Governance, Risk and Security

By |2019-02-09T23:51:37-05:00abril 21st, 2016|

Both my research, and my practical experience, that I acquired as chief security officer, security advisor, or IT auditor has shown a mutual connection between the security of operations, and corporate governance. The security and audit methodologies suggest fulfilling such sub goals that contribute to the fulfillment of the strategic goals of the company. On [...]

El recurso humano como vulnerabilidad y fuente de explotación en la seguridad de TI

By |2019-02-09T17:32:09-05:00abril 21st, 2016|

Con la falta de una guía apropiada para TI, y muy especialmente para la seguridad, en los últimos años se han puesto de moda muchas metodologías, estándares y marcos de referencia como TOGAF, Cobit 5, ISO, NIST o PMbok, en los que cuales se revisa cómo implementar la confidencialidad, integridad, autenticidad y disponibilidad de la [...]

Integrando riesgo de TI con riesgo operacional – Claves para su implementación exitosa

By |2019-02-10T00:03:03-05:00noviembre 29th, 2015|

Introducción En la actualidad las empresas, sin importar el tamaño y, dada la alta tecnificación en la que se desenvuelven en mayor o menor medida, están sujetas a riesgos de TI. El desafío es que, en lugar de intentar evitar los riesgos relativos a la tecnología, las empresas más aventajadas están aprendiendo a manejarlos para [...]

Experiencias: la ISO y las tareas por hacer en gestión de seguridad de la información

By |2019-02-10T00:03:48-05:00noviembre 29th, 2015|

La propuesta de Sistema de Gestión de la Seguridad de la Información (SGSI) enmarcado en el sistema normativo ISO27001:2013 es una evolución positiva; permite aplicarla en aspectos no considerados en la versión del 2005 e incorpora un enfoque de alto nivel. El énfasis en la comprensión de los asuntos externos, además de los internos, es [...]

Resiliencia organizacional, continuidad de negocio y la nueva Norma BS 65000

By |2019-02-10T00:04:34-05:00noviembre 29th, 2015|

En los últimos tiempos mucho se ha hablado de resiliencia en diversas disciplinas del saber tales como la física, psicología, ciencias biológicas, sociología, ecología, economía, administración, etcétera, con su aplicación particular, desde luego, pero en esencia con el mismo significado. En física, por ejemplo, se refiere a la capacidad de un cuerpo de volver a [...]

La respuesta a incidentes en la época de amenazas avanzadas (segunda parte)

By |2019-02-09T17:02:15-05:00noviembre 29th, 2015|

En las últimas semanas los ataques cibernéticos que han tenido grandes impactos se han incrementado y han causado mucho ruido, no solo en la industria sino en personas que no se relacionan directamente con temas de ciberseguridad; el sitio de Internet www.informationisbeautiful.net cuenta con una sección llamada “Word’s Biggest Data Breaches”[1] donde se pueden observar [...]

La continuidad de negocio en las PyME, un reto de interés para todos

By |2019-02-10T21:35:49-05:00julio 5th, 2015|

Muchas pequeñas y medianas compañías tienen un enfoque pasivo frente a los temas de continuidad y recuperación de negocios. Sus esfuerzos en temas de riesgos no suelen contemplar escenarios de desastres e incidentes mayores que representen una afectación significativa para su negocio, para los sistemas que lo soportan y para su información. Los conceptos de [...]

Ser «compliance» o pagar más

By |2019-02-11T10:40:21-05:00febrero 22nd, 2015|

Cada vez que las áreas de negocio buscan nuevas oportunidades comerciales, hay costos asociados que no suelen tomarse en cuenta y habitualmente esto sucede por no convocar a todas las personas que pueden colaborar con su aporte, no solo para el éxito de la iniciativa, sino para evitar costos ocultos a futuro que afecten al [...]

Gobierno del ciber-riesgo

By |2019-02-11T10:55:51-05:00febrero 22nd, 2015|

En el iTTi (Innovation & Technology Trends Institute) prestamos atención preferente al gobierno de las tecnologías (sobre todo informáticas) por quien tiene, en las empresas, la obligación y responsabilidad de realizarlo: el Consejo de Administración[1]. ‘Gobierno corporativo de las TI’ (GCTI)… «… definido como el proceso de toma de decisiones en torno al uso de [...]