Gestión de riesgos de TI – En busca de la optimización

By |2019-02-11T10:31:15-05:00octubre 10th, 2014|

Con la publicación de la nueva versión 5 de COBIT, la ISACA se focalizó en la "maximización de la creación de valor a partir de TI para el negocio" mediante el cumplimiento simultáneo de tres objetivos de gobierno: Maximización de beneficios. Optimización de recursos. Optimización de riesgos. La introducción del concepto de optimización de riesgos [...]

COBIT 5 y el concepto de alineamiento

By |2019-02-11T13:08:02-05:00julio 11th, 2014|

Las conversaciones mantenidas en cierta red social profesional siguen ofreciendo un rico escenario para el intercambio de ideas. Lo afirmé en mi primera intervención en este medio[1] y aún lo sigo manteniendo. Hace tan sólo unos días, un buen amigo, Óscar, advertía sobre la desaparición del término “alineamiento” en COBIT 5. Mis reflexiones sobre el particular [...]

Seguridad informática ¿Guerra perdida?

By |2019-02-11T13:16:20-05:00septiembre 8th, 2013|

Cada vez es más frecuente encontrar reportes, artículos y discusiones en los que se cuestionan algunos de los conceptos fundamentales que por años hemos defendido como los pilares de la seguridad informática (defensa en profundidad, administración de vulnerabilidades, correlación de información, desarrollo de programas de concientización o apego a mejores prácticas, entre otros). Una y [...]

ISO-27001:2013 ¿Qué hay de nuevo?

By |2019-02-11T13:37:07-05:00agosto 30th, 2013|

A mediados del mes de marzo de este año, BSI publicó en su sitio Web el borrador del estándar internacional ISO/IEC-27001:2013 (DIS, Draft International Standard), así como la programación de una serie de sesiones para dar a conocer algunas de las modificaciones más significativas que incluirá dicho estándar. En esta nueva versión no solo se [...]

Longitud vs complejidad en contraseñas

By |2019-02-11T13:56:53-05:00agosto 30th, 2013|

Cada vez que algún conocido me pregunta qué puede hacer para tener una contraseña segura y lograr que sea difícil de romper, automáticamente se dispara en mí la respuesta cuasi robótica de: “Mira, tu contraseña debe tener una longitud mínima de doce caracteres, y debe estar compuesta por mayúsculas y minúsculas, números y caracteres especiales [...]

Jugando a crear cultura de seguridad de la información – De la teoría a la práctica

By |2019-02-11T14:06:34-05:00agosto 30th, 2013|

La gran mayoría de las personas desconoce los temas de seguridad de la Información y su alcance. Diversos estudios han establecido que hoy en día la mayor cantidad de ataques de seguridad de la información provienen del interior de las propias empresas (empleados descontentos, fraude interno, acceso no autorizado, falta de motivación, ausencia de entrenamiento organizacional, [...]

La evolución de los incidentes de seguridad y el papel de los profesionales en seguridad de la información

By |2019-02-09T17:50:34-05:00agosto 23rd, 2013|

Hace un par de años escribí en esta columna, con no poca dosis de drama, que como industria estábamos siendo autoindulgentes al tener en discusión temas como el  retorno de inversión, metodologías de análisis de riesgos y tableros de control, cuando los incidentes de seguridad de la información se estaban materializando por la falta o [...]

Maximizar la creación de valor de TI al ritmo del negocio

By |2019-02-11T16:06:35-05:00mayo 27th, 2013|

Desde su irrupción en las organizaciones, la tecnología de la información (TI) ha logrado convertir a la figura del CIO (Chief Information Officer) en un jugador clave a la hora de alcanzar los objetivos estratégicos del negocio. Cualquiera que sea el tamaño, mercado o segmento de una empresa, hay amplia coincidencia en reconocer a TI [...]

Deje de comprar tecnología de seguridad (primera parte)

By |2019-02-08T11:48:21-05:00marzo 5th, 2013|

Para seguir con la tradición de esta sección, tocaré en este artículo un problema con el que frecuentemente me encuentro en muchas organizaciones: los responsables de seguridad informática están demasiado enfocados a conocer, evaluar y comprar nuevas tecnologías, pero muy pocos se ocupan de administrarlas y operarlas de manera adecuada. Propondré una clasificación de madurez [...]