Society of Corporate Compliance & Ethics 15th Annual ... · nivel aceptable mientras los sistemas estén abajo. En los casos en que desde una perspectiva del negocio no es aceptable

Learn more and register at complianceethicsinstitute.org

IT COMPLIANCE TRACK COVERING MORE THAN A DOZEN COMPLIANCE TOPICS RELATED TO IT

COMPLIANCE & ETHICS INSTITUTESEPTEMBER 25-28 | SHERATON GRAND | CHICAGO

Society of Corporate Compliance & Ethics 15th Annual REGISTER

NOW

scce-2016-cei-isaca-ad.indd 1 7/26/16 4:43 PM

The ISACA® Journal tiene por objeto mejorar el nivel de competencia y la ventaja competitiva de sus lectores internacionales, proporcionando orientación técnica y de gestión de autores experimentados globales. Los artículos son revisados por pares y se centran en temas críticos para los profesionales que intervienen en auditoría de TI, gobierno, seguridad y cumplimiento.

Lea más acerca de los autores del Journal..

Los blogs de los escritores del Journal estan en www.isaca.org/journal/blog. Visita el blog de ISACA Journal, en términos prácticos, para adquirir conocimientos prácticos de colegas y participar en la comunidad cada vez mayor de ISACA.

3701 Algonquin Road, Suite 1010Rolling Meadows, Illinois 60008 USATelephone +1.847.253.1545Fax +1.847.253.1443www.isaca.org

4Materias seguridad de la información: Héroes olvidados de la seguridadSteven J. Ross, CISA, CISSP, MBCP

7Auditoría básica de SI: Los desafíos de las habilidades blandas, parte 4Ed Gelbstein, Ph.D., and Stefano Baldi

12La redLeonard Ong, CISA, CISM, CRISC, CGEIT, COBIT 5 Implementation and Assessor, CFE, CIPM, CIPT, CISSP ISSMP-ISSAP, CPP, CSSLP, CITBCM, GCFA, GCIA, GCIH, GSNA, PMP

14Información de etica: El desafío de ser “bueno”Vasant Raval, DBA, CISA, ACMA

ARTICULOS20Como auditar el elemento humano y evaluar el riesgo de seguridad de su organizaciónTom Pendergast, Ph.D. (Também disponível em português)

25Cyberinsurance: ¿Generador de valor o costo a cargar?Syed K. Ishaq, CISA, CRISC, CCISO(Também disponível em português)

32Un Enfoque integrado oara el monitoreo de amenazas cibernéticas utilizando aplicaciones de código abiertoFurkan Caliskan, CISA

37Balanceando el campo de batalla de la seguridad cibernéticaDaksha Bhasker, CISM, CISSP

41Planificación de pruebas de seguridad de la información—Un enfoque prácticoKarina Korpela, CISA, CISM, CRISC, CISSP, PMP, and Paul Weatherhead, CISSP

51Una perspectiva crítica de los procesos de selección de controlesStefan Beissel, Ph.D., CISA, CISSP, PMP

MAS56Palabras cruzadasMyles Mellor

57CPE pruebaPrepared by Smita Totade, Ph.D., CISA, CGEIT, CISM, CRISC

59Estándares, guías, herramientas y técnicas

S1-S4ISACA Bookstore Supplement

Journal

FPO Discuss topics in the ISACA Knowledge Center: www.isaca.org/knowledgecenter Follow ISACA on Twitter: http://twitter.com/isacanews; Hashtag: #ISACAJoin ISACA on LinkedIn: www.linkedin.com/company/isacaLike ISACA on Facebook: www.facebook.com/ISACAHQ

Reconocimiento porTraducciónISACA le agradece al Capítulo de Chile por la traducción y la donación de la traducción de este volumen del ISACA Journal.

Sr. Julian Rodrigo Davis Toledo, CISA, CISMMr. Jesús Soto Valbuena, CISASr. Leonardo Vinett Herquiñigo, CISAMr. Pablo Idiaquez RíosSr. Fernando Méndez Erazo, CISA

Sr. Jorge Serrano Rodríguez, CISA, CGEIT, CRISCMr. Maximiliano Rojas Hinrichsen, CISMSr. Sergio Molanphy , CISM, CRISCSr. Pablo Caneo Gutiérrez, CISA, CGEIT, CRISC

DO YOU HAVE WHAT IT TAKES TO BE PART OF THE SOLUTION?

THERE’S NO SHORTAGE OF CYBER SECURITY THREATS

See graduation rates, median student debt, and other information at www.capellaresults.com/outcomes.asp .

ACCREDITATION: Capella University is accredited by the Higher Learning Commission.HIGHER LEARNING COMMISSION: https://www.hlcommission.org, 800.621.7440CAPELLA UNIVERSITY: Capella Tower, 225 South Sixth Street, Ninth Floor, Minneapolis MN 55402, 1.888.CAPELLA (227.3552)

©Copyright 2016. Capella University. 16-8594

BUT THERE IS A SHORTAGE OF IT SECURITY PROFESSIONALS

Get up-to-date security skills with Capella University’s Master’s in Information Assurance and Security (MS-IAS).

Specializations include Digital Forensics, Network Defense, and Health Care Security. Along the way to your MS-IAS, earn up to 3 NSA focus area digital badges showcasing your mastery of skills in speci� c cybersecurity areas. Plus, the knowledge you gained for your CISSP®, CEH®, or CNDA® certi� cations can help you earn credit toward your MS-IAS, saving you time and money.

ANSWER THE CALL. START TODAY. CAPELLA.EDU/ISACA OR 1.866.933.5836

8594-NSA Focus Area Badges_ISACA_Full page ad_d4_F.indd 1 3/30/16 5:12 PM

DO YOU HAVE WHAT IT TAKES TO BE PART OF THE SOLUTION?

THERE’S NO SHORTAGE OF CYBER SECURITY THREATSBUT THERE IS A SHORTAGE OF IT SECURITY PROFESSIONALS

ISACA JOURNAL VOL 54

información 2. No creo que esto sea necesariamente cierto o sea una verdad absoluta. Mi experiencia, al menos en la última década, es que hay muchos profesionales en las filas de las TI que son importantes contribuyentes a la seguridad de la información y que éstos deben ser reconocidos como tales.

Los administradores de bases de datos

Si hay algún atributo de la seguridad de la información que es universalmente reconocido, es el control de acceso a los datos. De acuerdo con un escritor, “el administrador de la base de datos (DBA), tiene tres tareas básicas. En orden decreciente de importancia son: proteger los datos, proteger los datos, y proteger los datos”3. Los administradores de bases de datos, o quizás más específicamente, los administradores de datos, definen las reglas para los datos en la forma de metadatos. Estos profesionales establecen las políticas para el uso de los datos, en términos de la propiedad de los elementos, su uso por parte de las aplicaciones (y por extensión, de las personas), los permisos de acceso, y la modificación o eliminación de datos4. Todo eso me suena muy parecido a la seguridad de la información.

