Como cuidar la salud de nuestra seguridad en el Cloud
Generalmente cuando hablamos de la “Nube” nos es difícil visualizarla, y mucho menos crearnos una imagen tangible de sus alcances y riesgos si no tenemos una visión clara de cómo poder controlarla, lo que genera una sensación de incertidumbre que hace que elijamos al Cloud Computing como “moda” y no como un recurso tecnológico que nos da una ventaja para ofrecer mejores servicios de salud.
Las necesidades del Negocio han ido trasladando a la industria de la información diversas "ideas" que la han impulsado en una forma cada vez más abrupta a brindar soluciones que aporten mayor velocidad de respuesta en el tratamiento de los datos y mayor disponibilidad de los mismos. Tener las respuestas y la información en todo momento y al alcance de las manos tienen sus costos asociados... y sus riesgos
Isaca rev perspectivas nota 1 - la era de los controlesFabián Descalzo
Nota sobre gestión de controles publicada en la Revista PERCEPCIONES (publicación de ISACA – Capitulo Montevideo, Uruguay), en el marco del CIGRAS (Congreso Internacional sobre Gobierno, Riesgos, Auditoría y Seguridad)
Las necesidades del Negocio han ido trasladando a la industria de la información diversas "ideas" que la han impulsado en una forma cada vez más abrupta a brindar soluciones que aporten mayor velocidad de respuesta en el tratamiento de los datos y mayor disponibilidad de los mismos. Tener las respuestas y la información en todo momento y al alcance de las manos tienen sus costos asociados... y sus riesgos
Isaca rev perspectivas nota 1 - la era de los controlesFabián Descalzo
Nota sobre gestión de controles publicada en la Revista PERCEPCIONES (publicación de ISACA – Capitulo Montevideo, Uruguay), en el marco del CIGRAS (Congreso Internacional sobre Gobierno, Riesgos, Auditoría y Seguridad)
Ponencia de Manuel Vasallo Reboreda ( Director de Desarrollo de Negocio de AUDISEC) en el marco del Congreso CLOUD COMPUTING 2012, Seguridad y Eficiencia en la “Nube”, organizado por la Fundación DINTEL
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...Jack Daniel Cáceres Meza
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad informática.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2015-1.
La nube es un término que agrega diferentes mecanismos de tercerización de los servicios de infraestructura o de aplicaciones, el uso de este tipo de servicios se está generalizando de manera que hoy en día muchas organizaciones que manejan datos sensibles están en proceso de definir una ruta para poder mover sus servicios de tecnología a proveedores de este tipo; sin embargo, estas migraciones conllevan retos importantes a nivel de seguridad, en especial para aquellas organizaciones que deben cumplir con PCI DSS. En esta presentación haremos un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento de este exigente estándar de seguridad prestando especial atención a aspecto entre los que se encuentran los Modelos de Despliegue y Servicio, las Consideraciones de Segmentación, la Delimitación del Ambiente CDE, etc.
Cuando los Datos y el Conocimiento se convierten en Información y la Sabiduría de cómo cuidarla.
Confidencialidad, Integridad y Disponibilidad. Estas tres palabras pueden transformarse en Tranquilidad respecto del tratamiento de la información que poseemos y nos confían. Descubrir el centro de cómo implementarlas hace a la diferencia.
Ponencia de Manuel Vasallo Reboreda ( Director de Desarrollo de Negocio de AUDISEC) en el marco del Congreso CLOUD COMPUTING 2012, Seguridad y Eficiencia en la “Nube”, organizado por la Fundación DINTEL
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...Jack Daniel Cáceres Meza
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad informática.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2015-1.
La nube es un término que agrega diferentes mecanismos de tercerización de los servicios de infraestructura o de aplicaciones, el uso de este tipo de servicios se está generalizando de manera que hoy en día muchas organizaciones que manejan datos sensibles están en proceso de definir una ruta para poder mover sus servicios de tecnología a proveedores de este tipo; sin embargo, estas migraciones conllevan retos importantes a nivel de seguridad, en especial para aquellas organizaciones que deben cumplir con PCI DSS. En esta presentación haremos un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento de este exigente estándar de seguridad prestando especial atención a aspecto entre los que se encuentran los Modelos de Despliegue y Servicio, las Consideraciones de Segmentación, la Delimitación del Ambiente CDE, etc.
Cuando los Datos y el Conocimiento se convierten en Información y la Sabiduría de cómo cuidarla.
Confidencialidad, Integridad y Disponibilidad. Estas tres palabras pueden transformarse en Tranquilidad respecto del tratamiento de la información que poseemos y nos confían. Descubrir el centro de cómo implementarlas hace a la diferencia.
EGISART2015 - SALUD Y RIESGOS, HACIA UN MODELO DE PRIVACIDAD Y SEGURIDADFabián Descalzo
La buena atención al paciente no solo se asegura resguardando los registros de la práctica médica, no hay que olvidar que una Historia Clínica representa a un ser humano único y valioso: no es sólo una colección de datos resguardados electrónicamente o en papel, es una vida.
Compartir electrónicamente la información de salud del paciente supone un nuevo entorno de riesgos para los cuales deben crearse nuevas formas de auditar y asegurar información sensible, pero se requerirá de un esfuerzo sostenido y organizado para alcanzar los objetivos de confidencialidad, integridad y disponibilidad de los datos de salud. La confianza es clínicamente importante además de ser un activo empresarial clave. ¿Cómo gestiona desde sus procesos funcionales y tecnológicos la información de los pacientes?
