Fabián Descalzo, COBIT5 Foundation, Lead Auditor ISO/IEC 20000:2011, ISMS Auditor/Lead Auditor ISO/IEC 27001

Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento (GRC) en Deloitte & Co., con 28 años de experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI y Gobierno de Seguridad de la Información. Miembro del Comité Directivo del “Cyber Security for Critical Assets LATAM Summit” para Qatalys Global sección Infraestructura Crítica (Gobiernos y empresas de América Latina en el sector de la energía, química, petróleo y gas), Miembro del Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Miembro del Comité Organizador CYBER 2015 de ADACSI/ISACA, certificado en Dirección de Seguridad de la Información (Universidad CAECE), instructor certificado ITIL Fundation v3-2011 (EXIN), auditor ISO 20000 (LSQA-Latu), IRCA ISMS Auditor / Lead Auditor ISO/IEC 27001 y Lead Auditor ISO/IEC 20000 TÜV Rheinland. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter. Docente del módulo 27001 del curso de “IT Governance, Uso eficiente de Frameworks” y de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del Instituto Tecnológico de Buenos Aires (ITBA); Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Argentina, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro.

Mi proveedor, mi socio

Opinión

Contratación de terceras partes, cuando dejamos de ver la letra chica del contratoLa contratación de proveedores es un punto crucial en el marco de cumplimiento de cualquier compañía, si se recuerda que no solo hablamos de la simple compra de servicios o productos, sino que estamos adquiriendo recursos o procesos externos que completan nuestros procesos…

Integración de riesgos de TI y riesgos operacionales Cuando la operación de nuestro negocio depende de cómo gestionamos la tecnología

Opinión

Por definición, riesgo operacional es la suma de fallas o errores en los procesos, de las personas que los ejecutan o de las tecnologías que los soportan, que pueden presentarse tanto desde un entorno externo como interno y estar ocasionadas por actividades intencionales, procedimientos inadecuados o defectuosos o por agentes contingentes como desastres naturales. Entre…

La importancia del factor humano

Conexiones

¿Todo se resuelve con la tecnología? ¿Por qué los directivos deben hablar más con sus empleados sobre seguridad? En una investigación global de fraude, encargada por la consultora internacional Kroll y realizada por The Economist Intelligence Unit, se encuestó a 768 altos ejecutivos de todo el mundo, que representaban una amplia gama de industrias y…

Seguridad y legalidad

Opinión

Cuando el acceso a la información es nuestro mayor riesgoCon solo conocer algunas de las estadísticas sobre riesgos por falta de cumplimiento regulatorio y controles que facilitan el fraude, nos daremos cuenta que gran parte de la solución está centrada en una adecuada gestión de accesos a la información. Según el reporte anual de Kroll…

Administración de identidades y tratamiento de cuentas de usuario

Conexiones

¿Cómo vemos esta gestión dependiendo de la complejidad de nuestro entorno productivo y de acuerdo a las necesidades del negocio de nuestra empresa? Como primer paso es necesario conocer que el alcance para una buena gestión de identidades debe incluir en su proceso la creación, solicitud, autorización e implementación de altas, bajas y modificaciones de…

Cierre de proyectos desde seguridad de la información y cumplimiento

Conexiones

Ante cualquier proyecto de TI, ya sea que esté relacionado con el desarrollo de software, interfaces informáticas, modificaciones o implantaciones de activos informáticos, es necesario definir la información y registros necesarios como respaldo de certificación del cierre de proyecto, y adicionalmente para el aseguramiento del traspaso de la operación de seguridad aplicativa. Como complemento de…

Nuestra salud digital

Opinión

La brecha entre el tratamiento de datos sensibles y la regulación legal… O los derechos de los pacientes y la integridad de su información de salud La salud del paciente no solo está en manos de los profesionales de la salud; en la actualidad los departamentos legales y tecnológicos son sus socios naturales en el…

De lo lógico a lo físico. Dos dimensiones, un mismo acceso

Opinión

Como sabemos, el entorno de los datos y los procesos que los convierten en información no se limita solo a lo relacionado con la tecnología. Contener y procesar información requiere de nosotros el ejercicio de ampliar nuestra visión y proponernos un viaje imaginario entre el mundo digital y el físico, ya que como ejecutivos de…

Consejos básicos sobre clasificación de información – Parte 2

Conexiones

  ¿Quién decide la clasificación correcta? Los dueños de datos son responsables de garantizar que dicha información sea clasificada correctamente en una de las tres categorías. Los “autores” o “creadores” de la información generalmente determinarán la categoría apropiada consultando al personal de seguridad de la información, según sea necesario. Los dueños y autores deben considerar…

Ser “compliance” o pagar más

Opinión

Cada vez que las áreas de negocio buscan nuevas oportunidades comerciales, hay costos asociados que no suelen tomarse en cuenta y habitualmente esto sucede por no convocar a todas las personas que pueden colaborar con su aporte, no solo para el éxito de la iniciativa, sino para evitar costos ocultos a futuro que afecten al…