Los administradores del sistema

Cuando un sistema tiene muchos usuarios, alguien debe ser responsable de la instalación, soporte y mantenimiento de éste. Esa persona se conoce como administrador del sistema (sysadmin) y tiene una amplia autoridad por el contenido, capacidad y rendimiento de los servidores, dispositivos de red y otros elementos de la configuración. Es comprensible que aquellos cuyos intereses están relacionados con la seguridad de la información deben tener cuidado con los administradores de sistemas, dado el poder que éstos tienen sobre el almacenamiento y el uso de los datos. Sin embargo, los administradores de sistemas son, o deberían ser, los primeros en saber cuándo un sistema actúa de manera extraña o bien esté fallando 5.

En mi experiencia, los administradores de sistemas son muy protectores de sus dominios y muy centrados en la continuidad y seguridad de las

Héroes olvidados de la seguridad

¿Tienes algo que comentar sobre este artículo?Visita las páginas del Journal en el sitio web de ISACA (www.isaca.org/journal), encuentra el artículo y da click en el link Comments para compartir tus pensamientos.

Steven J. Ross, CISA, CISSP, MBCPEs director ejecutivo de Risk Masters International LLC. Desde el año 1998 Ross ha estado escribiendo en una de las columnas más populares de esta revista. Steven Ross puede ser contactado en la dirección [email protected].

Hace mucho y lejanos tiempos, yo era el presidente de la EDP Auditors Association, la cual, algunos años más tarde, cambió su nombre a ISACA®. Así que, aquí estamos 35 años después de mi período en ese cargo y hoy me maravillo en lo que se ha convertido ISACA: 140.000 miembros en más de 200 capítulos de 180 países. Uno de las cosas que estoy más orgulloso de la actual Asociación es la cantidad de miembros y la vasta comunidad a la cual sirve. Aun manteniendo una base en los profesionales de la auditoría de los SI y de las TI, ISACA ahora también comprende a otros profesionales tales como consultores, educadores, profesionales de la seguridad de la información, profesionales de riesgo, directores de información y auditores internos1.

Se ha dicho que quienes están profesionalmente interesados en la seguridad y en el control de los sistemas de información, son principalmente los auditores, y que éstos tienen una relación de confrontación con la función de las tecnologías de la

materia

información seguridad

ISACA JOURNAL VOL 5 5

los primeros se preparan para la recuperación de las operaciones de TI, los últimos aseguran que las actividades de negocios pueden continuar en algún nivel aceptable mientras los sistemas estén abajo. En los casos en que desde una perspectiva del negocio no es aceptable un tiempo de inactividad, el gerente de la continuidad del negocio se convierte en el defensor de los usuarios finales en el trato con la gerencia de TI.

Algunos podrían preguntarse si la gestión de la continuidad del negocio es al fin de cuentas una función de la seguridad de la información. Durante muchos años, la norma básica de seguridad global, la ISO 27001, define la gestión de la continuidad del negocio como una componente de la seguridad de la información. En la versión 2013, con la publicación paralela de la norma ISO 22301 como un estándar de gestión de la continuidad del negocio, la atención de esta nueva norma se desplazó al mantenimiento de la seguridad de la información durante una situación de recuperación6.

El personal de adquisiciones

En nuestra época interconectada, es ampliamente reconocido que la seguridad y la capacidad de recuperación de las terceras partes son también elementos críticos de la seguridad de la información. Cuando se compran sistemas en la forma de productos y servicios, debe quedar claro que los requisitos para la seguridad deben ser tan altos como los requerimientos de seguridad de los sistemas desarrollados internamente, y tal vez más, ya que la organización que hace la adquisición tiene poco o ningún control sobre las prácticas de desarrollo del proveedor de éstos.

La persona que está en mejores condiciones para insistir en contar con una seguridad incorporada en la adquisición de los productos y servicios TI es el gerente de compras. Voy a dejar para un próximo artículo cómo esta persona, presumiblemente sin un profundo conocimiento de TI, o sin habilidades en seguridad de la información, podría comprender los requisitos básicos de seguridad de información de una organización o bien reconocer que éstos no se cumplen. Sin embargo, los gerentes de compras pueden ser fundamentales para lograr un nivel consistente en la seguridad de información en una empresa.

operaciones, tanto en los dispositivos como en el software que ellos soportan. Así, a pesar de su potencial de poder socavar la seguridad, a menudo son ellos mismos los que se aseguran que la seguridad de la información esté funcionando

Los planificadores de la recuperación de desastres

A veces, a pesar de todas las medidas de seguridad, los sistemas fallan. Cuando la causa es de naturaleza física, lo llamamos un desastre, y cuando sobreviene un desastre en un centro de datos, es el planificador de recuperación de desastres quien debiera haber desarrollado los procedimientos de restauración de las operaciones, generalmente en una ubicación alternativa. Esta persona debería tener un amplio conocimiento de la infraestructura y de las aplicaciones, con el fin de efectuar la recuperación de las operaciones dentro de los límites definidos por la Administración para los tiempos de inactividad y la pérdida tolerable de datos.

De por sí, la recuperación de desastres es un aspecto de la seguridad de la información. Por otra parte, los planificadores de recuperación de desastres necesitan mantener el control de accesos, la detección de intrusos y otras medidas de seguridad en los ambientes restaurados, al mismo nivel que tenían durante las operaciones normales. En consecuencia, tienen muchos atributos que los hacen participantes en la gestión de la seguridad de la información.

Los gerentes de continuidad de negocios

Estrechamente alineados (y aliados) con los planificadores de recuperación de desastres están los gerentes de continuidad de negocio. Mientras

De por sí, la recuperación de desastres es un aspecto de la seguridad de la información.


Solo juntando todas las habilidades mencionadas podemos mejorar la seguridad de la información de una organización y la calidad de su ambiente de TI. Así que, si quieres hacer algo para fomentar la seguridad de la información, considera invitar a un gerente de proyecto para el almuerzo. Y la próxima semana, a un DBA. Y después de eso, a un administrador de sistemas.

Quién sabe, tal vez usted puede convencerlos de unirse a ISACA.

