Como siempre, aplicar actividades de aseguramiento en cada uno de nuestros proyectos nos permite alcanzar los objetivos de calidad y cumplimiento esperado por las Organizaciones.
Y "Ser Compliance” requiere de un amplio conocimiento que solo conseguiremos integrando un equipo de trabajo con las diferentes “visiones” de nuestra empresa.
Cada vez es más notoria la necesidad en empresas de diferentes sectores el contar con una gestión para el gobierno de la seguridad y la tecnología que acompañe a sus objetivos de negocio, ya que para alcanzar resultados no solo dependen de lo comercial sino también del cumplimiento regulatorio y normativo.
Artículo publicado en mi sección de ElDerechoInformatico.com
Mi proveedor, mi socio: Contratación de terceras partes, cuando dejamos de ve...Fabián Descalzo
Les comparto este nuevo artículo que escribí sobre la problemática de terceras partes, y las implicancias de su participación en los diferentes procesos de negocios o servicios tecnológicos de las compañías. Esta mirada pretende aportar pautas para una mejor relación en la gestión del servicio contratado, al tener en claro las responsabilidades y la importancia de su participación en nuestros procesos.
Cada vez es más notoria la necesidad en empresas de diferentes sectores el contar con una gestión para el gobierno de la seguridad y la tecnología que acompañe a sus objetivos de negocio, ya que para alcanzar resultados no solo dependen de lo comercial sino también del cumplimiento regulatorio y normativo.
Artículo publicado en mi sección de ElDerechoInformatico.com
Mi proveedor, mi socio: Contratación de terceras partes, cuando dejamos de ve...Fabián Descalzo
Les comparto este nuevo artículo que escribí sobre la problemática de terceras partes, y las implicancias de su participación en los diferentes procesos de negocios o servicios tecnológicos de las compañías. Esta mirada pretende aportar pautas para una mejor relación en la gestión del servicio contratado, al tener en claro las responsabilidades y la importancia de su participación en nuestros procesos.
Fusiones y adquisiciones - Cultura, gobierno y cumplimientoFabián Descalzo
PUBLICADO EN LA REVISTA EL DERECHO INFORMATICO:
Las necesidades del negocio y el riesgo de resistencia a los cambios organizacionales.
Si lo que la organización busca es beneficiarse con una fusión de empresas para disminuir los gastos de operación y/o producción y aumentar la rentabilidad ¿Por qué no tener en cuenta el análisis previo de plataformas, aplicaciones y procesos tecnológicos que dan soporte al negocio, evitando así mayores costos en su remediación posterior por cuestiones regulatorias o generar nuevos expuestos de seguridad a sus procesos internos y a la información?
Principales aspectos y requisitos en contratos de servicios tenologicosFabián Descalzo
Consideraciones relacionadas con la responsabilidad sobre el tratamiento de los datos, normativa, seguridad y confidencialidad de los datos y aspectos esenciales del contrato de servicios desde el punto de vista técnico/funcional relacionado con la seguridad de la información
Las necesidades del Negocio han ido trasladando a la industria de la información diversas "ideas" que la han impulsado en una forma cada vez más abrupta a brindar soluciones que aporten mayor velocidad de respuesta en el tratamiento de los datos y mayor disponibilidad de los mismos. Tener las respuestas y la información en todo momento y al alcance de las manos tienen sus costos asociados... y sus riesgos
Seguridad y legalidad - Revista Magazcitum (México)Fabián Descalzo
Cuando el acceso a la información es nuestro mayor riesgo
Con solo conocer algunas de las estadísticas sobre riesgos por falta de cumplimiento regulatorio y controles que facilitan el fraude, nos daremos cuenta que gran parte de la solución está centrada en una adecuada gestión de accesos a la información.
Revista El Derecho Informático - Seguridad y legalidadFabián Descalzo
Con solo conocer algunas de las estadísticas sobre riesgos por falta de cumplimiento regulatorio y controles que facilitan el fraude, nos daremos cuenta que gran parte de la solución está centrada en una adecuada gestión de accesos a la información.
Webinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPDMailjet
El nuevo Reglamento General de Protección de Datos será aplicable a cualquier empresa que procese datos personales de ciudadanos de la Unión Europea a partir del 25 de mayo de 2018. Sin embargo, lo que las empresas no siempre saben es que los proveedores que utilizan para procesar los datos de sus clientes (como, por ejemplo, su proveedor de email) también deben cumplir con el RGPD.
En este webinario, veremos cómo elegir y trabajar con soluciones de terceros que cumplan con las directrices del RGPD.
En detalle, cubriremos:
Acciones clave a tomar con la llegada de la nueva regulación.
Qué puntos considerar para elegir proveedores externos que cumplan con el RGPD.
Los pasos implementados por Mailjet para cumplir con el RGPD.
Únete a nuestro webinario y prepárate para la llegada del Reglamento General de Protección de Datos.