CIGRAS2012 (ISACA Montevideo) Seguridad y NegocioFabián Descalzo
Seguridad integrada como respuesta al Negocio - Participación como conferencista en la 3a. Edición del “Congreso Internacional sobre Gobierno, Riesgos, Auditoría y Seguridad” de Tecnología de Información – CIGRAS - que se realizó en Montevideo los días 2 y 3 de agosto de 2012.
SEGURIDAD DE LA INFORMACIÓN EN LA INDUSTRIA DE LA SALUD
Auditoria de la Seguridad e Informática en la Salud
Como sabemos, a través de la Auditoria Médica se garantiza la calidad de servicio que se extiende como un método sistemático, planificado y continuo para monitorear, evaluar y mejorar la calidad de los servicios de salud, mediante la revisión y el estudio de las historias clínicas, estadísticas hospitalarias y registros de lo efectuado demostrando que hay una relación directa entre la calidad de los registros y la de la atención prestada.
Are Privacy, Cloud, Risk and Security in your agenda? Do you have a clear plan? Are this initiatives business driven or technology driven? Is Innovation part of your strategy?
Seguridad y legalidad - Revista Magazcitum (México)Fabián Descalzo
Cuando el acceso a la información es nuestro mayor riesgo
Con solo conocer algunas de las estadísticas sobre riesgos por falta de cumplimiento regulatorio y controles que facilitan el fraude, nos daremos cuenta que gran parte de la solución está centrada en una adecuada gestión de accesos a la información.
Revista El Derecho Informático - Seguridad y legalidadFabián Descalzo
Con solo conocer algunas de las estadísticas sobre riesgos por falta de cumplimiento regulatorio y controles que facilitan el fraude, nos daremos cuenta que gran parte de la solución está centrada en una adecuada gestión de accesos a la información.
Whitepaper 5 maneras de mejorar la Seguridad en el Cloud Arsys
La seguridad en el Cloud es muy elevada. Sus estándares adoptados y las eficaces medidas que se ponen en marcha permiten desterrar, de una vez por todas, los mitos relacionados con este tema. En todo caso, es necesario considerar que los datos y las aplicaciones que se almacenan en la Nube son exclusiva responsabilidad del cliente. ¿Qué implicaciones tiene esto? ¿Cómo podemos mejorar la seguridad en la Nube desde esa perspectiva?
La Comisión de Bolsa y Valores de EEUU (SEC) estableció una actualización de sus reglamentos sobre la gestión de la ciberseguridad y su relación con los riesgos en las compañías que puedan afectar a los accionistas, responsabilizando a la Dirección y al CISO frente a ciberataques.
Esta actualización hace que las compañías que cotizan en la Bolsa de NY, enfrenten la necesidad de adoptar un enfoque proactivo y estratégico para su gobernanza. La medida establecida subraya la importancia de los riesgos cibernéticos al mismo nivel que los riesgos financieros y patrimoniales.
En esta charla, compartimos nuestro entendimiento y enfoque sobre estos temas.
𝐒𝐎𝐁𝐑𝐄 𝐅𝐀𝐁𝐈𝐀́𝐍 𝐃𝐄𝐒𝐂𝐀𝐋𝐙𝐎
👔 LinkedIn: https://linkedin.com/in/fabiandescalzo
💡 Grupo Linkedin: https://www.linkedin.com/groups/12188431/
📷 https://www.instagram.com/fabiandescalzo/
📚 Slide Share: https://slideshare.net/fabiandescalzo
🌎 Blog: https://fabiandescalzo.wix.com/blogseguridadinfo
💬 Twitter: https://www.twitter.com/fabiandescalzo
📺 YouTube: https://www.youtube.com/fabdescalzo
📨 BDO Argentina: fdescalzo@bdoargentina.com
Seguinos en:
▶️ Web:
https://www.bdoargentina.com/es-ar/servicios/consultoria/ciberseguridad-gobierno-tecnologico
▶️ Grupo Linkedin: https://www.linkedin.com/groups/12188431/
▶️ PlayList Youtube: https://www.youtube.com/playlist?list=PLYvU8I64yp6U9ZPfeoZ0NYpnVNhPr-ceo
Redes Oficiales de 𝐁𝐃𝐎:
▶️ Web: https://www.bdoargentina.com/
▶️ Linkedin: https://www.linkedin.com/company/bdo-argentina/
▶️ Marketplace: https://bdomarketplace.com/
▶️ Youtube: https://www.youtube.com/BDOenArgentina
▶️ Instagram: https://www.instagram.com/bdoargentina
CFOs Meeting 2023 | Ciberseguridad en el negocioFabián Descalzo
El uso de la tecnología aplicada al negocio nos propone una integración de nuevas metodologías y herramientas que pueden superar las capacidades de gobierno y control interno de las organizaciones. Debido a ello muchas veces es difícil garantizar los objetivos del negocio dentro de un marco de riesgos controlados en un mundo cada vez más digital, por lo que se debe proponer una nueva visión asociada entre las decisiones estratégicas de la alta dirección y los proyectos gestionados por los mandos medios.
El objetivo de esta charla es presentar pautas que puedan ser utilizadas y comprendidas por la Dirección para discutir las iniciativas y alternativas del programa de seguridad de la información en términos de los resultados para el negocio.