Notas Finales

1 ISACA, Membership, Guidance and Certification for IT Professionals, www.isaca.org/About-ISACA/What-We-Offer-Whom-We-Serve/Pages/default.aspx

2 Singleton, T.; “Why Everyone Dislikes the IT Auditor and How to Change It,” ISACA® Journal, vol. 1, 2016, www.isaca.org/Journal/archives/Pages/default.aspx

3 Watkins, B.; “What Does a DBA Do All Day?,” Enterprise Cloud, 26 June 2008, reprinted in Tech Republic, www.techrepublic.com/blog/the-enterprise-cloud/what-does-a-dba-do-all-day/

4 Cox, T. B.; “The Role of the Database Administrator,” Computer Weekly, March 2000, www.computerweekly.com/feature/White-Paper-The-role-of-the-database-administrator

5 Gite, V.; “What Is the Role of the System Administrator?,” nixCraft, 20 February 2006, www.cyberciti.biz/faq/what-is-the-role-of-the-system-administrator/

6 Verry, J.; “Is ISO 27001:2013 Clarification of Business Continuity Driving ISO 22301 Certification?,” PivotPoint Security, 14 November 2013, www.pivotpointsecurity.com/blog/iso-27001-2013-business-continuity-iso-22301/

Gerentes de proyecto

Incluso si un sistema, ya sea adquirido o desarrollado internamente, tiene los mejores controles de seguridad, éstos controles pueden carecer de sentido si no se aplican correctamente. Grandes proyectos e implementaciones de sistemas son casi siempre proyectos de importancia y requieren de gerentes de proyecto capaces. Son estos gerentes de proyecto quienes aseguran que los sistemas se ponen en marcha de forma correcta, utilizando los métodos y controles adecuados, satisfaciendo las necesidades de los propietarios, y, oh sí, son entregados a tiempo y dentro del presupuesto. En algún lugar de su mandato, los gerentes de proyecto deben asegurar que la seguridad de la información se ha incorporado adecuadamente en los sistemas.

Los gerentes de proyecto deben tener los conocimientos y las habilidades para poder relacionar todos los requisitos de seguridad del proyecto de sistema que estén supervisando. Esto requiere una comprensión de cómo el sistema en cuestión cumple con esos requisitos y cuál es la forma en que el sistema implementado soporta la seguridad de la información (o la deja de soportar). Los gerentes de proyecto deben pensar en términos generales, teniendo en cuenta no solo la seguridad del sistema en cuestión, sino a todos los otros sistemas que funcionan en el mismo entorno, y cada vez más, significa considerar todo el conjunto de aplicaciones y su infraestructura.

Es por ello que aquellos de nosotros, que tenemos algún grado profundo de conocimiento en seguridad de la información, debemos trabajar con los gerentes de proyecto y todos los otros profesionales mencionados anteriormente, con una relación de respeto mutuo (y sin confrontación).

¿Disfrutto este artículo??

• Aprenda más acerca, discute y colabora con la continuidad de negocios, recuperación de desastres y plaificación en el Centro de Conocimiento. www.isaca.org/topic-business-continuity-disaster-recovery-planning

More timely content, delivered more frequently.

COBIT FocusNews and Case Studies About COBIT 5

NOW AVAILABLE MONTHLY!

COBIT Focus provides practical-use articles, case studies, best practices and news—and now you can connect and share knowledge with the COBIT community by having this ISACA newsletter delivered to your email inbox every month.Subscribe for free at www.isaca.org/info/cobit-focus/index.html


Los desafíos de la habilidades blandas, parte 4Mapeo mental

Hace muchos años, durante una lluviosa noche de noviembre en Londres, Inglaterra, decidí buscar una librería para mantenerme seco y cálido y también para ver lo que se había publicado recientemente.

En la sección de psicología, había un libro delgado con una cubierta brillante y conteniendo muchos dibujos. Se llamaba el Libro del Mapa de la Mente,1(The Mind Map Book) anunciado en ediciones posteriores permitiendo al lector a “desbloquear su creatividad, mejorar la memoria, cambiar su vida”. Buen mercadeo, y por supuesto, teniendo en cuenta que la mayoría de los libros son uno de los lujos más baratos en la vida, vale la pena una compra.

El libro era muy interesante, pero tomo tiempo y cierta práctica para apreciar su valor. Esta columna es un poco de un experimento, ya que consiste de algunas ilustraciones (cada una un mapa de la mente) y texto mínimo, todo ello basado en el libro.

La técnica de los mapas mentales (figura 1) no es una bala de plata o una poción mágica que va resolver todos los desafíos de la vida. En su lugar, está diseñado para ayudar al usuario a concentrarse en un tema (el “te gustaría” en la figura 1) y enlazar con él esas cosas que se consideran más relevantes utilizando el menor número posible de palabras y, lo más importante, hacerlo todo en una sola página.

Un ejemplo familiar podría ser el mapa mental “como contratar a un nuevo Auditor SI”. Los lectores de este artículo pueden rápidamente llegar a muchas cuestiones que son pertinentes para este objetivo, ej., áreas de especialización, aptitudes, experiencia, el caso de negocio. Al poner “reclutar nuevo Auditor SI” en el centro de la página, preferiblemente en landscape, se hace posible agrupar los temas recién listados, relacionarlos, revisarlos que estén


Ed Gelbstein, Ph.D., 1940-2015Trabajo en SI/TI en el sector privado y público en varios países por más de 50 años. Gelbstein efectuó desarrollos análogos y digitales en los 1960s incorporo computadores digitales en los sistemas de control para procesos continuos a finales de los 60s y en los inicios de los 70s, y administro proyectos grandes y complejos hasta los inicios de los 1990s. En los 90s, se convirtió en ejecutivo de los Ferrocarriles Británicos pre privatizados y luego el proveedor de computación de comunicaciones de datos globales de las Naciones Unidas. Después de su retiro (Semi) de la ONU, se unió a los equipos de auditoria de la Junta de Auditores de la ONU y la Oficina Nacional Francesa de Auditoria. Gracias a su espíritu generoso y sus escritos prolíficos, su columna continuara siendo publicada en el Journal de ISACA póstumamente.

Stefano BaldiEs un diplomático de Carrera Italiano y uno de los primeros en adoptar Sistemas de la Información y comunicaciones, así como una fuerza impulsadora para el uso más amplio del aprendizaje en línea. Baldi es el director de entrenamiento en el Ministerio de Relaciones Exteriores de Italia. Sus puestos diplomáticos han incluido servir como representante permanente de Italia en la ONU en Ginebra, Suiza, y, subsecuentemente, cuidad de Nueva York, Nueva York, EEUU, y en la Unión Europea en Bruselas, Bélgica. Baldi ha sido autor y coautor de varios libros sobre temas relacionados con la diplomacia y, con Gelbstein, ha dirigido cursos para diplomáticos de todo el mundo sobre temas como la gestión de la información y la seguridad de la información.

Figura 1—Benefits of Mind Mapping

Source: E. Gelbstein. Reprinted with permission.

IS auditoríabásica


ser procesados individualmente porque son las asignaciones arbitrarias de una forma a un sonido. El hacer el esfuerzo de leer texto en un alfabeto no familiar hará que este concepto sea más claro.