Isaca rev perspectivas nota 1 - la era de los controlesFabián Descalzo
Nota sobre gestión de controles publicada en la Revista PERCEPCIONES (publicación de ISACA – Capitulo Montevideo, Uruguay), en el marco del CIGRAS (Congreso Internacional sobre Gobierno, Riesgos, Auditoría y Seguridad)
Revista CISALUD N°10 - Calidad y cumplimiento - Estandares para una mejora de...Fabián Descalzo
La adopción de estándares nos permite disponer de una gestión que asegure nuestros procesos de Negocio y el tratamiento de los datos propios o de terceros. Su elección y como combinar sus bondades es el desafío a emprender.
La Comisión de Bolsa y Valores de EEUU (SEC) estableció una actualización de sus reglamentos sobre la gestión de la ciberseguridad y su relación con los riesgos en las compañías que puedan afectar a los accionistas, responsabilizando a la Dirección y al CISO frente a ciberataques.
Esta actualización hace que las compañías que cotizan en la Bolsa de NY, enfrenten la necesidad de adoptar un enfoque proactivo y estratégico para su gobernanza. La medida establecida subraya la importancia de los riesgos cibernéticos al mismo nivel que los riesgos financieros y patrimoniales.
En esta charla, compartimos nuestro entendimiento y enfoque sobre estos temas.
𝐒𝐎𝐁𝐑𝐄 𝐅𝐀𝐁𝐈𝐀́𝐍 𝐃𝐄𝐒𝐂𝐀𝐋𝐙𝐎
👔 LinkedIn: https://linkedin.com/in/fabiandescalzo
💡 Grupo Linkedin: https://www.linkedin.com/groups/12188431/
📷 https://www.instagram.com/fabiandescalzo/
📚 Slide Share: https://slideshare.net/fabiandescalzo
🌎 Blog: https://fabiandescalzo.wix.com/blogseguridadinfo
💬 Twitter: https://www.twitter.com/fabiandescalzo
📺 YouTube: https://www.youtube.com/fabdescalzo
📨 BDO Argentina: fdescalzo@bdoargentina.com
Seguinos en:
▶️ Web:
https://www.bdoargentina.com/es-ar/servicios/consultoria/ciberseguridad-gobierno-tecnologico
▶️ Grupo Linkedin: https://www.linkedin.com/groups/12188431/
▶️ PlayList Youtube: https://www.youtube.com/playlist?list=PLYvU8I64yp6U9ZPfeoZ0NYpnVNhPr-ceo
Redes Oficiales de 𝐁𝐃𝐎:
▶️ Web: https://www.bdoargentina.com/
▶️ Linkedin: https://www.linkedin.com/company/bdo-argentina/
▶️ Marketplace: https://bdomarketplace.com/
▶️ Youtube: https://www.youtube.com/BDOenArgentina
▶️ Instagram: https://www.instagram.com/bdoargentina
CFOs Meeting 2023 | Ciberseguridad en el negocioFabián Descalzo
El uso de la tecnología aplicada al negocio nos propone una integración de nuevas metodologías y herramientas que pueden superar las capacidades de gobierno y control interno de las organizaciones. Debido a ello muchas veces es difícil garantizar los objetivos del negocio dentro de un marco de riesgos controlados en un mundo cada vez más digital, por lo que se debe proponer una nueva visión asociada entre las decisiones estratégicas de la alta dirección y los proyectos gestionados por los mandos medios.
El objetivo de esta charla es presentar pautas que puedan ser utilizadas y comprendidas por la Dirección para discutir las iniciativas y alternativas del programa de seguridad de la información en términos de los resultados para el negocio.
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS Fabián Descalzo
El gobierno de la información supone una gestión coordinada que permite balancear el volumen, el perfil y la seguridad de la información que se obtiene, procesa, almacena y transmite en cualquier organización, que a su vez requiere establecer las medidas necesarias para que este ciclo de vida se desarrolle en forma segura y responda a los objetivos de cumplimiento regulatorio establecidos por la Dirección para sus estrategias de negocio y las propuestas tecnológicas que ofrece el mercado para mejorar y optimizar sus operaciones. Para implementar y asegurar el cumplimiento en la protección y privacidad de la información, la ISO/IEC 27701:2019 nos indica los requisitos y proporciona una guía para la implantación de un sistema de gestión de información de privacidad (PIMS), como una extensión de la ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la privacidad, dentro del contexto de su empresa y enfocados a protección de datos, sobre la base de directrices y requisitos específicos de protección de datos personales, teniendo en cuenta el RGPD y otras legislaciones vigentes en materia de Privacidad y de protección de datos personales.
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSFabián Descalzo
El control interno debe proponer una nueva visión asociada a detectar las brechas en la gestión y estandarización de las nuevas tecnologías, para asegurar a la organización no solo el cumplir con requisitos de cumplimiento, sino también con aspectos de ciberseguridad y seguridad de la información que aseguren su negocio.
Reviví nuestra charla donde presentamos las pautas para crear un entorno auditable en la organización que brinde alternativas al programa de control interno respecto de la seguridad de la información y ciberseguridad para la protección del negocio.
