiento. Es necesario que establezca una metodología de medición en función de datos que representen el nivel de cumplimiento interno, representados en un proceso que refleje en forma periódica el alineamiento a las políticas internas de la organización y sus desvíos. También puede hacerse mediante encuestas internas a usuarios finales, con preguntas referentes a puntos vitales de las normas, para evaluar el nivel de conocimiento como instancia previa a evaluar el cumplimiento en los procesos. Respecto de los indicadores, los mismos deben ser dinámicos en función de nuevas regulaciones o cambios en los procesos (lo que los hacen variables en el tiempo); además que también se pueden establecer
Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 5 distintos niveles de indicadores en función del nivel de madurez de la organización, lo que también hace que puedan variar en el tiempo teniendo en cuenta el crecimiento futuro en el nivel de cumplimiento de la misma. Conclusión: Adopte una guía que responda a sus necesidades de cumplimiento, y desde el conocimiento de sus procesos no solo identifique aspectos legales o regulatorios, sino que también contemple los diferentes procesos secundarios o de servicios que pueden afectar al cumplimiento en los procesos principales, como por ejemplo la tecnología y la seguridad de la información. Fabián Descalzo fabiandescalzo@yahoo.com.ar Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento (GRC) en Cybsec by Deloitte, con amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de Seguridad de la Información y Tecnologías de la Información.. Es certificado en Dirección de Seguridad de la Información (Universidad CAECE), IRCA ISMS Auditor, Lead Auditor ISO/IEC 27001, instructor certificado ITIL Fundation v3-2011 (EXIN) y auditor ISO 20000 (LSQA- Latu), profesor del módulo 27001 del curso de “TI Governance, Uso eficiente de Frameworks”, y de la “Diplomatura en Gobierno y Gestión de Servicios de TI” del Instituto Tecnológico Buenos Aires (ITBA), profesor en Sistemas de Gestión TI y Seguridad de la Información para entidades certificadoras y Auditor ISO 20000 / ISO 27001 para TÜV Rheinland Argentina. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO- Community y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter. Miembro del Comité Académico E-GISART de ISACA Buenos Aires Chapter, del Comité Directivo del “Cyber Security for Critical Assets LATAM Summit” para Qatalys Global sección Infraestructura Crítica (Gobiernos y empresas de América Latina en el sector de la energía, química, petróleo y gas), del Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), y del Comité Organizador CYBERSECURITY de ISACA Buenos Aires Chapter.

Recomendados

Sistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónMiguel Diaz
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811faau09
 
Slide de sgsi
Slide de sgsiSlide de sgsi
Slide de sgsiMelvin Naun Umanzor Amaya
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02lizardods
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 

Recomendados

Sistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónMiguel Diaz
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811faau09
 
Slide de sgsi
Slide de sgsiSlide de sgsi
Slide de sgsiMelvin Naun Umanzor Amaya
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02lizardods
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0 ---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0xavazquez
 
Iso 27001
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
 
Revista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadRevista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadFabián Descalzo
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282yar_mal
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaMariana Heredia Thorne
 
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...Reynaldo C. de la Fuente Abdala
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaUniversidad Dominicana OYM
 
Nancyauditoria
NancyauditoriaNancyauditoria
Nancyauditoriakicwua
 
Guia de ti7
Guia de ti7Guia de ti7
Guia de ti7Mahonri Dimas
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informaticaGabriela2409
 
Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.artseremis
 
estándares y gestión
estándares y gestiónestándares y gestión
estándares y gestiónAlVeDa37
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridadRamiro Cid
 
Modelo y estándares de seguridad informática
Modelo y estándares de seguridad informáticaModelo y estándares de seguridad informática
Modelo y estándares de seguridad informáticaEly Cordoba
 
Iso 27000
Iso 27000Iso 27000
Iso 27000Alber Delfin Pena Ortigoza
 
Iso 27000
Iso 27000Iso 27000
Iso 27000Man Iniesta
 
Investigaciones en Entornos Corporativos - SecureTech/ICIACORP
Investigaciones en Entornos Corporativos - SecureTech/ICIACORPInvestigaciones en Entornos Corporativos - SecureTech/ICIACORP
Investigaciones en Entornos Corporativos - SecureTech/ICIACORPMariano M. del Río
 
La importancia del factor humano
La importancia del factor humanoLa importancia del factor humano
La importancia del factor humanoFabián Descalzo
 
Aparato respiratorio anghelo
Aparato respiratorio angheloAparato respiratorio anghelo
Aparato respiratorio angheloslin garcia abasto
 
Everyday quiz v2
Everyday quiz v2Everyday quiz v2
Everyday quiz v2Harrison Malagon
 

Más contenido relacionado

La actualidad más candente

---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0 ---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0xavazquez
 
Revista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadRevista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadFabián Descalzo
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282yar_mal
 
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...Reynaldo C. de la Fuente Abdala
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Nancyauditoria
NancyauditoriaNancyauditoria
Nancyauditoriakicwua
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informaticaGabriela2409
 
Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.artseremis
 
estándares y gestión
estándares y gestiónestándares y gestión
estándares y gestiónAlVeDa37
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridadRamiro Cid
 
Modelo y estándares de seguridad informática
Modelo y estándares de seguridad informáticaModelo y estándares de seguridad informática
Modelo y estándares de seguridad informáticaEly Cordoba
 

La actualidad más candente (18)

---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0 ---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0
---207718432-seguridad-de-la-informacion-a-la-mediana-empresa-is2 me-es-v1-0
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Revista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadRevista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidad
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...
La Gestión. El rol esencial de los procesos de gobierno y gestión de la SI en...
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Nancyauditoria
NancyauditoriaNancyauditoria
Nancyauditoria
 
Guia de ti7
Guia de ti7Guia de ti7
Guia de ti7
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informatica
 
Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.
 
estándares y gestión
estándares y gestiónestándares y gestión
estándares y gestión
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridad
 
Modelo y estándares de seguridad informática
Modelo y estándares de seguridad informáticaModelo y estándares de seguridad informática
Modelo y estándares de seguridad informática
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 

Destacado

Investigaciones en Entornos Corporativos - SecureTech/ICIACORP
Investigaciones en Entornos Corporativos - SecureTech/ICIACORPInvestigaciones en Entornos Corporativos - SecureTech/ICIACORP
Investigaciones en Entornos Corporativos - SecureTech/ICIACORPMariano M. del Río
 
La importancia del factor humano
La importancia del factor humanoLa importancia del factor humano
La importancia del factor humanoFabián Descalzo
 
Ticino_Management_Muovere_torri_12_2015
Ticino_Management_Muovere_torri_12_2015Ticino_Management_Muovere_torri_12_2015
Ticino_Management_Muovere_torri_12_2015Andrea Arcidiacono
 
Australian Senate committee testimony - Boaz April 1 2015
Australian Senate committee testimony - Boaz April 1 2015Australian Senate committee testimony - Boaz April 1 2015
Australian Senate committee testimony - Boaz April 1 2015boazwachtel
 
DENUNICA CONSTANCIA DE 4 DIRECTIVOS DE ADIDA: ADIDA EN LA OSCURIDADConsta...
DENUNICA CONSTANCIA DE 4 DIRECTIVOS DE ADIDA: ADIDA EN LA OSCURIDADConsta...DENUNICA CONSTANCIA DE 4 DIRECTIVOS DE ADIDA: ADIDA EN LA OSCURIDADConsta...
DENUNICA CONSTANCIA DE 4 DIRECTIVOS DE ADIDA: ADIDA EN LA OSCURIDADConsta...Over Dorado Cardona
 
Injoy zeitung 24x34_korr08-51
Injoy zeitung 24x34_korr08-51Injoy zeitung 24x34_korr08-51
Injoy zeitung 24x34_korr08-51Julia Jarzinka
 
раскрытие информации деятельности организаций социальной сферы
раскрытие информации деятельности организаций социальной сферыраскрытие информации деятельности организаций социальной сферы
раскрытие информации деятельности организаций социальной сферыLAZOVOY
 

Destacado (15)

Investigaciones en Entornos Corporativos - SecureTech/ICIACORP
Investigaciones en Entornos Corporativos - SecureTech/ICIACORPInvestigaciones en Entornos Corporativos - SecureTech/ICIACORP
Investigaciones en Entornos Corporativos - SecureTech/ICIACORP
 
La importancia del factor humano
La importancia del factor humanoLa importancia del factor humano
La importancia del factor humano
 
Aparato respiratorio anghelo
Aparato respiratorio angheloAparato respiratorio anghelo
Aparato respiratorio anghelo
 
Everyday quiz v2
Everyday quiz v2Everyday quiz v2
Everyday quiz v2
 
Novo
NovoNovo
Novo
 
Las drogas
Las drogasLas drogas
Las drogas
 
Ticino_Management_Muovere_torri_12_2015
Ticino_Management_Muovere_torri_12_2015Ticino_Management_Muovere_torri_12_2015
Ticino_Management_Muovere_torri_12_2015
 
Australian Senate committee testimony - Boaz April 1 2015
Australian Senate committee testimony - Boaz April 1 2015Australian Senate committee testimony - Boaz April 1 2015
Australian Senate committee testimony - Boaz April 1 2015
 
DENUNICA CONSTANCIA DE 4 DIRECTIVOS DE ADIDA: ADIDA EN LA OSCURIDADConsta...
DENUNICA CONSTANCIA DE 4 DIRECTIVOS DE ADIDA: ADIDA EN LA OSCURIDADConsta...DENUNICA CONSTANCIA DE 4 DIRECTIVOS DE ADIDA: ADIDA EN LA OSCURIDADConsta...
DENUNICA CONSTANCIA DE 4 DIRECTIVOS DE ADIDA: ADIDA EN LA OSCURIDADConsta...
 