He utilizado esta técnica al escribir un artículo o al preparar una presentación. El proceso toma tres pasos:

1. Un mapa mental bastante rápido con muy pocas palabras (no importa si es hecho a mano o utilizando software)}

2. Revisión y ordenamiento para un buen flujo3. Transición a texto o páginas de presentación

(nuevamente utilizando tan pocas palabras como sea posible)

Esto resulta ser un excelente ahorro de tiempo y conduce a un resultado “bien la primera vez, cada vez”.

Ir más lejos

Una vez aprendido, el mapeo mental es fácil de hacer, y la práctica hace la perfección. Por lo tanto, es bueno disfrutar del “niño interior” que todos llevamos dentro y utilizar crayones o lápices de colores para hacer bocetos y asegurar que ambos lados del cerebro (el lógico y el artístico) están comprometidos (figura 2).

Esto estimula el proceso creativo, anima a hacer asociaciones entre cosas que pueden aparecer no relacionadas y alienta al diseñador a pensar libremente sobre el tema en foco.

Aquellos que usen este enfoque es probable que se sorprendan por el número de veces que alguien viendo los mismos elementos en un mapa mental dice “Yo no habría pensado en eso”.

Cosas que hacer utilizando mapeo mental

El mapeo mental es una actividad muy individual ya que se relaciona en cómo se hacen asociaciones en las mentes de las personas. Una cosa es cierta: Por lo menos unos de los ejemplos incluidos aquí pueden ser útil en las actividades profesionales de muchas personas. Es importante no estar preocupados si a la primera otros consideren esta actividad como extraña. Aquellos que no están familiarizados con los mapas

completos y compartir el resultado con otros. Un mapa mental desarrollado en “reclutar un nuevo Auditor SI” puede encontrar en adelante en este artículo.

Estas son las asociaciones que la mente del creador del mapa mental tiene con “reclutar un nuevo auditor SI”. Otras personas pueden tener otros totalmente diferentes, y comparándolos pueden revelar algunos temas interesantes para discutir más.

Si las discusiones o reflexión adicional muestran que algo hace falta, puede fácilmente ser añadido. De esta manera, todos los pensamientos que ya estaban flotando en la mente del creador del mapa ahora están organizados de forma visible y significativa. Al tener esta visión organizada puede ayudar en la toma de decisiones informadas y entender las complejidades potenciales que puedan surgir (ej., acuerdos de las funciones de los recursos humanos [RRHH], temas presupuestarios) y las múltiples opciones que deban tomarse (ej., emplear o contratar por fuera, importancia de sus habilidades blandas).

¿Y qué tiene que hacer esto con la memoria? La respuesta es simple, pero no obvia: El cerebro es un órgano visual y recuerda fácilmente imágenes y diagramas. La lectura de texto lineal es un acto “no natural” ya que los caracteres necesitan

Figura 2—Turning Mind Mapping Into “Play”


Orgánico

Use asociaciones, gráficos, dibujos, color y reducir el texto al mínimo.

CerebroLógica

Creativo

L

R

Pensamiento lineal

LimitadoMuchos usosRápidos de hacerBuenos para compartir

PapelLápicesBorrador

Práctica

Fácil de aprender

Posibles liberacionesDivisión cerebro


En adición, mapas mentales pueden usarse también para:

• Comunicar temas complejos—Un formato de página única permite un buen entendimiento del todo y sus partes, particularmente cuando muestra explícitamente como los elementos están asociados o relacionados.

• Reuniones—Estos pueden ser apoyados por el mapeo mental de varias maneras: preparando la agenda, presidiendo, involucrando a las participantes, efectuando los arreglos e incluso levantando el acta/minutas, si la cultura corporativa lo permite, las actas/minutas pueden hacerse rápidamente y eficientemente porque no hay necesidad de perder tiempo y esfuerzo escribiendo largas cadenas de texto (como en “El señor X dijo que ABC y esto fue refutado por la señorita Y en base o XYZ”). El punto importante es permitir que el cerebro escuche activamente a lo que se está diciendo.

• Negociando—Un mapa mental puede resumir con esmero cuestiones importantes, cada posición y libertad de acción, opciones, etc., en una hoja y, por lo tanto juega un papel en mantener la atención durante las negociaciones. Por supuesto, no todas las negociaciones pueden ser concluidas satisfactoriamente cuando los problemas son muchos, complejos y manchados por una larga historia de desacuerdos. Estos caen fuera del alcance de la auditoria.

mentales bien pueden decidir aprender la técnica una vez que vean lo útil que puede ser para los esfuerzos incluyendo:

• Tomar Nota—Esto se hace más efectivo que el enfoque tradicional. Cada idea puede ser puesta donde cabe, independientemente del orden de su presentación. Alienta resumir cada concepto en unas pocas palabras. El resultado del mapa mental puede ser visto y memorizado y ayuda en desarrollar un “cuadro grande”.

• Aprendiendo y revisando—Porque un mapa mental crea una visión más amplia sobre un tema, ayuda en entender los enlaces y conexiones entre las diversas partes componentes y explorándolas con más detalle. Esto trabaja bien al dibujar un mapa mental de un texto mientras lo lee. El proceso de crear el mapa mental aumenta la cantidad de información que se absorbe del libro y resulta en un resumen de una página de todas las cosas que importan. El mismo enfoque puede ser utilizado en la preparación de material de entrenamiento.

• Escritura creativa y redacción de informes—Estos son asistidos en gran medida debido a que un mapa mental produce rápidamente un gran número de ideas que pueden ser organizadas en grupos o temas relacionados. Lo mismo aplica a la preparación de presentaciones y discursos.

Figura 3—Mind Map for Recruiting an IS Auditor


Contratar a unAuditor de SI

Como participar

Marco Trabajo (ej.,COBIT®)JubilacionesCarga Trabajo

Infrastructura

Software aplicacion

Gobierno

Riesgo SeguridBase de datos

CAATs

Educación

Referencias

Certificacións

Experiencia

RotaciónCriterio selección

Paquete

Contrato

AdministraciónEntrevista

Ca

so de N

egocio

Ambitos de

Requerimiento mínimo

Como empearPosible fuentes

Como contratar

Habilidades

Comunicaciones

Interpersonal

Proyecto management

Gestión tiempo

Escrito

Verbal

competencia


Conclusión

En un mundo caracterizado por una sobre carga informacional, una técnica que puede ayudar con entender, organizar y capturar puntos sobresalientes puede ser un salvavidas. El Mapeo Mental es una herramienta probada que permite la selección de ilustraciones significativas de temas inter relacionados. No solo puede ahorrarle tiempo considerable en asimilar información valiosa, es compatible con la recuperación de esa información mediante el aprovechamiento de la predilección del cerebro para lo visual sobre la memoria verbal. Dado el rápido ritmo de cambio en la tecnología-cualquiera que trabaje en el campo de tecnología, como ser auditores SI, especialistas de riesgo y control, y profesionales de seguridad de la información, pueden beneficiarse del enfoque del mapeo mental y estructural.