Accedé al video desde aquí: https://youtu.be/951TfFWM-vk
#auditoría #conferencia #Forum2023 #audit
#Ciberseguridad #Seguridad #Informatica #Tecnologia #Digital #Riesgo
BDO Argentina
https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdfFabián Descalzo
📢 𝐈𝐒𝐂𝟐 𝐀𝐫𝐠𝐞𝐧𝐭𝐢𝐧𝐚 | 𝐏𝐫𝐢𝐯𝐚𝐜𝐢𝐝𝐚𝐝 𝐲 𝐜𝐢𝐛𝐞𝐫𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝
Reviví nuestra charla sobre privacidad de datos y ciberseguridad, invitados por el ISC2 Capítulo Buenos Aires, donde tratamos entre otros los siguientes temas:
• Antecedentes de la privacidad e ISO/IEC 27701
• Organización para la protección de la privacidad de datos
• Requisitos de protección de la privacidad
• Privacidad desde el diseño en proyectos tecnológicos
• La privacidad y su relación con otros estándares
• Controles y auditoría de privacidad
• Riesgos y oportunidades en los programas de privacidad
👉 Link al video: https://youtu.be/x-_dGMeB6H4
BDO Argentina
#privacidad #ciberseguridad #iso27701 #GDPR #bdoasesoresdelfuturo #bdotambienesseguridad #seguridaddelainformacion #Webinar #Ciberseguridad #GobiernoIT
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...Fabián Descalzo
El control interno debe proponer una nueva visión asociada a detectar las brechas en la gestión y estandarización de las nuevas tecnologías, para asegurar a la organización no solo el cumplir con requisitos de cumplimiento, sino también con aspectos de ciberseguridad y seguridad de la información que aseguren su negocio.
El objetivo de esta charla es el presentar pautas que sean comprendidas tanto por los profesionales tecnológicos como por la Dirección, para crear un entorno auditable en la organización que brinde alternativas al programa de control interno respecto de la seguridad de la información y ciberseguridad para la protección del negocio.
🎙️ https://youtu.be/oC8G3T3BtKQ
#MesdelaCiberseguridad #Ciberseguridad
#Seguridad #Informatica #Tecnologia #Digital #Riesgo
𝐁𝐃𝐎 𝐀𝐏𝐈 seguinos en:
▶️ Web: https://lnkd.in/e6uv3Yn
▶️ Blog: https://lnkd.in/eCavYXX7)
▶️ Academy: https://lnkd.in/ecfZJbV
▶️ Grupo Linkedin: https://lnkd.in/e9FzKVt
▶️ PlayList Youtube: https://lnkd.in/e9Pjv-Sg
Redes Oficiales de 𝐁𝐃𝐎:
▶️ Web: https://lnkd.in/eXEbkXVC
▶️ Linkedin: https://lnkd.in/eDREGVc
▶️ Marketplace: https://lnkd.in/ewVYFXa
▶️ Youtube: https://lnkd.in/ew_4S3Ee
▶️ Instagram: https://lnkd.in/eRNNCisY
#BDOTambienEsSeguridad, #BDOAsesoresDelFuturo, #BDOCiberseguridad, #BDO, #BDOAPI
#ciberseguridad, #cybersecurity, #CISO, #CSO, #infosec, #infosecurity, #seguridadinformatica, #informationsecurity, #security, #cyberattack, #cybercrime, #ciberdelito, #dataprotection, #cybersec, #technology, #tecnologia
#BDOAcademy #Cursos #Ciberseguridad #TransformacionDigital
Les dejamos este documento que puede servirles como guía para abordar distintos temas en sus programas de concientización, que pueden ver de incluir y evolucionar con nuestros profesionales que dejo en copia:
Laura Dangelo Gerente de Gobierno IT y Ciberseguridad
Gustavo Arce Gerente de Auditoría y Control IT
Eduardo Polak Supervisor de Procesos y Gestión del Conocimiento
Estefanía Freitas Gestor del Cambio en Ciberseguridad
Brenda Sanchez Asistente y Comunicaciones API
¿Queres conocer nuestras soluciones? Animate a dar el salto 👉 https://lnkd.in/eqS62ZCd
#MesdelaCiberseguridad #Ciberseguridad
#Seguridad #Informatica #Tecnologia #Digital #Riesgo
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridadFabián Descalzo
A partir de la segunda mitad del siglo XX las organizaciones necesitaron adaptarse a una nueva realidad a nivel mundial, por lo que se desarrollo el control estadístico de procesos propuesto por Deming, lo que dio paso a la “Calidad Total” la cual no solo demostró grandes beneficios sino también la necesidad de involucramiento de la Dirección. Después de poco más de medio siglo, y en donde la transformación digital promueve la evolución a la “Industria 4.0”, el contexto de nuestro mundo a cambiado y una vez más debemos adaptarnos para acercarnos a los clientes mejorando su experiencia con nuestros servicios y haciendo más óptimos nuestros procesos sobre la base del uso de la tecnología, en el cual necesitamos una vez más del involucramiento de la Dirección y una mayor sensibilización con la ciberseguridad para minimizar los riesgos al negocio