Anatomia de la piel
Anatomia de la pielAnatomia de la piel
Anatomia de la piel
 
15
1515
15
 
Img 1
Img 1Img 1
Img 1
 
Injoy zeitung 24x34_korr08-51
Injoy zeitung 24x34_korr08-51Injoy zeitung 24x34_korr08-51
Injoy zeitung 24x34_korr08-51
 
Javascript
JavascriptJavascript
Javascript
 
раскрытие информации деятельности организаций социальной сферы
раскрытие информации деятельности организаций социальной сферыраскрытие информации деятельности организаций социальной сферы
раскрытие информации деятельности организаций социальной сферы
 

Similar a EDI - Respuestas al cumplimiento ¿Cada vez más complejas?

La gestión como apoyo al cumplimiento
La gestión como apoyo al cumplimientoLa gestión como apoyo al cumplimiento
La gestión como apoyo al cumplimientoFabián Descalzo
 
Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Fabián Descalzo
 
Fusiones y adquisiciones - Cultura, gobierno y cumplimiento
Fusiones y adquisiciones - Cultura, gobierno y cumplimientoFusiones y adquisiciones - Cultura, gobierno y cumplimiento
Fusiones y adquisiciones - Cultura, gobierno y cumplimientoFabián Descalzo
 
Nota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaNota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaFabián Descalzo
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestremcgavilanes
 
Foro de discusión.docx
Foro de discusión.docxForo de discusión.docx
Foro de discusión.docxnelson-0518
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridadCarolina Cols
 
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrPautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrUniversidad Tecnológica del Perú
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.dsiticansilleria
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticayuliaranda
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticayuliaranda
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticayuliaranda
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticayuliaranda
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticayuliaranda
 
El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la leyFabián Descalzo
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticayuliaranda
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticayuliaranda
 

Similar a EDI - Respuestas al cumplimiento ¿Cada vez más complejas? (20)

La gestión como apoyo al cumplimiento
La gestión como apoyo al cumplimientoLa gestión como apoyo al cumplimiento
La gestión como apoyo al cumplimiento
 
Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)
 
Fusiones y adquisiciones - Cultura, gobierno y cumplimiento
Fusiones y adquisiciones - Cultura, gobierno y cumplimientoFusiones y adquisiciones - Cultura, gobierno y cumplimiento
Fusiones y adquisiciones - Cultura, gobierno y cumplimiento
 
Nota CXO Seguridad Corporativa
Nota CXO Seguridad CorporativaNota CXO Seguridad Corporativa
Nota CXO Seguridad Corporativa
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestre
 
Foro de discusión.docx
Foro de discusión.docxForo de discusión.docx
Foro de discusión.docx
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridad
 
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrrPautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
Pautasyrecomendacionesparaelaborarpoliticasdeseguridadinformatica revisarrr
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
 

Más de Fabián Descalzo

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂Fabián Descalzo
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioFabián Descalzo
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS Fabián Descalzo
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSFabián Descalzo
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdfFabián Descalzo
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...Fabián Descalzo
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃Fabián Descalzo
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridadFabián Descalzo
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfFabián Descalzo
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdfFabián Descalzo
 
Proteccion frente a ciberataques
Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataquesFabián Descalzo
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Fabián Descalzo
 
2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad 2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridadFabián Descalzo
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍAFabián Descalzo
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESFabián Descalzo
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018Fabián Descalzo
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDFabián Descalzo
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOFabián Descalzo
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...Fabián Descalzo
 

Más de Fabián Descalzo (20)

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocio
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdf
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf
 
Proteccion frente a ciberataques
Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataques
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021
 
2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad 2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
 

Último

La lettera di pedro Sanchez che annuncia una "pausa"
La lettera di pedro Sanchez che annuncia una "pausa"La lettera di pedro Sanchez che annuncia una "pausa"
La lettera di pedro Sanchez che annuncia una "pausa"Ilfattoquotidianoit
 
COMUNICADO CNE-CAMPAÑA Y PROPAGANDA ELECTORAL 20240423.pdf
COMUNICADO CNE-CAMPAÑA Y PROPAGANDA ELECTORAL 20240423.pdfCOMUNICADO CNE-CAMPAÑA Y PROPAGANDA ELECTORAL 20240423.pdf
COMUNICADO CNE-CAMPAÑA Y PROPAGANDA ELECTORAL 20240423.pdfAndySalgado7
 
Proyecto por la Regionalización y la Función Municipal
Proyecto por la Regionalización y la Función MunicipalProyecto por la Regionalización y la Función Municipal
Proyecto por la Regionalización y la Función MunicipalEduardo Nelson German
 
Pronunciamiento de Mujeres en defensa de la Ley 348
Pronunciamiento de Mujeres en defensa de la Ley 348Pronunciamiento de Mujeres en defensa de la Ley 348
Pronunciamiento de Mujeres en defensa de la Ley 348Erbol Digital
 
