Introducción La economía globalizada, la dependencia creciente en los sistemas digitales de información, el explosivo crecimiento del cibercrimen[1] y la naturaleza VUCA[2] del entorno actual obligan a que las organizaciones busquen el apoyo de profesionales con las competencias[3] suficientes para afrontar los riesgos de la seguridad de la información, pues de ello depende su operación [...]
Desde hace tiempo contar con una certificación ha sido un argumento muy utilizado como herramienta de apoyo en la venta de proyectos. En mi escritorio tengo una imagen que incluye la frase “Lo mejor de los estándares es que hay muchos de dónde escoger” y esto es muy cierto, puedo apegarme a un estándar de [...]
Con este tema doy inicio a una sección que, por definición, intenta ser crítica (de ahí su nombre), polémica y de sana discusión. Mi objetivo es elegir, por un lado, temas que causan preocupación y, por otro, tratar algunos en los que existe un aparente acuerdo o inercia dentro del mercado de la seguridad y [...]
Este es un primer artículo de una serie que pretende explicar, desde un punto de vista pragmático, qué es el ISO-27001 y para qué puede ser usado. En esta entrega se cubren algunos temas preliminares y se revisa un poco de la historia del estándar. ISO-27001 es otro de los temas recurrentes en el ambiente [...]
En la última entrega de la serie, se revisarán escenarios de riesgo para ejemplificar su uso como herramienta para convencer a empleados y ejecutivos para que apoyen los esfuerzos de seguridad; también se hablará brevemente del ROSI (return on security investment) y, finalmente, se darán algunas conclusiones. Escenarios de riesgo El objetivo de los escenarios [...]
En esta entrega continuaremos revisando algunas herramientas para convencer a empleados y ejecutivos para que apoyen los esfuerzos de seguridad e incluiremos algunas recomendaciones para el CISO en la implementación de estas herramientas. ¿Cómo mantener y extender el apoyo? Una vez que el CISO ha logrado el patrocinio de los ejecutivos, es muy importante que [...]
En la primera parte de esta serie nos enfocamos a revisar algunos términos importantes y, sobre todo, a comentar acerca de los conocimientos y habilidades que un CISO (recordemos que así llamaremos al responsable de seguridad) debe tener. Ahora nos concentraremos en dar recomendaciones concretas sobre la forma de convencer a la organización para apoyar [...]
Éste es un primer artículo de una serie que pretende explicar, desde un punto de vista pragmático, qué es ITIL y para qué puede ser usado en las organizaciones en la actualidad. En esta entrega se cubren algunos temas preliminares y se revisa un poco de la historia de ITIL. Introducción Si usted [...]
A pesar del crecimiento de las amenazas a los sistemas informáticos y los riesgos que enfrentan los negocios en el manejo de su información, todavía existen organizaciones en donde los ejecutivos y los responsables de seguridad tienen percepciones muy distintas sobre dichos riesgos. Esas diferencias de percepción generan distintos tipos de problemas, pudiendo incluir sentimientos [...]