Puntos clave de la presentación:
👉 Relación de la calidad y la ciberseguridad
👉 Que es aseguramiento para el negocio desde el punto de vista de ciberseguridad
👉 Control del gobierno corporativo en seguridad de la información y ciberseguridad
👉 Principales puntos a la innovación
👉 Pilares para la ciberseguridad como apoyo a la calidad
𝐁𝐃𝐎 𝐀𝐏𝐈 seguinos en:
▶️ Web: https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
▶️ Blog: https://www.bdoargentina.com/es-ar/blogs/aseguramiento-de-procesos-informaticos-(api)
▶️ Academy: https://www.bdoargentina.com/es-ar/bdo-academy/aseguramiento-de-procesos-informaticos
▶️ Grupo Linkedin: https://www.linkedin.com/groups/12188431/
▶️ PlayList Youtube: https://www.youtube.com/playlist?list=PLYvU8I64yp6U9ZPfeoZ0NYpnVNhPr-ceo
Redes Oficiales de 𝐁𝐃𝐎:
▶️ Web: https://www.bdoargentina.com/
▶️ Linkedin: https://www.linkedin.com/company/bdo-argentina/
▶️ Marketplace: https://bdomarketplace.com/
▶️ Youtube: https://www.youtube.com/BDOenArgentina
▶️ Instagram: https://www.instagram.com/bdoargentina/
#BDOTambienEsSeguridad, #BDOAsesoresDelFuturo, #BDOCiberseguridad, #BDO, #BDOAPI
#ciberseguridad, #cybersecurity, #CISO, #CSO, #infosec, #infosecurity, #seguridadinformatica, #informationsecurity, #security, #cyberattack, #cybercrime, #ciberdelito, #dataprotection, #cybersec, #technology, #tecnologia #TransformacionDigital
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
📢 Hoy día nos movemos en un entorno altamente tecnológico, lo que supone muchos peligros en el mundo digital y un ambiente propicio para los ciberdelincuentes. En este contexto, el factor humano es el primer eslabón vulnerable.
Los invitamos a ver nuestro webinar sobre 𝐂𝐨𝐧𝐜𝐢𝐞𝐧𝐭𝐢𝐳𝐚𝐜𝐢𝐨́𝐧 𝐞𝐧 𝐂𝐢𝐛𝐞𝐫𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝 𝐲 𝐂𝐡𝐚𝐧𝐠𝐞 𝐌𝐚𝐧𝐚𝐠𝐞𝐦𝐞𝐧𝐭, en el que repasamos el impacto de un plan de concientización en el negocio, presentado estrategias para la automatización del proceso y compartiendo las claves para acompañar la gestión del cambio en nuestras organizaciones.
🎦 Accede desde este link: https://youtu.be/CY3FwUjqvFA
Expositores:
🥇 @Fabián Descalzo, Socio en Aseguramiento de Procesos Informáticos
🥇 @Mónica López, Líder de Proyectos de Concientización
🥇 @Carlos Rozen, Socio en Change Management
#Ciberseguridad #ChangeManagement #Cultura #Seguridad #Digital
𝐁𝐃𝐎 𝐀𝐏𝐈 seguinos en:
▶️ Web: https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
▶️ Blog: https://www.bdoargentina.com/es-ar/blogs/aseguramiento-de-procesos-informaticos-(api)
▶️ Academy: https://www.bdoargentina.com/es-ar/bdo-academy/aseguramiento-de-procesos-informaticos
▶️ Grupo Linkedin: https://www.linkedin.com/groups/12188431/
▶️ PlayList Youtube: https://www.youtube.com/playlist?list=PLYvU8I64yp6U9ZPfeoZ0NYpnVNhPr-ceo
Mapa regional en ciberseguridad y gobierno IT.pdfFabián Descalzo
🔐 𝐌𝐀𝐏𝐀 𝐑𝐄𝐆𝐈𝐎𝐍𝐀𝐋 𝐄𝐍 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃 𝐘 𝐆𝐎𝐁𝐈𝐄𝐑𝐍𝐎 𝐈𝐓
Los cambios producidos por la digitalización de nuestras organizaciones nos plantean un desafío en relación con la gestión de la ciberseguridad y gobierno de la tecnología. Disponer de la información adecuada es clave para la mejora continua en nuestros negocios.
Presentamos el Mapa Regional en Ciberseguridad y Gobierno IT, basado en el informe “𝐄𝐬𝐭𝐚𝐝𝐨 𝐝𝐞𝐥 𝐀𝐫𝐭𝐞 𝐝𝐞 𝐥𝐚 𝐂𝐢𝐛𝐞𝐫𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝, 𝐆𝐨𝐛𝐢𝐞𝐫𝐧𝐨 𝐝𝐞 𝐓𝐈 𝐲 𝐥𝐨𝐬 𝐍𝐞𝐠𝐨𝐜𝐢𝐨𝐬”. Tiene como objetivo determinar el nivel de madurez e implementación de capacidades de gobierno de la tecnología de las empresas para estimar el nivel de exposición a las brechas de seguridad en el negocio.
Accede al informe👉 https://bit.ly/3x8nzh2
Referentes de BDO Argentina: Fabián Descalzo, Ing. Pablo A. Silberfich
https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
#TransformacionDigital #Ciberseguridad #GobiernoIT #SeguridaddelaInformacion
🔐 𝐌𝐀𝐏𝐀 𝐑𝐄𝐆𝐈𝐎𝐍𝐀𝐋 𝐄𝐍 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃 𝐘 𝐆𝐎𝐁𝐈𝐄𝐑𝐍𝐎 𝐈𝐓
Los cambios producidos por la digitalización de nuestras organizaciones nos plantean un desafío en relación con la gestión de la ciberseguridad y gobierno de la tecnología. Disponer de la información adecuada es clave para la mejora continua en nuestros negocios.