Proyecto sobre la Libertad de Conciencia Cívica
Proyecto sobre la Libertad de Conciencia CívicaProyecto sobre la Libertad de Conciencia Cívica
Proyecto sobre la Libertad de Conciencia CívicaEduardo Nelson German
 
Aviso de pago de Títulos Públicos de La Rioja
Aviso de pago de Títulos Públicos de La RiojaAviso de pago de Títulos Públicos de La Rioja
Aviso de pago de Títulos Públicos de La RiojaEduardo Nelson German
 
Ente de Coordinación Operativa de Servicios en la Capital
Ente de Coordinación Operativa de Servicios en la CapitalEnte de Coordinación Operativa de Servicios en la Capital
Ente de Coordinación Operativa de Servicios en la CapitalEduardo Nelson German
 
Proyecto para reformar la Libertad de Expresión
Proyecto para reformar la Libertad de ExpresiónProyecto para reformar la Libertad de Expresión
Proyecto para reformar la Libertad de ExpresiónEduardo Nelson German
 
Proyecto para la reforma de la Función Judicial
Proyecto para la reforma de la Función JudicialProyecto para la reforma de la Función Judicial
Proyecto para la reforma de la Función JudicialEduardo Nelson German
 
PRECIOS_M_XIMOS_VIGENTES_DEL_21_AL_27_DE_ABRIL_DE_2024.pdf
PRECIOS_M_XIMOS_VIGENTES_DEL_21_AL_27_DE_ABRIL_DE_2024.pdfPRECIOS_M_XIMOS_VIGENTES_DEL_21_AL_27_DE_ABRIL_DE_2024.pdf
PRECIOS_M_XIMOS_VIGENTES_DEL_21_AL_27_DE_ABRIL_DE_2024.pdfredaccionxalapa
 
maraton atenas veracruzana 2024 calles rutas.pdf
maraton atenas veracruzana 2024 calles rutas.pdfmaraton atenas veracruzana 2024 calles rutas.pdf
maraton atenas veracruzana 2024 calles rutas.pdfredaccionxalapa
 
IDEA Perú Percepciones sobre la Democracia y Valores Democráticos 2024.pdf
IDEA Perú Percepciones sobre la Democracia y Valores Democráticos 2024.pdfIDEA Perú Percepciones sobre la Democracia y Valores Democráticos 2024.pdf
IDEA Perú Percepciones sobre la Democracia y Valores Democráticos 2024.pdfEsauEspinozaCardenas
 
Horarios de cortes de luz en Los Ríos para este lunes, 22 de abril, según CNEL
Horarios de cortes de luz en Los Ríos para este lunes, 22 de abril, según CNELHorarios de cortes de luz en Los Ríos para este lunes, 22 de abril, según CNEL
Horarios de cortes de luz en Los Ríos para este lunes, 22 de abril, según CNELRobertoEspinozaMogro
 
Proyecto de reforma por los Derechos Políticos y Régimen Electoral
Proyecto de reforma por los Derechos Políticos y Régimen ElectoralProyecto de reforma por los Derechos Políticos y Régimen Electoral
Proyecto de reforma por los Derechos Políticos y Régimen ElectoralEduardo Nelson German
 
Boletin semanal informativo 16 Abril 2024
Boletin semanal informativo 16 Abril 2024Boletin semanal informativo 16 Abril 2024
Boletin semanal informativo 16 Abril 2024Nueva Canarias-BC
 
Estudio de opinión a nivel nacional (16.04.24) Publicación.pdf
Estudio de opinión a nivel nacional (16.04.24) Publicación.pdfEstudio de opinión a nivel nacional (16.04.24) Publicación.pdf
Estudio de opinión a nivel nacional (16.04.24) Publicación.pdfmerca6
 
concesion gruas ssp gruas m2 xalapa_.pdf
concesion gruas ssp gruas m2 xalapa_.pdfconcesion gruas ssp gruas m2 xalapa_.pdf
concesion gruas ssp gruas m2 xalapa_.pdfredaccionxalapa
 
Boletín semanal informativo 15 Abril 2024
Boletín semanal informativo 15 Abril 2024Boletín semanal informativo 15 Abril 2024
Boletín semanal informativo 15 Abril 2024Nueva Canarias-BC
 
La Justicia Federal no le hizo lugar a medida del Intendente de La Rioja cont...
La Justicia Federal no le hizo lugar a medida del Intendente de La Rioja cont...La Justicia Federal no le hizo lugar a medida del Intendente de La Rioja cont...
La Justicia Federal no le hizo lugar a medida del Intendente de La Rioja cont...Eduardo Nelson German
 

Último (20)

La lettera di pedro Sanchez che annuncia una "pausa"
La lettera di pedro Sanchez che annuncia una "pausa"La lettera di pedro Sanchez che annuncia una "pausa"
La lettera di pedro Sanchez che annuncia una "pausa"
 