Notas Finales

1 Buzan, T.; B. Buzan; The Mind Map Book: How to Use Radiant Thinking to Maximize Your Brain’s Untapped Potential, Plume, USA, 1996

2 www.biggerplate.com/

Un ejemplo simple de un mapa mental sobre un tema de auditoria

La figura 3 pretende ser un ejemplo de cuantos elementos se pueden incluir en una sola página y como se necesita poco texto para documentarlos. De la misma manera que “una imagen vale más que mil palabras”, “un mapa mental vale más de cien páginas”. Esto es especialmente útil para evitar los casos de un texto que se escribe en colaboración, durante el cual se pueden gastar horas discutiendo sobre una palabra o un punto y coma.

Sin duda habrá cosas para añadir, eliminar o trasladarse en figura 3. Algunas pueden inclusive decir, “¿Y qué? He estado haciendo esto por un largo tiempo no necesito que me lo digan”. Esto puede ser cierto, pero no todos pueden estar en una posición tan agradable.

Usted puede haber notado que un enfoque similar- resumen de diagramas mostrando la relación de los elementos- es aplicado consistentemente a través de la familia de documentos de COBIT® 5, y la visión de los diagramas que ofrecen, facilita enormemente el estudio del material.

Previamente se mencionó que el mapeo mental solo necesita papel, crayones y borrador. Sin embargo, hay también un montón de fuentes de software que apoyan esta técnica, con precios que varían desde casi gratis o hasta los que muchos consideran ser excesivo. Las ventajas de un producto de software incluyen la habilidad de compartir documentos electrónicos, mantener múltiples versiones de los mapas mentales en carpetas bien organizadas y, una vez las peculiaridades del software se han dominado, producir mapas más ordenados de forma más rápida.

Hay un sin número de sitio en línea que dan acceso a mapas mentales creados por miles de individuos en casi todos los temas. También existen muchos libros en muchos lenguajes que ofrecen guía para mejorar las habilidades.

El mapeo mental es una herramienta probada que permite la selección de ilustraciones significativas de temas inter relacionados.

¿Disfruto este artículo?

• Aprenda más acerca, discute y colabora en career management en el Centro de Conocimiento. www.isaca.org/topic-career-management

MEMBER GET A MEMBER 2016

Get Members. Get Rewarded.REACH OUT AND HELP COLLEAGUES AND OTHER PROFESSIONALS BECOME ISACA® MEMBERS. THEY GET THE BENEFITS OF ISACA MEMBERSHIP. YOU GET REWARDED.

THE MORE MEMBERS YOU RECRUIT, THE MORE VALUABLE THE REWARD.When ISACA grows, members benefit. More recruits mean more connections, more opportunities to network—and now, more rewards you can use for work or fun!

Get recruiting today. It’s easy. Learn more at www.isaca.org/GetMembers

Recruit 2 – 3 new members and receive an attachable tracking device. Easily locate your valuable items, includes multiple customization options: a US $25 value.

Recruit 4 – 5 new members and receive an indoor/outdoor home assistant that flies, 2.4 Ghz camera included. Flips upside down with 4.5 ch. 3D control and LED lights: a US $145 value.

Recruit 6 – 7 new members and receive an any-surface projector. Turn any surface into your very own display and entertainment center: a US $279 value.

Recruit 8 – 9 new members and receive hi-tech, smart luggage that you can control from your phone: a US $375 value.

Recruit 10 or more new members and receive a high- quality gaming system with WiFi capabilities and built-in Blu-ray player. Also includes a controller and 2 games: a US $550 value.

* Rules and restrictions apply and can be found at www.isaca.org/rules. Please be sure to read and understand these rules. If your friends or colleagues do not reference your ISACA member ID at the time they become ISACA members, you will not receive credit for recruiting them. Please remember to have them enter your ISACA member ID on the application form at the time they sign up.

© 2016 ISACA. All Rights Reserved.

Leonard Ong, CISA, CISM, CRISC, CGEIT, COBIT 5 Implementation and Assessor, CFE, CIPM, CIPT, CISSP ISSMP-ISSAP, CPP, CSSLP, CITBCM, GCFA, GCIA, GCIH, GSNA, PMP Tiene más de 16 años de experiencia en seguridad de la información y corporativa obtenida en las industrias de telecomunicación, banca y farmacéutica. Ha trabajado en diferentes roles en profesiones de seguridad incluyendo ciberseguridad, seguridad corporativa, administración de la continuidad de negocio y consultoría. Ong ha sido voluntario en un número de asociaciones de seguridad desde 2003.


Q: ¿Cómo piensa que el rol de los profesionales de seguridad de la información está cambiando o ha cambiado?

A: A medida que las tecnologías de la información se integran con el negocio, los profesionales de seguridad de la información deben estar mejor informados respecto del contexto de negocio. El rol está cambiando actualmente de ser reactivo y en forma de soporte, a ser proactivo y habilitador. Los profesionales de seguridad de la información están entregando y habilitando nuevos valores tal como lo hacen otras funciones de negocio.

Q: ¿Cómo ve que los roles de seguridad de la información, riesgo y gobierno cambiarán en el largo plazo?

A: Las funciones se entrelazarán mucho más que antes en el pasado. Los profesionales de la seguridad de la información, aseguramiento, administración de riesgos y gobierno tendrán que trabajar más cerca y sin restricciones. Veo que habrá movimiento de un rol a otro y viceversa, y los profesionales se volverán multidisciplinarios. ISACA® facilita a los profesionales la adquisición de nuevas áreas de conocimiento y valida ese conocimiento a través de certificaciones.

Q: ¿Cómo es que las certificaciones que ha obtenido le han ayudado a avanzar o potenciar su carrera profesional? ¿Cuáles son las certificaciones que buscas cuando reclutas a un nuevo miembro de tu equipo?

A: A través del proceso de certificación he minimizado mis brechas de conocimiento mediante el aprendizaje de guías de conocimiento ampliamente aceptadas. Las certificaciones que he obtenido también me han ayudado a ser reconocido. Al contratar, miro a los candidatos que tienen certificaciones relevantes más detenidamente; por ejemplo, en un rol enfocado en la administración del riesgo TI, un candidato que posea la CRISCTM (Certified in Risk and Information Systems ControlTM, por sus siglas en inglés), sería deseable.

Q: ¿Cuál sería su mejor consejo para los profesionales de seguridad de la información, al planificar su plan de carrera y al mirar al futuro de la seguridad de la información?

lared

A: Uno debe entender sus fortalezas y áreas de interés. Generalmente hay caminos técnicos y administrativos. Cada uno de estos caminos resiste la opción de ser un generalista o un especialista. El plan de carrera del CSX (The Cybersecurity Nexus, por sus siglas en inglés) es una gran herramienta para mapear una carrera. Uno puede elegir ser un CISM® (Certified Information Security Manager®, por sus siglas en inglés) para el camino administrativo o ser un CSXE (Cybersecurity Nexus ExpertTM, por sus siglas en inglés) para el camino técnico.