Presentamos el Mapa Regional en Ciberseguridad y Gobierno IT, basado en el informe “𝐄𝐬𝐭𝐚𝐝𝐨 𝐝𝐞𝐥 𝐀𝐫𝐭𝐞 𝐝𝐞 𝐥𝐚 𝐂𝐢𝐛𝐞𝐫𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝, 𝐆𝐨𝐛𝐢𝐞𝐫𝐧𝐨 𝐝𝐞 𝐓𝐈 𝐲 𝐥𝐨𝐬 𝐍𝐞𝐠𝐨𝐜𝐢𝐨𝐬”. Tiene como objetivo determinar el nivel de madurez e implementación de capacidades de gobierno de la tecnología de las empresas para estimar el nivel de exposición a las brechas de seguridad en el negocio.
Accede al informe👉 https://bit.ly/3x8nzh2
Referentes de BDO Argentina: Fabián Descalzo, Ing. Pablo A. Silberfich
https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
#TransformacionDigital #Ciberseguridad #GobiernoIT #SeguridaddelaInformacion
Las empresas no suelen darse cuenta de cuán invaluable es una estrategia de ciberseguridad hasta que una vulnerabilidad es descubierta y aprovechada por un ciberdelincuente o un agente interno malintencionado.
BDO quiere asegurarse que su empresa nunca se enfrente a esta situación. Los profesionales de BDO están disponibles para proveer sus recursos especializados y su conocimiento sobre cualquier problema de ciberseguridad.
Para consultar el Equipo de Ciberseguridad de BDO, visite:
https://lnkd.in/edBReSjy
Les compartimos nuestros principales consejos para una protección adecuada de su compañía, y los principales tips sobre este tema en el documento adjunto.
Dia internacional ciberseguridad 30 noviembre 2021Fabián Descalzo
Desde 1988, cada 30 de noviembre se celebra el 퐃퐢퐚 퐈퐧퐭퐞퐫퐧퐚퐜퐢퐨퐧퐚퐥 퐝퐞 퐥퐚 퐒퐞퐠퐮퐫퐢퐝퐚퐝 퐝퐞 퐥퐚 퐈퐧퐟퐨퐫퐦퐚퐜퐢퐨́퐧 y desde API, el área de Gobierno Tecnológico, Seguridad de la Información y Ciberseguridad de BDO Argentina, les queremos brindar nuestro aporte y apoyo en la protección de la información y la confianza digital de cada persona y organización de nuestra comunidad.
磊Felicitaciones a todos nuestros colegas y bienvenidos a aquellos que quieran sumarse a esta necesaria e interesante actividad.
퐁퐃퐎 퐀퐏퐈 seguinos en:
▶️ Web:
https://lnkd.in/e6uv3Yn
▶️ Blog:
https://lnkd.in/eCavYXX7)
▶️ Academy: https://lnkd.in/ecfZJbV
▶️ Grupo Linkedin: https://lnkd.in/e9FzKVt
▶️ PlayList Youtube: https://lnkd.in/e9Pjv-Sg
Redes Oficiales de 퐁퐃퐎:
▶️ Web: https://lnkd.in/eXEbkXVC
▶️ Linkedin: https://lnkd.in/eDREGVc
▶️ Marketplace: https://lnkd.in/ewVYFXa
▶️ Youtube: https://lnkd.in/ew_4S3Ee
▶️ Instagram: https://lnkd.in/eRNNCisY
#BDOTambienEsSeguridad, #BDOAsesoresDelFuturo, #BDOCiberseguridad, #BDO, #BDOAPI
#ciberseguridad, #cybersecurity, #CISO, #CSO, #infosec, #infosecurity, #seguridadinformatica, #informationsecurity, #security, #cyberattack, #cybercrime, #ciberdelito, #dataprotection, #cybersec, #technology, #tecnologia
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍAFabián Descalzo
El uso de la tecnología aplicada al negocio, al alcance de cualquier área no-tecnológica y con una oferta “a la carta” nos propone una integración de nuevas metodologías y herramientas que puede superar las capacidades de gobierno y control interno de las organizaciones.
Debido a ello, y en apoyo a las áreas tecnológicas, de ciberseguridad y seguridad de la información, la auditoría debe proponer una nueva visión asociada a detectar las brechas en la gestión y estandarización de las nuevas tecnologías y en metodologías asociadas a proyectos, para asegurar a la organización no solo el cumplir con requisitos de cumplimiento, sino también con aspectos de ciberseguridad y seguridad de la información que aseguren su negocio.
https://youtu.be/z2fx2OmQFts
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESFabián Descalzo
En un entorno tan cambiante y dentro del contexto actual, nos enfrentamos a la inseguridad de la información y los ciber riesgos emergentes, que nos abren una puerta a nuevos retos relacionados con continuidad operativa. Los riesgos (tecno)peracionales ya no solo dependen de la tecnología, ya que la innovación y transformación digital requieren de un fuerte componente estratégico para una definición e implementación que asegure el negocio y sus resultados.