COMUNICADO CNE-CAMPAÑA Y PROPAGANDA ELECTORAL 20240423.pdf
COMUNICADO CNE-CAMPAÑA Y PROPAGANDA ELECTORAL 20240423.pdfCOMUNICADO CNE-CAMPAÑA Y PROPAGANDA ELECTORAL 20240423.pdf
COMUNICADO CNE-CAMPAÑA Y PROPAGANDA ELECTORAL 20240423.pdf
 
Proyecto por la Regionalización y la Función Municipal
Proyecto por la Regionalización y la Función MunicipalProyecto por la Regionalización y la Función Municipal
Proyecto por la Regionalización y la Función Municipal
 
Pronunciamiento de Mujeres en defensa de la Ley 348
Pronunciamiento de Mujeres en defensa de la Ley 348Pronunciamiento de Mujeres en defensa de la Ley 348
Pronunciamiento de Mujeres en defensa de la Ley 348
 
Proyecto sobre la Libertad de Conciencia Cívica
Proyecto sobre la Libertad de Conciencia CívicaProyecto sobre la Libertad de Conciencia Cívica
Proyecto sobre la Libertad de Conciencia Cívica
 
Aviso de pago de Títulos Públicos de La Rioja
Aviso de pago de Títulos Públicos de La RiojaAviso de pago de Títulos Públicos de La Rioja
Aviso de pago de Títulos Públicos de La Rioja
 
Ente de Coordinación Operativa de Servicios en la Capital
Ente de Coordinación Operativa de Servicios en la CapitalEnte de Coordinación Operativa de Servicios en la Capital
Ente de Coordinación Operativa de Servicios en la Capital
 
Proyecto para reformar la Libertad de Expresión
Proyecto para reformar la Libertad de ExpresiónProyecto para reformar la Libertad de Expresión
Proyecto para reformar la Libertad de Expresión
 
Proyecto para la reforma de la Función Judicial
Proyecto para la reforma de la Función JudicialProyecto para la reforma de la Función Judicial
Proyecto para la reforma de la Función Judicial
 
PRECIOS_M_XIMOS_VIGENTES_DEL_21_AL_27_DE_ABRIL_DE_2024.pdf
PRECIOS_M_XIMOS_VIGENTES_DEL_21_AL_27_DE_ABRIL_DE_2024.pdfPRECIOS_M_XIMOS_VIGENTES_DEL_21_AL_27_DE_ABRIL_DE_2024.pdf
PRECIOS_M_XIMOS_VIGENTES_DEL_21_AL_27_DE_ABRIL_DE_2024.pdf
 
maraton atenas veracruzana 2024 calles rutas.pdf
maraton atenas veracruzana 2024 calles rutas.pdfmaraton atenas veracruzana 2024 calles rutas.pdf
maraton atenas veracruzana 2024 calles rutas.pdf
 
IDEA Perú Percepciones sobre la Democracia y Valores Democráticos 2024.pdf
IDEA Perú Percepciones sobre la Democracia y Valores Democráticos 2024.pdfIDEA Perú Percepciones sobre la Democracia y Valores Democráticos 2024.pdf
IDEA Perú Percepciones sobre la Democracia y Valores Democráticos 2024.pdf
 
LA CRÓNICA COMARCA DE ANTEQUERA _ Nº 1077
LA CRÓNICA COMARCA DE ANTEQUERA _ Nº 1077LA CRÓNICA COMARCA DE ANTEQUERA _ Nº 1077
LA CRÓNICA COMARCA DE ANTEQUERA _ Nº 1077
 
Horarios de cortes de luz en Los Ríos para este lunes, 22 de abril, según CNEL
Horarios de cortes de luz en Los Ríos para este lunes, 22 de abril, según CNELHorarios de cortes de luz en Los Ríos para este lunes, 22 de abril, según CNEL
Horarios de cortes de luz en Los Ríos para este lunes, 22 de abril, según CNEL
 
Proyecto de reforma por los Derechos Políticos y Régimen Electoral
Proyecto de reforma por los Derechos Políticos y Régimen ElectoralProyecto de reforma por los Derechos Políticos y Régimen Electoral
Proyecto de reforma por los Derechos Políticos y Régimen Electoral
 
Boletin semanal informativo 16 Abril 2024
Boletin semanal informativo 16 Abril 2024Boletin semanal informativo 16 Abril 2024
Boletin semanal informativo 16 Abril 2024
 
Estudio de opinión a nivel nacional (16.04.24) Publicación.pdf
Estudio de opinión a nivel nacional (16.04.24) Publicación.pdfEstudio de opinión a nivel nacional (16.04.24) Publicación.pdf
Estudio de opinión a nivel nacional (16.04.24) Publicación.pdf
 
concesion gruas ssp gruas m2 xalapa_.pdf
concesion gruas ssp gruas m2 xalapa_.pdfconcesion gruas ssp gruas m2 xalapa_.pdf
concesion gruas ssp gruas m2 xalapa_.pdf
 
Boletín semanal informativo 15 Abril 2024
Boletín semanal informativo 15 Abril 2024Boletín semanal informativo 15 Abril 2024
Boletín semanal informativo 15 Abril 2024
 
La Justicia Federal no le hizo lugar a medida del Intendente de La Rioja cont...
La Justicia Federal no le hizo lugar a medida del Intendente de La Rioja cont...La Justicia Federal no le hizo lugar a medida del Intendente de La Rioja cont...
La Justicia Federal no le hizo lugar a medida del Intendente de La Rioja cont...
 