Q: ¿Cuáles cree que son las formas más eficaces para hacer frente al déficit de habilidades en ciberseguridad?

A: Aprendizaje estructurado, práctico y vivencial con la validación de habilidades tendrá el mejor efecto.

Las habilidades de ciberseguridad se pueden desarrollar en varias entidades incluyendo colegios, universidades y en el lugar de trabajo mediante la conversión de trabajo. Un elemento importante para reducir la brecha es tener la habilidad práctica que puede ser utilizada en terreno.

Q: Usted ha sido un voluntario activo en una serie de asociaciones de seguridad durante más de una década. ¿Por qué hace del voluntariado una prioridad de entre los muchos otros temas que demandan su tiempo?

A: Todo el mundo puede hacer una diferencia en este mundo y elegí servoluntario en asociaciones de seguridad como un modo de impactar positivamente en nuestra sociedad. Dada la gran importancia de la tecnología, nuestro


¿Cuál es el mayor reto de seguridad que se enfrentará en el 2017? ¿Cómo debe ser enfrentado?La falta de conciencia y del apoyo de la alta dirección. Se enfrenta mediante la participación y el compromiso de la junta directiva y la alta gerencia, y manteniéndolos situacionalmente concientizados.

¿Qué es lo que está sobre su escritorio en este momento?

Una computadora portátil de trabajo, una computadora portátil personal, una notepad de negocios, un diario de viajes, un conjunto de bolígrafos (plumas fuente)

¿Cómo le han impactado los medios sociales profesionalmente?

Es increíble que ya no estemos limitados por fronteras geográficas físicas para generar redes de contacto y colaborar.

¿Cuál es su principal consejo para otros profesionales de seguridad de la información?

Que estén orgullosos y sigan colaborando con el negocio y otras funciones para lograr los objetivos empresariales en común.

¿Cuál es su beneficio favorito como miembro de ISACA?

Conocer a profesionales con ideas afines en todo el mundo y aprender de esas interacciones. Además, el acceso a las publicaciones periódicas, encuestas e investigaciones.

¿Qué haces cuando no está en el trabajo?

Pasar el tiempo con mi familia y voluntariado. En mi papel como director en la junta directiva de ISACA, visito varios capítulos de ISACA e interactúo con los líderes y miembros de los capítulos. Al mismo tiempo, contribuyo en el intercambio de conocimientos, presentando en varias conferencias.

1

2

3

4

5

6

papel en asegurar que continuamos beneficiándonos del uso positivo de la tecnología a través de la seguridad, es crítico.

Q: ¿Cuál ha sido su mayor desafío en su lugar de trabajo o carrera profesional y cómo lo enfrentaste?

A: Cuando los roles de seguridad de la información y de la administración de riesgos tecnológicos no eran vistos como un valor agregado para el negocio, sino como una sobrecarga innecesaria, eran tiempos desafiantes. Con el fin de transformar la situación en un entorno más propicio, realicé un extenso trabajo de divulgación a líderes empresariales y de otras funciones de negocio. Como parte de la divulgación, reintroduje nuestra propuesta de valor y cómo podemos ser un socio en lugar de una barrera.


tenido tiempo para pensar en el caso y construir posibles interrogantes morales. Si la situación es inminente y no dio ningún aviso previo, es difícil de resolver “en sus pies” lo que podría ser una respuesta moralmente apropiada. Además, si dos o más personas están involucradas en el caso, existe la posibilidad de que los individuos involucrados se transmitan su preocupación en relación con la parte ética del proyecto general. Sin embargo, a menos que el escenario sea frecuente, simple o familiar, uno puede encontrar que las respuestas a, o incluso las interrogantes de la acción moral son difíciles de encontrar.

Si hay espacio para la reflexión sobre el aspecto moral del problema en una etapa posterior en la secuencia de decisiones, ciertamente proporcionaría una oportunidad de volver a examinar la cuestión moral a la luz de los progresos realizados hasta el momento. Esto ayudará a determinar si el tomador de decisiones se siente cómodo con la forma en que se identifican y abordan las cuestiones morales y si existe algún espacio para el cambio en el planteamiento del problema y/o método para abordarlo.

Para aumentar la dificultad está el hecho de que las cuestiones morales (no materiales) no se identifican de forma aislada; ellas son inherentes al problema material y la forma en que se resuelven. Hay buenos argumentos para indicar que la inmediatez y la importancia de los problemas materiales de la organización pueden consumir mucho tiempo y concentración de las personas que participan en la solución del problema, que no tienen recursos disponibles para explorar la ética de la situación1. Esta falta de atención puede llegar a ser aún más grave, como los componentes de un gran proyecto que se transmiten a los grupos encargados de resolver sólo la parte del rompecabezas proyecto. La tarea material asignada a un sub-equipo es guiada por las especificaciones detalladas que acompañan a la carga. Por el contrario, incluso si el equipo a nivel de proyecto determina las cuestiones morales y cómo deben ser abordados, el espíritu de la acción moral puede no llegar a los niveles más bajos en la implementación del proyecto. Por estas razones, es probable que los temas no materiales sean dejados atrás, mientras que la tarea material sea cumplida en el afán por ser el primero en el mercado.

El comportamiento moral es, quizás, fácil hablar, pero difícil de poner en práctica. La respuesta a la pregunta “¿Hice lo correcto?” Puede que no sea inequívoca. Por otra parte, lo que yo podría considerar como lo fundamentalmente correcto de hacer, puede que no sea reflejado exactamente (por un acto intencional o no) en la acción siguiente. Existen, de hecho, varios factores en el trabajo que producen la diferencia entre un bien moral que hay que hacer y lo que finalmente se hace. En esta columna, voy a discutir algunas de las razones de esta brecha. Si bien esto no podría ser un examen exhaustivo sobre el desafío de ser bueno, un ejercicio puente entre “el deber” y “el ser” ilustrará lo que necesitamos para ver el futuro.

La cuestión moral

Para cualquier proyecto (o caso) que enfrentemos en el momento, la formulación de una cuestión moral puede no ser una tarea fácil. Si una situación se ha estado gestando desde hace algún tiempo, es probable que el tomador de decisiones haya

Vasant Raval, DBA, CISA, ACMAEs un profesor de contabilidad en la Universidad de Creighton (Omaha, Nebraska, ESTADOS UNIDOS). Es co-autor de dos libros sobre los sistemas de información y seguridad, sus áreas de enseñanza e intereses de investigación incluyen la seguridad de la información y la gestión empresarial. Las opiniones expresadas en esta columna son personales y no de la Universidad de Creighton. Él puede ser contactado en [email protected]


El desafío de ser “bueno”


problemas humanos, uno podría haber pensado sobre los nuevos modelos como aislados desde, o fuera del alcance de los problemas morales que preocupan a los colaboradores (conductores, anfitriones). Pero dado que la responsabilidad por aquellos a quienes encomiendan servicios presumiblemente descansa en la empresa propietaria del modelo de negocio, algún grado de análisis de las actuales prácticas en el entorno tradicional era garantizado. Una debilidad aquí ha impactado las reputaciones de Uber y Airbnb.