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS Fabián Descalzo
El gobierno de la información supone una gestión coordinada que permite balancear el volumen, el perfil y la seguridad de la información que se obtiene, procesa, almacena y transmite en cualquier organización, que a su vez requiere establecer las medidas necesarias para que este ciclo de vida se desarrolle en forma segura y responda a los objetivos de cumplimiento regulatorio establecidos por la Dirección para sus estrategias de negocio y las propuestas tecnológicas que ofrece el mercado para mejorar y optimizar sus operaciones. Para implementar y asegurar el cumplimiento en la protección y privacidad de la información, la ISO/IEC 27701:2019 nos indica los requisitos y proporciona una guía para la implantación de un sistema de gestión de información de privacidad (PIMS), como una extensión de la ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la privacidad, dentro del contexto de su empresa y enfocados a protección de datos, sobre la base de directrices y requisitos específicos de protección de datos personales, teniendo en cuenta el RGPD y otras legislaciones vigentes en materia de Privacidad y de protección de datos personales.
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSFabián Descalzo
El control interno debe proponer una nueva visión asociada a detectar las brechas en la gestión y estandarización de las nuevas tecnologías, para asegurar a la organización no solo el cumplir con requisitos de cumplimiento, sino también con aspectos de ciberseguridad y seguridad de la información que aseguren su negocio.
Reviví nuestra charla donde presentamos las pautas para crear un entorno auditable en la organización que brinde alternativas al programa de control interno respecto de la seguridad de la información y ciberseguridad para la protección del negocio.
Accedé al video desde aquí: https://youtu.be/951TfFWM-vk
#auditoría #conferencia #Forum2023 #audit
#Ciberseguridad #Seguridad #Informatica #Tecnologia #Digital #Riesgo
BDO Argentina
https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdfFabián Descalzo
📢 𝐈𝐒𝐂𝟐 𝐀𝐫𝐠𝐞𝐧𝐭𝐢𝐧𝐚 | 𝐏𝐫𝐢𝐯𝐚𝐜𝐢𝐝𝐚𝐝 𝐲 𝐜𝐢𝐛𝐞𝐫𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝
Reviví nuestra charla sobre privacidad de datos y ciberseguridad, invitados por el ISC2 Capítulo Buenos Aires, donde tratamos entre otros los siguientes temas:
• Antecedentes de la privacidad e ISO/IEC 27701
• Organización para la protección de la privacidad de datos
• Requisitos de protección de la privacidad
• Privacidad desde el diseño en proyectos tecnológicos
• La privacidad y su relación con otros estándares
• Controles y auditoría de privacidad
• Riesgos y oportunidades en los programas de privacidad
👉 Link al video: https://youtu.be/x-_dGMeB6H4
BDO Argentina
#privacidad #ciberseguridad #iso27701 #GDPR #bdoasesoresdelfuturo #bdotambienesseguridad #seguridaddelainformacion #Webinar #Ciberseguridad #GobiernoIT
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...Fabián Descalzo
El control interno debe proponer una nueva visión asociada a detectar las brechas en la gestión y estandarización de las nuevas tecnologías, para asegurar a la organización no solo el cumplir con requisitos de cumplimiento, sino también con aspectos de ciberseguridad y seguridad de la información que aseguren su negocio.
El objetivo de esta charla es el presentar pautas que sean comprendidas tanto por los profesionales tecnológicos como por la Dirección, para crear un entorno auditable en la organización que brinde alternativas al programa de control interno respecto de la seguridad de la información y ciberseguridad para la protección del negocio.
🎙️ https://youtu.be/oC8G3T3BtKQ
#MesdelaCiberseguridad #Ciberseguridad
#Seguridad #Informatica #Tecnologia #Digital #Riesgo
𝐁𝐃𝐎 𝐀𝐏𝐈 seguinos en:
▶️ Web: https://lnkd.in/e6uv3Yn
▶️ Blog: https://lnkd.in/eCavYXX7)
▶️ Academy: https://lnkd.in/ecfZJbV
▶️ Grupo Linkedin: https://lnkd.in/e9FzKVt
▶️ PlayList Youtube: https://lnkd.in/e9Pjv-Sg
Redes Oficiales de 𝐁𝐃𝐎:
▶️ Web: https://lnkd.in/eXEbkXVC
▶️ Linkedin: https://lnkd.in/eDREGVc
▶️ Marketplace: https://lnkd.in/ewVYFXa
▶️ Youtube: https://lnkd.in/ew_4S3Ee
▶️ Instagram: https://lnkd.in/eRNNCisY
#BDOTambienEsSeguridad, #BDOAsesoresDelFuturo, #BDOCiberseguridad, #BDO, #BDOAPI
#ciberseguridad, #cybersecurity, #CISO, #CSO, #infosec, #infosecurity, #seguridadinformatica, #informationsecurity, #security, #cyberattack, #cybercrime, #ciberdelito, #dataprotection, #cybersec, #technology, #tecnologia
#BDOAcademy #Cursos #Ciberseguridad #TransformacionDigital