En este sentido, analizaremos juntos en este evento los requisitos mínimos de gestión y control sobre los riesgos relacionados con la tecnología de la información y la necesidad de “CONFIANZA DIGITAL”:
1. NEGOCIO, INFORMACIÓN Y TECNOLOGÍA CONECTADA
2. DELEGACIÓN DE OPERACIONES Y RIESGOS TECNOLÓGICOS
3. REQUISITOS DE CIBERSEGURIDAD ASOCIADO A SERVICIOS TECNOLÓGICOS TERCERIZADOS
4. NUEVO ENFOQUE DE CONTROLES Y (TECNO)CONTINUIDAD OPERATIVA
https://youtu.be/7-cugTpckq8
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018Fabián Descalzo
AUDITORÍA IT Y LA ISO/IEC20000-1: ¿Cuál es el enfoque y que ventajas me da conocer los requisitos para la prestación de servicios de IT en la auditoría tecnológica? Si querés enterarte acompañanos en este webinar gratuito, en el que compartiremos esta visión sobre el tema.
https://youtu.be/VpCkIqtTg0k
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDFabián Descalzo
Las entidades y empresas de la Industria de la Salud presentan un ámbito complejo con respecto a la información que gestionan, ya que no solo se trata de datos comerciales o administrativos, sino que el núcleo de su actividad se plantea entorno a los datos de salud.
Por esa razón, esta industria requiere de una estructura organizativa para la gestión de la seguridad de su información, y de herramientas que le ayuden a automatizar sus procesos asociados, para establecer un gobierno ordenado y metodológico que le permita administrar la información de forma segura y bajo un criterio único de asignación de responsabilidades y recursos, protegiendo a la Entidades y Empresas de la Salud y brindando un entorno confiable de trabajo para cada uno de sus Empleados y Profesionales.
https://youtu.be/VBgW5F_2PKQ
La importancia de la información y la tecnología relacionada sigue creciendo, y los líderes empresariales necesitan buena información para agudizar su visión y tomar decisiones comerciales acertadas, y esto deben asegurarlo a lo largo del tiempo. Por eso, la organización que desee conseguir un plan eficiente para garantizar la resiliencia en su negocio debe estar integrada y organizada a través de la concientización diaria, la capacitación periódica y por la generación de procesos de negocio y tecnológicos que hayan sido creados bajo un concepto de resiliencia.
¿El desafío? Establecer un proceso de continuidad y resiliencia que aporte un marco de gobierno de ciberseguridad y tecnológico, ayudando a minimizar y prevenir los ataques internos y externos como por ejemplo las violaciones de datos o actividades fraudulentas, que dejan a las organizaciones vulnerables a los riesgos de pérdida o exposición de su información.
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...Fabián Descalzo
El cumplir con la existencia de un Marco Normativo no contempla únicamente actividades relacionadas con la creación y publicación de documentos requeridos por auditorías o entes certificadores.
Un Marco Normativo es la biblioteca de referencia que representa los diferentes procesos de una organización y establecen una guía operativa para el desarrollo de estos, y debe estar adecuado a la cultura de la organización tanto en los aspectos de los recursos humanos (comportamiento, cumplimiento, entendimiento) como en lo referente a los procesos y cómo la organización los gestiona (madurez organizacional).
¿El desafío? Gestionar un marco normativo que ofrezca un balance aceptable entre cultura en la gestión y madurez organizacional con las nuevas metodologías de gestión IT y las nuevas tecnologías adoptadas y elegidas por el negocio, sin que se alejen de sus necesidades de cumplimiento, cuya presión cada vez es más importante.
https://youtu.be/XPjTvpfaJkc
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
Ser compliance o pagar mas
1. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
1
Ser “Compliance”, o pagar más
Cuando pensar en el cumplimiento nos ahorra dolores de cabeza, y
dinero.
Como siempre, aplicar actividades de aseguramiento en cada uno de nuestros
proyectos nos permite alcanzar los objetivos de calidad y cumplimiento esperado
por las Organizaciones.
Cada vez que desde las áreas de negocio se buscan o se presentan nuevas oportunidades comerciales hay otros
costos asociados a su factibilidad que normalmente no son tenidos en cuenta por quienes deciden llevar adelante
este análisis, y habitualmente esto sucede por no convocar adecuadamente a quienes pueden colaborar con su
aporte a que el nuevo proyecto no solo sea exitoso sino que no tenga costos ocultos a futuro que afecten al
negocio.
Los nuevos proyectos que requieren de la tecnología como servicio son
aquellos que están más fácilmente a merced de los errores de “visión”
dependiendo del perfil de quién los lidere y de quienes compongan el equipo
de proyecto, ya que para satisfacer las necesidades del negocio desde las áreas
tecnológicas surgen diversas "ideas" que la impulsan en una forma cada vez
más abrupta a brindar soluciones que aporten mayor velocidad de respuesta
en el tratamiento de los datos y mayor disponibilidad de los mismos. Y tener
las respuestas y la información en todo momento y al alcance de las manos
tiene sus costos asociados... y sus riesgos.