EDI - Respuestas al cumplimiento ¿Cada vez más complejas?

  • 1. Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 1 Respuestas al cumplimiento ¿Cada vez más complejas? Las regulaciones globales y locales están creciendo en volumen y en complejidad, y como resultado, la demanda de responsabilidad legal se ha intensificado, a la vez que la administración de los costos asociados a la gestión de riesgo y cumplimiento continúa siendo un reto. ¿Debe la estrategia de cumplimiento de una empresa ser parte de la estrategia de seguridad? ¿Debe ser independiente o estar más cerca del área legal? ¿Cómo elige mejorar el cumplimiento en su empresa? En una organización la gestión de cumplimiento puede tornarse compleja y difícil de realizar, no solo por razones técnicas sino también por razones organizativas y funcionales. Coordinar todos los esfuerzos encaminados a asegurar un entorno de cumplimiento corporativo requiere de un adecuado control que integre los esfuerzos de toda la organización, empleando mecanismos reguladores de las funciones y actividades desarrolladas por cada uno de sus empleados. Por ello deben establecerse pautas para la integración de capacidades de gobierno, aseguramiento y gestión del desempeño, riesgo y cumplimiento que integren estos esfuerzos de una manera conjunta, y que luego se representarán a través de las políticas y normas organizacionales, que formaran un marco normativo como medio de comunicación en el cual se establecen las reglas y controles reflejados en los diferentes procedimientos de la organización, para asegurar el cumplimiento de leyes y regulaciones del negocio apoyando a la confidencialidad, integridad y disponibilidad de la información previniendo y manejando los riesgos de seguridad en diversas circunstancias. Tengamos en cuenta que las pautas establecidas deben representarse en un programa que defina el objetivo, dirección, principios y reglas básicas para la gestión del cumplimiento y la seguridad. En el mundo actual, no hay forma de asegurarnos contra el robo o el fraude si no podemos controlar o gobernar los procesos de negocio desde la tecnología que les brinda servicios y a su vez, si no capacitamos y concientizamos a las personas que los gestionan. Toda persona que intervenga en los diferentes procesos de negocio y a su vez utilice los servicios informáticos que ofrece la organización, debe conocer el marco normativo que regula las actividades de la organización, teniendo en cuenta que su desconocimiento no lo exonera de responsabilidad, ante cualquier eventualidad que involucre a la organización y a la seguridad de la información. El objetivo de un programa de cumplimiento es el crear una mejor imagen de mercado y reducir los daños tangibles o intangibles ocasionados por los potenciales riesgos; esto determina que las necesidades de cumplimiento se centren en dar respuesta a la gestión riesgos, el control de los procesos y el control de accesos a la información y a los sistemas, siendo cada una de estos puntos módulos fundamentales para el entorno de GRC (Governance, Risk & Compliance) de cualquier organización, y el medio para dar respuesta puede ser representado, por ejemplo, a través de la gestión de seguridad de la información alineada con los objetivos comerciales de la organización para asegurar su negocio. Tomando como guía este sistema de gestión, se tiene la posibilidad de cubrir una respuesta tanto a requerimientos legales o de industria (SOX, PCI-DSS, LFPDP, BCRA, SBIF, SBS, etc.) como el demostrar la adopción de prácticas comunes desde la visión de seguridad de la información (ISO9001, ISO27001, ITIL, COBIT, ISO20000, etc.) y las prácticas internas o la interacción con diferentes funciones y terceros. Los retos de cumplimiento han
  • 2. Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 2 llevado a un incremento del espectro de responsabilidades, que abarcan aspectos relacionados con la administración de riesgos, la administración de cumplimiento y seguridad de la información, continuidad del negocio y la protección de datos. Este incremento de responsabilidades ha llevado a lo largo del tiempo a integrar dentro de las organizaciones áreas específicas para su gestión, siendo el CSO o CISO (Chief Security Officer o Chief Information Security Officer) el responsable de supervisar el cumplimiento de los objetivos del sistema de gestión de seguridad y, al mismo tiempo, de establecer nuevas metas. Debemos tener en cuenta que, para una buena comprensión de las pautas establecidas por la organización, la normativa debe ser organizada de manera sencilla para que pueda ser interpretada por cualquier persona que ostente un cargo de empleado o terceros con un contrato de trabajo por servicios en la organización, con conocimientos informáticos o sin ellos. Las políticas deben ser creadas según el contexto de aplicación, organizadas por niveles de seguridad y siguiendo un entorno de desarrollo, sobre la problemática de la compañía o previniendo futuras rupturas en la seguridad y el cumplimiento, aplicada sobre sus diferentes recursos o activos de información. Dentro de la práctica de la seguridad de la información, los objetivos para controles individuales de seguridad o grupos de controles deben ser propuestos por el Comité de Seguridad y aprobados por la Dirección en la declaración de aplicabilidad; los cuales son revisados al menos una vez al año. El Comité de Seguridad de la Información debe estar destinado a garantizar el apoyo manifiesto de la Dirección a las iniciativas de seguridad, siendo sus principales funciones: 1. Revisar y proponer a la Dirección para su consideración y posterior aprobación, las políticas de seguridad de la información y las funciones generales en materia de seguridad de la información que fueran convenientes y apropiadas para la organización. 