Les dejamos este documento que puede servirles como guía para abordar distintos temas en sus programas de concientización, que pueden ver de incluir y evolucionar con nuestros profesionales que dejo en copia:
Laura Dangelo Gerente de Gobierno IT y Ciberseguridad
Gustavo Arce Gerente de Auditoría y Control IT
Eduardo Polak Supervisor de Procesos y Gestión del Conocimiento
Estefanía Freitas Gestor del Cambio en Ciberseguridad
Brenda Sanchez Asistente y Comunicaciones API
¿Queres conocer nuestras soluciones? Animate a dar el salto 👉 https://lnkd.in/eqS62ZCd
#MesdelaCiberseguridad #Ciberseguridad
#Seguridad #Informatica #Tecnologia #Digital #Riesgo
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridadFabián Descalzo
A partir de la segunda mitad del siglo XX las organizaciones necesitaron adaptarse a una nueva realidad a nivel mundial, por lo que se desarrollo el control estadístico de procesos propuesto por Deming, lo que dio paso a la “Calidad Total” la cual no solo demostró grandes beneficios sino también la necesidad de involucramiento de la Dirección. Después de poco más de medio siglo, y en donde la transformación digital promueve la evolución a la “Industria 4.0”, el contexto de nuestro mundo a cambiado y una vez más debemos adaptarnos para acercarnos a los clientes mejorando su experiencia con nuestros servicios y haciendo más óptimos nuestros procesos sobre la base del uso de la tecnología, en el cual necesitamos una vez más del involucramiento de la Dirección y una mayor sensibilización con la ciberseguridad para minimizar los riesgos al negocio
Puntos clave de la presentación:
👉 Relación de la calidad y la ciberseguridad
👉 Que es aseguramiento para el negocio desde el punto de vista de ciberseguridad
👉 Control del gobierno corporativo en seguridad de la información y ciberseguridad
👉 Principales puntos a la innovación
👉 Pilares para la ciberseguridad como apoyo a la calidad
𝐁𝐃𝐎 𝐀𝐏𝐈 seguinos en:
▶️ Web: https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
▶️ Blog: https://www.bdoargentina.com/es-ar/blogs/aseguramiento-de-procesos-informaticos-(api)
▶️ Academy: https://www.bdoargentina.com/es-ar/bdo-academy/aseguramiento-de-procesos-informaticos
▶️ Grupo Linkedin: https://www.linkedin.com/groups/12188431/
▶️ PlayList Youtube: https://www.youtube.com/playlist?list=PLYvU8I64yp6U9ZPfeoZ0NYpnVNhPr-ceo
Redes Oficiales de 𝐁𝐃𝐎:
▶️ Web: https://www.bdoargentina.com/
▶️ Linkedin: https://www.linkedin.com/company/bdo-argentina/
▶️ Marketplace: https://bdomarketplace.com/
▶️ Youtube: https://www.youtube.com/BDOenArgentina
▶️ Instagram: https://www.instagram.com/bdoargentina/
#BDOTambienEsSeguridad, #BDOAsesoresDelFuturo, #BDOCiberseguridad, #BDO, #BDOAPI
#ciberseguridad, #cybersecurity, #CISO, #CSO, #infosec, #infosecurity, #seguridadinformatica, #informationsecurity, #security, #cyberattack, #cybercrime, #ciberdelito, #dataprotection, #cybersec, #technology, #tecnologia #TransformacionDigital
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
📢 Hoy día nos movemos en un entorno altamente tecnológico, lo que supone muchos peligros en el mundo digital y un ambiente propicio para los ciberdelincuentes. En este contexto, el factor humano es el primer eslabón vulnerable.
Los invitamos a ver nuestro webinar sobre 𝐂𝐨𝐧𝐜𝐢𝐞𝐧𝐭𝐢𝐳𝐚𝐜𝐢𝐨́𝐧 𝐞𝐧 𝐂𝐢𝐛𝐞𝐫𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝 𝐲 𝐂𝐡𝐚𝐧𝐠𝐞 𝐌𝐚𝐧𝐚𝐠𝐞𝐦𝐞𝐧𝐭, en el que repasamos el impacto de un plan de concientización en el negocio, presentado estrategias para la automatización del proceso y compartiendo las claves para acompañar la gestión del cambio en nuestras organizaciones.
🎦 Accede desde este link: https://youtu.be/CY3FwUjqvFA
Expositores:
🥇 @Fabián Descalzo, Socio en Aseguramiento de Procesos Informáticos
🥇 @Mónica López, Líder de Proyectos de Concientización
🥇 @Carlos Rozen, Socio en Change Management
#Ciberseguridad #ChangeManagement #Cultura #Seguridad #Digital
𝐁𝐃𝐎 𝐀𝐏𝐈 seguinos en:
▶️ Web: https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
▶️ Blog: https://www.bdoargentina.com/es-ar/blogs/aseguramiento-de-procesos-informaticos-(api)
▶️ Academy: https://www.bdoargentina.com/es-ar/bdo-academy/aseguramiento-de-procesos-informaticos
▶️ Grupo Linkedin: https://www.linkedin.com/groups/12188431/
▶️ PlayList Youtube: https://www.youtube.com/playlist?list=PLYvU8I64yp6U9ZPfeoZ0NYpnVNhPr-ceo
Mapa regional en ciberseguridad y gobierno IT.pdfFabián Descalzo
🔐 𝐌𝐀𝐏𝐀 𝐑𝐄𝐆𝐈𝐎𝐍𝐀𝐋 𝐄𝐍 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃 𝐘 𝐆𝐎𝐁𝐈𝐄𝐑𝐍𝐎 𝐈𝐓
Los cambios producidos por la digitalización de nuestras organizaciones nos plantean un desafío en relación con la gestión de la ciberseguridad y gobierno de la tecnología. Disponer de la información adecuada es clave para la mejora continua en nuestros negocios.