¿Cuál es el cuidado entonces y porque estamos llegando a esto? Tanto desde el negocio como desde las áreas
tecnológicas no necesariamente cuando piensan en recibir y brindar “servicio” entienden que el mismo debe
llevar una parte de aseguramiento. El objetivo principal buscado es “información disponible y de rápido
procesamiento”, dos pautas que atentan drásticamente contra la confidencialidad y la integridad de los datos
que tratamos, que como sabemos no solo son del negocio sino que en su gran mayoría nos los confían... Como es
el caso de los datos personales, tarjetas de crédito/débito, bancarios o salud.
¿Cuántas veces nos preguntamos de que depende el éxito? ¿Hacemos una lista de componentes necesarios para
el éxito de cada proyecto del negocio, en base al tratamiento de la información? El aseguramiento de los procesos
de tratamiento de los datos en cada proyecto ¿Está incluido como un factor necesario para el éxito?
Para desarrollar este concepto pensemos en un proyecto que lleve adelante nuestra empresa, como por ejemplo
el de transferencia de dinero el cual para llevarse adelante necesita de los siguientes componentes:
• Hardware y Software que conforman la infraestructura aplicativa
• El software aplicativo
• Telecomunicaciones
• Proveedor de servicios financieros y comunicación para la transferencia de dinero
• Datos personales, bancarios y financieros de los clientes
Primeramente, y teniendo en cuenta el tipo de datos a tratar y que formaran parte del proceso de negocio, es
conveniente consultar con el sector legal como abordar lo referente a la contratación de o los proveedores ya que
se debe tener en cuenta que la responsabilidad y control por sobre el tratamiento de datos no es delegable.
2. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
2
Con esto nos referimos a que si bien el ingreso de datos se realiza a través de sistemas informáticos de nuestra
empresa, al intervenir un tercero en el proceso es importante saber que el tercerizar parte de la gestión requiere
implementar tareas de control y monitorización del servicio contratado, por ello debe invertirse en controles ya
que nuestra empresa es responsable por los datos, y debe velar por ellos durante todo el proceso del servicio
ofrecido a sus Clientes.
A este respecto, tengamos en cuenta que diferentes leyes que
regulan el tratamiento de datos determinan que las personas
naturales y las personas jurídicas tales como las emisoras y
operadoras de tarjetas de crédito; las empresas de transferencia y
transporte de valores y dinero están obligadas a informar sobre los
actos, transacciones u operaciones sospechosas que adviertan en el
ejercicio de sus actividades; esto determina que también somos
responsables del tratamiento de datos cuando contrate servicios en
los que comparte información personal con terceros (filiatoria y
sensible) y por ello deberá velar porque el proveedor de servicios
cumpla las regulaciones que le apliquen a nuestra empresa, por ejemplo SOx, la legislación de protección de datos
personales (Ley de Habeas Data) de nuestro país o región y transacción con tarjetas de pago (PCI).
Teniendo en cuenta los aspectos legales, y yendo a los más técnicos de nuestro proyecto, debemos componer una
guía que nos permita definir la infraestructura y su configuración adecuada para de esta forma dimensionar
convenientemente no solo el costo sino los pasos de control y revisión sobre el proyecto. Esta guía debe
contemplar la asociación entre las necesidades de cumplimento y la respuesta técnica aplicada a dar soporte
tecnológico al proceso de negocio, contemplando entre otros estos puntos principales:
• En todos los casos, y sobre todo si hacen falta también los datos de
tarjeta, debe revisarse que el sistema esté preparado para disociar
la información del tarjeta-habiente así como el número PAN
• Los datos del cliente requeridos para registrar la operación de la
transacción de envíos, de acuerdo a lo especificado por las
diferentes leyes de lavado de dinero para la obligación de crear y
mantener registros de las operaciones.
• De igual forma, contemplar las variantes de datos a ingresar según
el monto de las operaciones
• Contemplar los plazos mínimos de guarda de los registros de las
operaciones y su integridad, los que pueden ser requeridos por las
unidades de análisis financiero
Entonces se deben asumir también como riesgos del negocio aquellos que estén asociados a un impacto en la
integridad y confidencialidad de los datos, la imagen de nuestra empresa y factibles de penalidades regulatorias
como por ejemplo:
• Exposición de la confidencialidad de la información por falta de disociación de datos o fuga de
información
• Error en la integridad de la información por fallas en la conversión de datos al interfasearlos con los
aplicativos del Proveedor
• Error en la integridad de la información por fallas en la operación del Proveedor
3. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
3
• Falla en la generación o imposibilidad de recuperar registros requeridos por el marco regulatorio
• Mayores costos por el rediseño del proceso, del software desarrollado, dimensionamiento deficiente del
hardware, horas hombre adicionales y aplicación productiva fuera de línea.