2. Monitorear cambios significativos en los riesgos que afectan a los recursos de la información de la organización frente a posibles amenazas, sean internas o externas. 3. Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes, relativos a la seguridad, que se produzcan en el ámbito de la organización. 4. Aprobar las principales iniciativas para incrementar la seguridad de la información, de acuerdo a las competencias y responsabilidades asignadas a cada sector, así como acordar y aprobar metodologías y procesos específicos relativos a la seguridad de la información 5. Evaluar y coordinar la implementación de controles específicos de seguridad de la información para los sistemas o servicios de esta organización, sean preexistente o nuevos. 6. Promover la difusión y apoyo a la seguridad de la información dentro de la organización, como así coordinar el proceso de administración de la continuidad del negocio. Teniendo en cuenta las necesidades de cumplimiento, el programa definido para la gestión de la seguridad de la información, debe tomar como lineamientos principales cuatro dominios relacionados con el Gobierno Corporativo:  Seguridad Organizacional Estableciendo el marco formal de seguridad que debe sustentar la organización, incluyendo servicios o contrataciones externas a la infraestructura de seguridad, Integrando el recurso humano con la tecnología, denotando responsabilidades y actividades complementarias como respuesta ante situaciones anómalas a la seguridad.
  • 3. Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 3  Seguridad Lógica Estableciendo e integrando los mecanismos y procedimientos, que permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades, perfiles de seguridad, control de acceso a las aplicaciones y documentación sobre sistemas, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, selección y aceptación de sistemas, hasta el control de software malicioso.  Seguridad Física Identificando los límites mínimos que se deben cumplir en cuanto a perímetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en la importancia de los activos.  Seguridad Legal Integrando los requerimientos de seguridad que deben cumplir todos los empleados, socios y terceros que interactúan en procesos de negocio y la información de la compañía, bajo la reglamentación de la normativa interna de políticas y manuales de procedimientos de la organización en cuanto al recurso humano, sanciones aplicables ante faltas cometidas, así como cuestiones relacionadas con la legislación del país y contrataciones externas. Para la práctica de estos cuatro dominios, y según lo mencionamos en párrafos anteriores, se debe establecer una metodología para determinar el proceso para la administración de riesgos, asegurando cubrir las siguientes etapas que llevan a completar su tratamiento: • Identificación de los procesos de Negocio y servicios de TI y seguridad que lo soportan • Identificación de riesgos de Negocio y servicios de TI y SI que lo soportan • Análisis de riesgos de Negocio y servicios de TI y SI que lo soportan • Evaluación de riesgos de Negocio y servicios de TI y SI que lo soportan • Tratamiento de riesgos de Negocio y servicios de TI y SI que lo soportan • Documentación, control y revisión Los diferentes riesgos al cumplimiento deben ser evaluados sobre cada conjunto de actividades o procesos definidos, teniendo en cuenta su interrelación de forma ordenada y consecutiva para identificar los factores de riesgo que puedan involucrar a una o más unidades de negocio. Estos factores de riesgo pueden involucrar aspectos de cumplimiento al producirse un evento determinado que influya negativamente en el normal funcionamiento y operación de los procesos de TI de la organización, afectando de esta forma tanto a la privacidad o disponibilidad de datos como a la integridad que puede conllevar a hechos delictivos, ya sea por robo o fraudes. La organización debe considerar dentro de la definición de Riesgos de TI aquellos eventos relacionados con los sistemas de información y con la infraestructura de TI propia y de terceros que soporta el funcionamiento de dichos sistemas, y con cualquier otro recurso relacionado empleado por la función de TI de la organización para brindar sus servicios. De la misma forma, deben tenerse en cuenta los riesgos resultantes de la falta de adecuación o fallas en los procesos internos, de la actuación del personal o bien de aquellos que sean producto de eventos externos.