Presentamos el Mapa Regional en Ciberseguridad y Gobierno IT, basado en el informe “𝐄𝐬𝐭𝐚𝐝𝐨 𝐝𝐞𝐥 𝐀𝐫𝐭𝐞 𝐝𝐞 𝐥𝐚 𝐂𝐢𝐛𝐞𝐫𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝, 𝐆𝐨𝐛𝐢𝐞𝐫𝐧𝐨 𝐝𝐞 𝐓𝐈 𝐲 𝐥𝐨𝐬 𝐍𝐞𝐠𝐨𝐜𝐢𝐨𝐬”. Tiene como objetivo determinar el nivel de madurez e implementación de capacidades de gobierno de la tecnología de las empresas para estimar el nivel de exposición a las brechas de seguridad en el negocio.
Accede al informe👉 https://bit.ly/3x8nzh2
Referentes de BDO Argentina: Fabián Descalzo, Ing. Pablo A. Silberfich
https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
#TransformacionDigital #Ciberseguridad #GobiernoIT #SeguridaddelaInformacion
🔐 𝐌𝐀𝐏𝐀 𝐑𝐄𝐆𝐈𝐎𝐍𝐀𝐋 𝐄𝐍 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃 𝐘 𝐆𝐎𝐁𝐈𝐄𝐑𝐍𝐎 𝐈𝐓
Los cambios producidos por la digitalización de nuestras organizaciones nos plantean un desafío en relación con la gestión de la ciberseguridad y gobierno de la tecnología. Disponer de la información adecuada es clave para la mejora continua en nuestros negocios.
Presentamos el Mapa Regional en Ciberseguridad y Gobierno IT, basado en el informe “𝐄𝐬𝐭𝐚𝐝𝐨 𝐝𝐞𝐥 𝐀𝐫𝐭𝐞 𝐝𝐞 𝐥𝐚 𝐂𝐢𝐛𝐞𝐫𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝, 𝐆𝐨𝐛𝐢𝐞𝐫𝐧𝐨 𝐝𝐞 𝐓𝐈 𝐲 𝐥𝐨𝐬 𝐍𝐞𝐠𝐨𝐜𝐢𝐨𝐬”. Tiene como objetivo determinar el nivel de madurez e implementación de capacidades de gobierno de la tecnología de las empresas para estimar el nivel de exposición a las brechas de seguridad en el negocio.
Accede al informe👉 https://bit.ly/3x8nzh2
Referentes de BDO Argentina: Fabián Descalzo, Ing. Pablo A. Silberfich
https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
#TransformacionDigital #Ciberseguridad #GobiernoIT #SeguridaddelaInformacion
Las empresas no suelen darse cuenta de cuán invaluable es una estrategia de ciberseguridad hasta que una vulnerabilidad es descubierta y aprovechada por un ciberdelincuente o un agente interno malintencionado.
BDO quiere asegurarse que su empresa nunca se enfrente a esta situación. Los profesionales de BDO están disponibles para proveer sus recursos especializados y su conocimiento sobre cualquier problema de ciberseguridad.
Para consultar el Equipo de Ciberseguridad de BDO, visite:
https://lnkd.in/edBReSjy
Les compartimos nuestros principales consejos para una protección adecuada de su compañía, y los principales tips sobre este tema en el documento adjunto.
Dia internacional ciberseguridad 30 noviembre 2021Fabián Descalzo
Desde 1988, cada 30 de noviembre se celebra el 퐃퐢퐚 퐈퐧퐭퐞퐫퐧퐚퐜퐢퐨퐧퐚퐥 퐝퐞 퐥퐚 퐒퐞퐠퐮퐫퐢퐝퐚퐝 퐝퐞 퐥퐚 퐈퐧퐟퐨퐫퐦퐚퐜퐢퐨́퐧 y desde API, el área de Gobierno Tecnológico, Seguridad de la Información y Ciberseguridad de BDO Argentina, les queremos brindar nuestro aporte y apoyo en la protección de la información y la confianza digital de cada persona y organización de nuestra comunidad.
磊Felicitaciones a todos nuestros colegas y bienvenidos a aquellos que quieran sumarse a esta necesaria e interesante actividad.
퐁퐃퐎 퐀퐏퐈 seguinos en:
▶️ Web:
https://lnkd.in/e6uv3Yn
▶️ Blog:
https://lnkd.in/eCavYXX7)
▶️ Academy: https://lnkd.in/ecfZJbV
▶️ Grupo Linkedin: https://lnkd.in/e9FzKVt
▶️ PlayList Youtube: https://lnkd.in/e9Pjv-Sg
Redes Oficiales de 퐁퐃퐎:
▶️ Web: https://lnkd.in/eXEbkXVC
▶️ Linkedin: https://lnkd.in/eDREGVc
▶️ Marketplace: https://lnkd.in/ewVYFXa
▶️ Youtube: https://lnkd.in/ew_4S3Ee
▶️ Instagram: https://lnkd.in/eRNNCisY
#BDOTambienEsSeguridad, #BDOAsesoresDelFuturo, #BDOCiberseguridad, #BDO, #BDOAPI
#ciberseguridad, #cybersecurity, #CISO, #CSO, #infosec, #infosecurity, #seguridadinformatica, #informationsecurity, #security, #cyberattack, #cybercrime, #ciberdelito, #dataprotection, #cybersec, #technology, #tecnologia
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍAFabián Descalzo
El uso de la tecnología aplicada al negocio, al alcance de cualquier área no-tecnológica y con una oferta “a la carta” nos propone una integración de nuevas metodologías y herramientas que puede superar las capacidades de gobierno y control interno de las organizaciones.