Visto de esta forma, y considerando algunos de los requisitos legales y regulatorios, incluyo algunos de los puntos
a tener en cuenta en la planificación del proyecto para evitar desvíos, demoras o mayores costos en una etapa
posterior, o sea cuando nuestra aplicación ya esté en producción y el proceso en plena actividad:
• Resguardar y asegurar todos los registros obtenidos de aquellos equipos donde se procese información
regulatoria
• Los sistemas que integren el proceso deben ser periódicamente auditados para asegurar la conformidad
con los procedimientos y políticas de nuestra empresa.
• El acceso a los sistemas que contengan datos confidenciales, debe ser adecuadamente asignado a
aquellos perfiles que por sus funciones los requieran, y debidamente protegido según nuestras normas.
• Los terceros deben notificarnos de todos los cambios de personal que este afectado a nuestro servicio.
• Los controles de confidencialidad, integridad y disponibilidad serán específicamente definidos en
contratos con terceros. Los controles abarcarán todos los riesgos de protección de información lógica,
personal y física apropiados, basada en los niveles de riesgo que establezcamos. Además los controles
considerarán todos los requisitos regulatorios e imperantes establecidos por la ley.
• Los acuerdos contractuales deben concedernos el derecho de auditar los sistemas relevantes de terceros
y/o los terceros se comprometerán a tener auditorías periódicas e independientes, cuyo resultado
tendremos el derecho a revisar.
• Se deben firmar convenios de confidencialidad con terceros con los que se intercambie información.
• Las terceras partes deben cumplir con lo dispuesto por nuestra política y normas para la destrucción y
disposición final de la información
• Contar con documentación respaldatoria de los sistemas de comunicaciones con proveedores críticos
donde se transfiera información sensible del negocio.
• Aprobar toda nueva conexión previamente a integrarse en el ambiente productivo
• Las conexiones con terceros debe restringirse a los equipos centrales de proceso, aplicaciones y archivos
específicos
• El acceso de cualquier dispositivo o sistema a nuestra red debe cumplir previamente con nuestro estándar
de configuración de seguridad y se debe verificar su cumplimiento periódicamente.
Debido a ello debe tenerse en cuenta la
aplicación de lo expresado en la
representación gráfica.
La infraestructura tecnológica que brinda
soporte y servicio al proceso de negocio
debe estar diseñada para asegurar el
cumplimiento de los siguientes puntos
esenciales:
• Régimen de los datos. Desarrollar
un entorno de confidencialidad
que asegure lo no disposición
de los datos ni hacer uso de los
mismos para ningún fin que no
4. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
4
esté expresamente asociado al servicio que se preste y, en caso que se trate de datos personales, con
el consentimiento del titular de los datos.
• Cumplimiento de legislación de protección de datos. Asegurar que la operación del servicio cumpla con
todos los aspectos relacionados con la retención información, registros de auditoría y destrucción de
información de acuerdo a la jurisdicción aplicable al territorio en el que se localizan los centros de
procesamiento de datos.
• Seguridad en el acceso. Garantizar que la información solo será accesible por personal autorizado de
nuestra empresa, y a quien nosotros determinemos con los perfiles de acceso correspondientes.
• Integridad y conservación. Disponer de los mecanismos de recuperación ante desastres, continuidad en
el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la
información.
• Disponibilidad. Garantizar una elevada disponibilidad del servicio, así como comprometerse a organizar
las paradas programadas para mantenimiento con la suficiente antelación.
• Portabilidad y eliminación de los datos. Establecer los mecanismos y procesos necesarios para la
eliminación de los datos a la terminación del servicio, obligación tanto propia como de los terceros
contratados.
RECOMENDACIONES ADICIONALES
• Desarrollar una matriz de control para realizar seguimiento de las actividades de responsabilidad
compartida entre el proveedor y nuestra empresa
• Asegurar la intervención interdisciplinaria de diferentes sectores de la Organización para todos los
proyectos (Legales, Tecnología, Seguridad Informática, Desarrollo, Facilities, etc.)
• Ejecutar los controles y gestión de riesgos en forma continua
• Mitigar los riesgos a través de contratos y SLAs orientados a los Controles y Gestión de Riesgo
• Si decide derivar la operación o parte de ella en un proveedor, robustecer la seguridad en base a sus
capacidades, y así reducir la carga de cumplimiento al compartirla con el proveedor
Ser “Compliance” entonces requiere de un amplio conocimiento que solo conseguiremos integrando un equipo
de trabajo con las diferentes “visiones” de nuestra empresa, que con su experiencia aportarán una mejor gestión
de los proyectos basados en el cumplimiento, mayor rentabilidad en las soluciones tecnológicas aplicadas al
negocio y asegurar también un servicio de calidad.
Fabián Descalzo
Gerente de Governace, Risk & Compliance (GRC)
Cybsec S.A. – Security Systems
Fabián Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., Director Certificado en Seguridad de
la Información (CAECE), certificado ITIL v3-2011 (EXIN) y auditor ISO 20000 (LSQA-LATU).
Posee amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en
compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de
información, Gobierno de TI/SI y Continuidad de la Institución de Salud. Actualmente es responsable de servicios y soluciones
en las áreas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento de la Institución de Salud
5. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
5
CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la
Información. Su área de servicios cubre América y Europa y más de 400 clientes acreditan la trayectoria empresaria. Para más
información: www.cybsec.com