Dado que no existen respuestas infalibles para el desarrollo de cuñas entre progreso sobre los lados materiales y morales, ayudaría tener medidas establecidas para un comportamiento responsable. Por ejemplo, un proceso integral donde preguntas morales sean realizadas, direccionadas y documentadas en conjunto con preguntas materiales, esto ayudaría a reconocer brechas, si existen, y a direccionarlas de manera oportuna.

¿Quién es el responsable?

Una buena interrogante moral debe claramente articular el problema y el estado de para quien es el problema. En una pregunta general sobre la aceptabilidad moral de un particular curso de acción o tecnológico, no identificamos necesariamente para quien es el problema6. El lugar de algunos problemas puede ser un individuo o una familia; para otros, puede ser una organización; y para otros incluso, puede ser la sociedad o las agencia del gobierno. A menudo, un eslabón débil al ejercer la responsabilidad recae sobre el responsable7. Por

En estos días, las batallas legales entre Uber y Airbnb por un lado y los gobiernos por otro, han escalado en diversas materias. Un argumento planteado por los reclamantes (gobiernos) es que los nuevos modelos introducidos por Uber y Airbnb no son compatibles con las normas existentes. Por ejemplo, Bloomberg News informó de que las reglas del Servicio de Impuestos Internos (IRS) de EEUU no son claras para la presentación de informes de ganancias mediante plataformas on-demand. Como resultado, Bloomberg informa, las empresas no retiene los impuestos sobre los ingresos que ellas pagan a los proveedores de servicios.2 ¿Podrían Airbnb, Etsy y Lyft haber visualizado el problema en el ecosistema en que se estaban juntando? La respuesta, por supuesto, es que no sabemos. Es probable, sin embargo, que un cierto grado de intercambio de ideas podría haber disparado preguntas, si no respuestas, sobre el potencial de la falta de retención de impuestos para los contratistas independientes. Tal reflexión podría haber apuntado a la pregunta de cuales las reglas existentes de la IRS son ambiguas y para cuáles la compañía necesita buscar mayor claridad desde la agencia. A la luz de las innovaciones de los habilitadores tecnológicos, preguntas sin precedentes han surgido; como resultado, la esperanza es que la preocupación de las organizaciones sea proactiva en la búsqueda de respuestas. Por ejemplo, el Instituto Americano de Contadores Públicos Certificados (AICPA) envió a la IRS una carta solicitando clarificación sobre la situación de los impuestos de temas relacionados con monedas virtuales (eCurrency3), incluyendo reglas para las donaciones en monedas digitales.

Un par de observaciones emergen desde el conflicto entre las nuevas plataformas emergentes tales como Uber y los reguladores. Primero, si la regulación es un indicador de la necesidad por mantener verdad y armonía en un sistema4, 5, entonces la presencia de regulaciones en el actual ecosistema podría entregar algún entendimiento del legalmente mínimo mejor comportamiento. Después de filtrar que es irrelevante para el nuevo ecosistema, uno podría derivar una línea base de entendimiento de porque estas reglas actualmente existen y como ellas podrían impactar en la regulación futura de la nueva industria. Segundo, ambas modelos Uber y Airbnb dejan el componente de la sensibilidad humana (conductores, anfitriones) ampliamente fuera de sus propios perímetros. Dado que las cuestiones morales son inherentes a los

Informaciónética

Ser ‘bueno’ tiene un aura de positividad por las razones correctas…Pero la acción moral exige costos de todo tipo.


proporcionar información valiosa acerca de los valores informales11, una poderosa fuerza en la conformación de la cultura de la empresa. Es responsabilidad del líder el establecer el tono en la cima de la organización. Sin embargo, también es necesario para la organización el evaluar continuamente la calidad del clima. A menos que algunos signos vitales sean monitoreados regularmente, será difícil buscar comodidad en el tratamiento de las cuestiones morales, como y cuando estas se presenten.

Costo de la moralidad

Ser “bueno” tiene un aura de positividad por las razones correctas. Se hace la vida útil y nos permite conservar nuestra paz interior. Se propaga la calma en nuestra mente constantemente agitada y nos hace felices. Pero la acción moral exige costos de todo tipo (es decir, dinero, energía, pérdida de oportunidades). Por ejemplo, un estudiante puede obtener una baja puntuación en una prueba por no recurrir a la trampa. Sin embargo, para el progreso académico del estudiante, sus calificaciones podrían ser demasiado importante como para sacrificarlas. Actuar con honestidad podría costar la admisión a un programa de postgrado de prestigio.

Sea usted es un gerente, un estudiante, un denunciante, un líder o un auditor, no es así de fácil hacer caso omiso de las posibles consecuencias de sus acciones voluntarias. El miedo al castigo, la amenaza de la pérdida del trabajo, otras amenazas a la persona o su familia, y la turbulencia esperada en la vida de uno, éstos están en juego al considerar una acción audaz. Sumando y ordenando todo contra de lo que uno podría obtener de esa acción a menudo deja a las personas poco dispuestas a “mover el bote”. La observación pasiva de un hecho ilícito desde un costado es inmoral, pero ¿cuántos saltas y combaten contra el actor de ello? La “inmoralidad de silencio”12 impregna a la sociedad más allá de una medida que uno puede imaginar. Por ejemplo, si nadie cuestiona irregularidades organizacionales, tales como una invasión de la privacidad, la práctica de violar el derecho de los demás a la privacidad podría convertirse en la norma.

El anonimato ha demostrado ser una medida de protección para alentar a la gente a hablar sobre hechos ilícitos. Si se utiliza el anonimato para preservar las libertades personales, proteger los secretos comerciales o mejorar la calidad de las respuestas, necesitamos sistemas diseñados para asegurar la des-asignación13. La tecnología puede proporcionar soluciones, como los sistemas de denuncia de irregularidades, que ayudan a preservar la privacidad de los informantes.

ejemplo, al proteger nuestra privacidad, tenemos que seguir ciertos pasos. De hecho, todas las seis condiciones asociadas con la privacidad (aviso, elección, uso, seguridad, corrección y aprobación) incluyen la frase “el individuo tiene el derecho a”; sin embargo, por varias razones, la gente prefiere hacer caso omiso de lo que tiene que hacer. El modo de pensar que domina la mayoría también determina el estado general de la integridad en el ecosistema. Una de las razones que la gente piensa de una manera y se comportan de manera diferente por razones éticas se llama “conciencia restringida”.