Debido a ello, y en apoyo a las áreas tecnológicas, de ciberseguridad y seguridad de la información, la auditoría debe proponer una nueva visión asociada a detectar las brechas en la gestión y estandarización de las nuevas tecnologías y en metodologías asociadas a proyectos, para asegurar a la organización no solo el cumplir con requisitos de cumplimiento, sino también con aspectos de ciberseguridad y seguridad de la información que aseguren su negocio.
https://youtu.be/z2fx2OmQFts
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESFabián Descalzo
En un entorno tan cambiante y dentro del contexto actual, nos enfrentamos a la inseguridad de la información y los ciber riesgos emergentes, que nos abren una puerta a nuevos retos relacionados con continuidad operativa. Los riesgos (tecno)peracionales ya no solo dependen de la tecnología, ya que la innovación y transformación digital requieren de un fuerte componente estratégico para una definición e implementación que asegure el negocio y sus resultados.
En este sentido, analizaremos juntos en este evento los requisitos mínimos de gestión y control sobre los riesgos relacionados con la tecnología de la información y la necesidad de “CONFIANZA DIGITAL”:
1. NEGOCIO, INFORMACIÓN Y TECNOLOGÍA CONECTADA
2. DELEGACIÓN DE OPERACIONES Y RIESGOS TECNOLÓGICOS
3. REQUISITOS DE CIBERSEGURIDAD ASOCIADO A SERVICIOS TECNOLÓGICOS TERCERIZADOS
4. NUEVO ENFOQUE DE CONTROLES Y (TECNO)CONTINUIDAD OPERATIVA
https://youtu.be/7-cugTpckq8
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018Fabián Descalzo
AUDITORÍA IT Y LA ISO/IEC20000-1: ¿Cuál es el enfoque y que ventajas me da conocer los requisitos para la prestación de servicios de IT en la auditoría tecnológica? Si querés enterarte acompañanos en este webinar gratuito, en el que compartiremos esta visión sobre el tema.
https://youtu.be/VpCkIqtTg0k
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDFabián Descalzo
Las entidades y empresas de la Industria de la Salud presentan un ámbito complejo con respecto a la información que gestionan, ya que no solo se trata de datos comerciales o administrativos, sino que el núcleo de su actividad se plantea entorno a los datos de salud.
Por esa razón, esta industria requiere de una estructura organizativa para la gestión de la seguridad de su información, y de herramientas que le ayuden a automatizar sus procesos asociados, para establecer un gobierno ordenado y metodológico que le permita administrar la información de forma segura y bajo un criterio único de asignación de responsabilidades y recursos, protegiendo a la Entidades y Empresas de la Salud y brindando un entorno confiable de trabajo para cada uno de sus Empleados y Profesionales.
https://youtu.be/VBgW5F_2PKQ
La importancia de la información y la tecnología relacionada sigue creciendo, y los líderes empresariales necesitan buena información para agudizar su visión y tomar decisiones comerciales acertadas, y esto deben asegurarlo a lo largo del tiempo. Por eso, la organización que desee conseguir un plan eficiente para garantizar la resiliencia en su negocio debe estar integrada y organizada a través de la concientización diaria, la capacitación periódica y por la generación de procesos de negocio y tecnológicos que hayan sido creados bajo un concepto de resiliencia.
¿El desafío? Establecer un proceso de continuidad y resiliencia que aporte un marco de gobierno de ciberseguridad y tecnológico, ayudando a minimizar y prevenir los ataques internos y externos como por ejemplo las violaciones de datos o actividades fraudulentas, que dejan a las organizaciones vulnerables a los riesgos de pérdida o exposición de su información.
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...Fabián Descalzo
El cumplir con la existencia de un Marco Normativo no contempla únicamente actividades relacionadas con la creación y publicación de documentos requeridos por auditorías o entes certificadores.
Un Marco Normativo es la biblioteca de referencia que representa los diferentes procesos de una organización y establecen una guía operativa para el desarrollo de estos, y debe estar adecuado a la cultura de la organización tanto en los aspectos de los recursos humanos (comportamiento, cumplimiento, entendimiento) como en lo referente a los procesos y cómo la organización los gestiona (madurez organizacional).
¿El desafío? Gestionar un marco normativo que ofrezca un balance aceptable entre cultura en la gestión y madurez organizacional con las nuevas metodologías de gestión IT y las nuevas tecnologías adoptadas y elegidas por el negocio, sin que se alejen de sus necesidades de cumplimiento, cuya presión cada vez es más importante.
https://youtu.be/XPjTvpfaJkc
PPT Inspecciones Diarias Codelco - EE.CC. 31-05 al 02 Junio 2024.pptx
REVISTA CISALUD La salud por las nubes
1. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
1
La salud por las Nubes
Como cuidar la salud de nuestra seguridad en el Cloud
Generalmente cuando hablamos de la “Nube” nos es difícil visualizarla, y mucho
menos crearnos una imagen tangible de sus alcances y riesgos si no tenemos una
visión clara de cómo poder controlarla, lo que genera una sensación de incertidumbre
que hace que elijamos al Cloud Computing como “moda” y no como un recurso
tecnológico que nos da una ventaja para ofrecer mejores servicios de salud.