  • 4. Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 4 La organización debe considerar estos riesgos como componentes importantes a tener en cuenta en su programa de cumplimiento. Por lo tanto, independientemente de las normas y procedimientos específicos para la administración de riesgos, se debe aplicar un esquema en el cual las salidas del proceso de administración de riesgos se integren con el conjunto de la documentación de los procesos de negocio, con el fin de poder disponer de documentación acerca del perfil de riesgos operativos que enfrenta la organización en forma integrada y completa. El enfoque utilizado para identificar riesgos y factores debe incluir, entre otros, lo siguiente: • Juicios basados en la experiencia y conocimiento de la organización y de los procesos y funciones de TI con los cuales está involucrado • Observaciones formuladas en informes de Auditoría Interna, Auditoría Externa, y otras auditorías a las que esté sometida la organización. • Resultados de estudios de vulnerabilidad llevados a cabo por la organización, ya sea en forma interna como mediante la contratación de terceros especializados. • Conocimiento de incidentes registrados en el área, conocimiento de incidentes ocurridos en otras organizaciones del sector, aporte de las áreas usuarias • Nuevos proyectos encarados por la organización, mediante los cuales se afecte a procesos de negocio o a la infraestructura de TI, los sistemas de información, o cualquier recurso relacionado. • Cambios organizacionales, tales como reestructuración de áreas tecnológicas o funcionales, o la tercerización de actividades vinculadas con la administración y/o procesamiento de los sistemas de información o cualquier tipo de tratamiento de información de la organización. • Clasificación de activos: En la clasificación de activos de información se define la criticidad de los activos en base a su disponibilidad, confidencialidad e integridad. Esta información es de gran utilidad a la hora de identificar riesgos de cumplimiento en relación a los activos críticos. Adicionalmente a esto, las áreas de legales de las organizaciones, deben estar en conocimiento no solo de las actualizaciones legislativas y regulatorias, sino también de las necesidades de gobierno sobre las tecnologías actuales y nuevas que pueden influir negativamente en el cumplimiento de las organizaciones. Las áreas tecnológicas, de seguridad y riesgos deben conformarse como un núcleo consultivo que, en conjunto con las áreas legales y de control interno, permitan establecer un blindaje equilibrado a las organizaciones. Revise cualquier industria y encontrará que su entorno regulador se encuentra en un proceso constante de cambio, provocando alertas de cumplimiento a las cuales debe darse respuesta constante y en línea. Establecer controles e identificar riesgos nos permite determinar un seguimiento de las actividades más importantes dentro del programa de cumplimiento que son relevantes para cada función en la organización, y obtener datos procesables con los que se pueden medir y remediar las brechas rápidamente y de manera eficiente. Tener estos datos significativos a su alcance no sólo ayuda a comprender el nivel actual de madurez de cumplimiento, sino que también ayuda a tomar decisiones acerca de la priorización para su tratamiento. Es necesario que establezca una metodología de medición en función de datos que representen el nivel de cumplimiento interno, representados en un proceso que refleje en forma periódica el alineamiento a las políticas internas de la organización y sus desvíos. También puede hacerse mediante encuestas internas a usuarios finales, con preguntas referentes a puntos vitales de las normas, para evaluar el nivel de conocimiento como instancia previa a evaluar el cumplimiento en los procesos. Respecto de los indicadores, los mismos deben ser dinámicos en función de nuevas regulaciones o cambios en los procesos (lo que los hacen variables en el tiempo); además que también se pueden establecer
  • 5. Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 5 distintos niveles de indicadores en función del nivel de madurez de la organización, lo que también hace que puedan variar en el tiempo teniendo en cuenta el crecimiento futuro en el nivel de cumplimiento de la misma. Conclusión: Adopte una guía que responda a sus necesidades de cumplimiento, y desde el conocimiento de sus procesos no solo identifique aspectos legales o regulatorios, sino que también contemple los diferentes procesos secundarios o de servicios que pueden afectar al cumplimiento en los procesos principales, como por ejemplo la tecnología y la seguridad de la información. Fabián Descalzo fabiandescalzo@yahoo.com.ar Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento (GRC) en Cybsec by Deloitte, con amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de Seguridad de la Información y Tecnologías de la Información.. Es certificado en Dirección de Seguridad de la Información (Universidad CAECE), IRCA ISMS Auditor, Lead Auditor ISO/IEC 27001, instructor certificado ITIL Fundation v3-2011 (EXIN) y auditor ISO 20000 (LSQA- Latu), profesor del módulo 27001 del curso de “TI Governance, Uso eficiente de Frameworks”, y de la “Diplomatura en Gobierno y Gestión de Servicios de TI” del Instituto Tecnológico Buenos Aires (ITBA), profesor en Sistemas de Gestión TI y Seguridad de la Información para entidades certificadoras y Auditor ISO 20000 / ISO 27001 para TÜV Rheinland Argentina. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO- Community y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter. Miembro del Comité Académico E-GISART de ISACA Buenos Aires Chapter, del Comité Directivo del “Cyber Security for Critical Assets LATAM Summit” para Qatalys Global sección Infraestructura Crítica (Gobiernos y empresas de América Latina en el sector de la energía, química, petróleo y gas), del Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), y del Comité Organizador CYBERSECURITY de ISACA Buenos Aires Chapter.