En lo que primero pensé es en ver cómo podemos hacer más visible nuestra Nube para
poder acortar la distancia que la aleja de los controles y la acerca más a los riesgos, y al
planear el utilizar distintos elementos tecnológicos ya estén relacionados con el hardware o el
software, siempre deben plantearse las siguientes preguntas básicas sobre todo si se trata de
nuevas tecnologías:
· Cuál es el objetivo de su utilización
· Conozco los alcances de la nueva tecnología que pretendo adoptar
· Como puedo aplicarla en soluciones de servicio
· Que beneficios obtengo a través de ella, optimizando recursos
· Que riesgos adquiero con ella
En el caso particular del Cloud Computing, lo primero que tengo que entender es el definir en
forma clara y documentada las diferentes responsabilidades asociadas a los principales
actores, la Entidad de Salud que será Cliente del servicio y su Proveedor. El secreto es
analizar todos los aspectos relacionados con la solución y realizar una planificación pensado
en cómo responder estratégicamente a los puntos arriba mencionados.
Pensando en esto es que necesitamos identificar tres principales medidas a tomar para
empezar a hacer tangible la relación entre el Cloud y los controles para identificar lo tangible y
poder tomar las medidas adecuadas:
· Conocer las necesidades de aplicación para las Entidades de Salud
· Identificar los riesgos y requerimientos de control asociados con la utilización que
hagamos del Cloud
· Seleccionar la plataforma de implementación y el estándar de evaluación que nos
asegure la confidencialidad, integridad y disponibilidad de los datos
Esto nos va a permitir balancear las decisiones a tomar ente cada aspecto del Cloud en
relación a su utilización, y de esta manera empezar a obtener un perfil del riesgo asociado a
los servicios que nos brinda. De igual forma, y en consecuencia, también vamos a tener la
posibilidad de disponer de las herramientas necesarias para poder balancear los controles a
implementar versus la economía y flexibilidad que ganaremos adquiriendo servicios Cloud.
Parte de la información que utilizaremos para llegar a este balance es:
· Estrategia y Objetivos de servicio definidos por la Organización
· Expectativas e intereses entorno de la solución que pretendemos adoptar
2. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
2
· Aplicabilidad con respecto al marco ético, legal y regulatorio sobre los datos de salud
· Compromiso entre las necesidades de servicio y las expectativas del usuario
Con ello podremos crear un marco de solución que integre los Procesos de las Entidades de
Salud soportados en Tecnología Segura, o sea, pensar en soluciones Cloud controladas que
se adecuen a sus servicios y se aliñen a las necesidades operativas de sus áreas funcionales.
Todos más o menos sabemos cuáles son los beneficios del Cloud:
· Acceso a la información y los servicios desde cualquier lugar.
· Disponibilidad del servicio y/o aplicación los 365 días del año y las 24 horas del día.
· Accesibilidad mediante diferentes tecnologías compatibles, tales como: PDAs, móviles,
portátiles, blackberrys, netbooks, etc.
· Resuelve problemas de falta de capacidad o rendimiento de aplicaciones, debido a que
solo se necesita un navegador web e internet. (Capacidad de procesamiento y
almacenamiento sin instalar máquinas localmente)
· Facilidad de escalabilidad tecnológica
Pero no siempre asociamos estos beneficios con determinados riesgos, como pueden ser:
· Pérdida de la gobernabilidad, que aumenta el riesgo al desconocer los procesos de
gestión del Proveedor
· Bloqueo de las operaciones por una gestión de incidentes deficiente
· Riesgos de cumplimiento y conformidad legal
· Compromiso en la gestión de interfaces
· Deficiente protección de datos o almacenamiento accidental que comprometa la
confidencialidad de la información
· Inseguro o incompleto borrado de datos y deficiente gestión de privilegios
· Imposibilidad de acceso a la infraestructura del Proveedor
· Impedimentos para la auditabilidad y control de registros
A todo esto, y de acuerdo al escalamiento en que
vayamos “confiando” recursos en los tipos de servicios en
la Nube, vamos a poder ver como nuestra operatoria de
gestión de componentes va a ir migrando a una Gestión
de Control.
Esto nos va a llevar a que necesitemos garantías adicionales de nuestro Proveedor, “aceitar”
nuestra Gestión de Riesgos y Control y reinventar la Gestión de Incidentes en función del
nuevo marco establecido para nuestra información o de nuestros propios Afiliados. La
tendencia que debemos provocar es la de externalizar la responsabilidad evitando
confrontamientos ante caso de incidentes.
Lo primero que tenemos que ver es que la Nube no es insegura, solo debemos saber cómo
controlarla minimizando los riesgos relacionados con la operación y el tratamiento de los
datos, los diferentes procesos de gestión relacionados y securizando en forma adecuada cada
uno de sus componentes. Esto lo podemos lograr identificando 4 dominios claros sobre los
cuales invertiremos parte de los ahorros obtenidos al implementar Cloud, y estos son:
Gobierno + Gestión de Riesgos + Educación + Cumplimiento.
3. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
3
Este cuadro lo deben haber visto en más de una oportunidad, representando los
componentes, tipos de servicio y la escalabilidad de responsabilidad de los dos principales
actores: Entidad de Salud y Proveedor.
IaaS PaaS SaaS
Datos
Software y aplicaciones de usuarios
Sistemas operativos y bases de datos
Infraestructura Virtual
Hardware e infraestructura de red
Data Center (instalaciones físicas, infraestructura de seguridad, energía)
Pero hoy lo voy a utilizar para ver simplemente los
extremos, que me determinan en función de la
IaaS PaaS SaaS
aplicación que le voy a dar a alguno o todos los
Datos
servicios propuestos como voy a aplicarlo para uno o
Hardware e infraestructura de red
Data Center (instalaciones físicas, infraestructura de seguridad, energía)
más procesos de tratamiento de la información de la
salud.
Aquí voy a poder empezar a balancear las decisiones y obtener el perfil de riesgo adquirido;
poder entender los extremos de responsabilidad me ayuda a tangibilizar los riesgos asociados
a estos extremos y así poder establecer los controles necesarios y adecuados.
Algunos ejemplos, asociados a cada uno de los tipos de servicio en como pesan las
responsabilidades por cada uno de los actores, nos servirá para visualizar mejor este
concepto:
Modelo IaaS
· Entidad de Salud responsable de la encriptación de los datos y de no compartir la clave
con el Proveedor
· Proveedor sin responsabilidad, pero de cumplimiento deseable.
En este entorno inicial, la Entidad de Salud debe mantener todos los controles y mantener
todos aquellos sistemas que estén a su alcance así como el cifrado y gestión de claves.
En cambio, para el Proveedor es deseable que cuente con el cumplimiento del estándar de
seguridad pero el control del mismo recae sobre la Entidad de Salud.
Modelo PaaS
· Entidad de Salud responsable de parte de los controles y de asegurar cumplimiento del
Proveedor con respecto a su Política de Seguridad.
· Proveedor responsable de parte de los controles, mantener cumplimiento por sobre el
almacenamiento de los datos.
Para este caso, la Entidad de Salud es responsable de la seguridad de sus aplicaciones y
del monitoreo de toda la solución, propia y de terceros contratados. En cambio el
4. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
4
Proveedor debe garantizar a su Entidad de Salud: La seguridad en la plataforma de las
aplicaciones, Seguridad Física, seguridad y control de la red de datos y cifrado, gestión de
claves, Seguridad Lógica.
Modelo SaaS
· Entidad de Salud responsable de controles, asegurando que el Proveedor los cumple
· Proveedor responsable de mantener el cumplimiento del estándar de seguridad
adoptado.
Para este modelo completo, tanto la Entidad de Salud como el Proveedor deben contar
con una Política de Seguridad formalmente implementada y que posibilite a ambos
compartir la Gobernabilidad del procesamiento y seguridad de los datos. Gran parte de las
responsabilidades son trasladadas al Proveedor, quien debe responder por sobre la
seguridad física y lógica de los datos y el acceso a los mismos, ya sea a través de las
aplicaciones o en forma presencial.
En estos ejemplos pudimos identificar rápidamente
diferentes requisitos relacionados con el marco de
protección establecido por la ISO 27799 desde la
arquitectura de seguridad de red hasta el tratamiento
de datos y su protección, aplicabilidad de una política
de seguridad, etc. Esto nos lleva a la necesidad de
visualizar en donde debemos aplicar cada uno de los
4 dominios que nos ayudaran a controlar el servicio,
donde podemos identificar principalmente que el
GOBIERNO debe ser compartido al igual que el
CUMPLIMIENTO para todos los componentes.
Tengamos en cuenta que el CUMPLIMIENTO tiene dos enfoque principales, el relacionado
con la seguridad de los datos y el borrado de los mismos. Cuando hablamos de seguridad
debemos establecer un alcance que cubra desde el acceso hasta el tratamiento de la
información; y en el borrado no solo se refiere a la información ya no utilizada o a la contenida
en componentes a desafectar, sino también a la que queda involucrada en la finalización de
los servicios con nuestro Proveedor.
Por ese motivo debemos pensar en cómo encarar desde la forma tradicional el tratamiento de
la Gestión de Riesgos en función de las nuevas condiciones en la que nos pone el Cloud, y
habiendo identificado esta situación es como debemos empezar a brindar respuestas para
cada nuevo desafío, en donde los controles aplicados, que ya hemos seleccionado en función
de crear un balance costo / beneficio podrían distribuirse para crear un entorno controlado.
¿Cómo obtener una base de referencia? El Cloud Security Alliance tiene una Guía de
Seguridad orientada a Áreas Críticas para el Cloud, y próximamente contaremos con una
publicación de la familia 27000… la ISO/IEC 27017 como estándar de controles de seguridad
para el Cloud basado en la ISO/IEC 27002.
5. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
5
Algunas recomendaciones:
· Desarrolle escenarios como plantilla para sus proyectos
· Desarrolle una matriz de responsabilidad compartida
· Incluir en los contratos con el Proveedor la recuperación de los datos al finalizar la
relación contractual
· Ejecutar los controles y gestión de riesgos en forma continua y mantener el
cumplimiento legal y regulatorio por parte del Proveedor
· Orientar la selección a proveedores certificados
· Asegurar la intervención interdisciplinaria de diferentes sectores de la Organización en
sus proyectos (Legales, Tecnología, Seguridad Informática, Desarrollo, Facilities, etc.)
La conclusión es que la reducción de costos debe dejarnos como beneficio el
enfocarnos en la Atención al Afiliado, y darnos la posibilidad de invertir en controles
para que las Entidades de Salud se beneficien por ver robustecida su seguridad
apoyándose como SOCIO TECNOLÓGICO en su Proveedor, para reducir la carga en el
cumplimiento y una mitigación de riesgos efectiva.
Fabián Descalzo
GRC & Information Security Auditor
Cybsec S.A. – Security Systems