El concepto puede explicarse como “la tendencia común de excluir información relevante de nuestras decisiones mediante la colocación de límites arbitrarios en torno a nuestra definición de un problema, lo que resulta en una falla sistémica para ver información importante”8. Además, se afirma que las personas también sufren de “condición ética limitada” o “restricciones sistemáticas sobre nuestra moralidad que favorecen nuestro propio interés”9. Como resultado, surgen deficiencias éticas, las cuales se agravan a nivel de organización. De hecho, las diferencias o brechas en la organización son más que la suma de las diferencias de los distintos miembros debido al fenómeno de pensamiento de grupo, que arrastra al grupo hacia la unanimidad e inhibe de diálogo abierto sobre cuestiones éticamente difíciles10.

Puesto que los individuos y sus familias son responsables de ser “buenos” en sus vidas privadas, organizaciones (con y sin fines de lucro, así como el gobierno) son responsables de un gobierno responsable. En última instancia, que tan bien se abordan las cuestiones no materiales en las organizaciones depende en gran medida del clima de la organización. Si el clima esté incitando un comportamiento adecuado, lo más probable es que se hagan serios intentos proactivos para identificar y tratar las cuestiones morales que conllevan las cuestiones materiales.

Los investigadores advierten que debemos prestar atención a lo que no se está hablando dentro de una organización, ya que puede

La ‘inmoralidad de silencio’ impregna a la sociedad más allá de una medida que uno puede imaginar.


La moralidad como una cualidad humana

Por definición, la moral se refiere a los seres humanos, no máquinas. Todos los sistemas son esencialmente una asignación de tareas entre personas y máquinas; algunos tienen incluso un papel mucho más importante para los seres humanos que las máquinas, otros están dominados por las máquinas. Entre los papeles que siguen siendo de los seres humanos está el papel del agente moral. En este papel, un profesional de TI no sólo se esfuerza por comportarse de manera ética, sino que también diseña las tareas automatizadas (la parte que corresponde a las máquinas) de una manera moralmente responsable. Por lo tanto, el entendimiento de lo que es moral en las máquinas es la responsabilidad de los seres humanos al hacerse cargo de la asignación de tareas hombre/máquina. Para ello, la consideración de los asuntos no materiales por adelantado es fundamental en la consolidación de un comportamiento responsable predecible en los sistemas automatizados.

Curiosamente, el desarrollo en el campo de la inteligencia artificial (IA) ha reducido el papel de los seres humanos en una asociación hombre-máquina en sistemas automatizados. El disminuido papel del ser humano en los nuevos sistemas puede parecer pequeña, pero no es insignificante; es la parte del sistema que aún necesita del juicio humano y opciones impulsadas por valores. Las decisiones que el diseñador humano hace en la creación del sistema automatizado tienden a ser implantadas de forma permanente en la vida de la máquina. Las máquinas pueden aprender a cambiar su comportamiento, pero sólo si el aprendizaje automático ha sido programado adecuadamente. El elemento humano en el impacto moral en general no puede ser subestimado o ignorado. Desde los automóviles automatizados hasta los aviones no tripulados (drones), toda una serie de normas de comportamiento moral está programado en las máquinas.

La intervención moderada de la tecnología, si es percibida por el informante prospectivo como segura, puede resultar en la detección y tratamiento de la acción inmoral de forma oportuna y orgánica. Debemos tener en cuenta, sin embargo, que lo que funciona para proteger el anonimato de manera correcta también puede crear problemas en otros conceptos. Por ejemplo, el anonimato en las eCurrency puede engendrar actos ilegales de lavado de dinero. Incluso en ecosistemas que otorgan anonimato, siempre existe el riesgo de que alguien rompa el secretismo. El caso de los Panamá Papers14 es sólo un ejemplo de cómo la tecnología puede revelar los generalmente invisibles malhechores y a sus socios.

Convicción en la causa

Los juicios éticos se basan en marcos formales e informales. Un marco de intuicionismo ético (intuitivist) ayuda a uno a identificar las acciones morales aceptables intuitivamente. Un marco de valor-dominante identifica las acciones morales apropiadas mediante la generación de una convicción sobre el valor más dominante entre los valores que compiten en un dilema moral15. Independientemente del marco utilizado, la percepción de los diversos valores es un disparador importante para la acción moral. Sin una fuerte identificación con un valor, uno podría dejar de ver la importancia de una acción que elija para poner en práctica.

Una serie de ejemplos pueden ser observados aquí: en la política (Martin Luther King Jr. y Rosa Parks), sociología (Candace Lightener y Madres Contra Conductores Ebrios [Mothers Against Drunk Driving]), negocios (Blake Mycoskie de Tom’s Shoes), y tecnología (Julian Assange y WikiLeaks, el caso de Edward Snowden relacionado con la vigilancia y la Agencia de Seguridad Nacional de Estados Unidos [NSA]). Independientemente de si usted cree en su causa, cada uno tenía una fuerte convicción de que algo estaba mal y la necesidad de corregir la situación. Es por ello que tomaron el riesgo y, tal vez en un gran esfuerzo, entregaron su opinión a los demás para hacer que algo suceda. Si bien la convicción en la causa es fundamentalmente importante para la acción moral, es también necesario que la persona tenga la valentía de hacer lo correcto. Reunir la valentía no es una tarea fácil, debido a que las consecuencias mundanas de desafiar las irregularidades pueden ser devastadoras para la vida de uno. Por consiguiente, la valentía se menciona a menudo en paralelo con la causa y la primera (cuando se actúa) a menudo implica un comportamiento valiente.

Desde los automóviles automatizados hasta los aviones no tripulados (drones), toda una serie de normas de comportamiento moral está programado en las máquinas.


4 Kohlberg’s moral stage development work includes compliance with the laws and regulations as one of the stages. See Kohlberg, L.; “Moral Stages and Moralization: The Cognitive Development Approach,” December 1975.

5 Kohlberg, L.; The Psychology of Moral Development: The Nature and Validity of Moral Stages, Harper and Row, USA, 1984

6 Van de Poyel, I.; L. Royakkers; “The Ethical Cycle,” Journal of Business Ethics, vol. 71, February 2007, p. 1-13

7 Mims, C.; “In Securing Our Data, the Weak Link Is Us,” The Wall Street Journal, 19 January 2016

8 Bazerman, M.; A. Tenbrunsel, “Blind Spots: The Roots of Unethical Behavior at Work,” Rotman Magazine, Spring 2011, p. 53-57

9 Ibid. 10 Ibid. 11 Ibid. 12 Das, G.; The Difficulty of Being Good: On the

Subtle Art of Dharma, Oxford University Press, United Kingdom, 2010, p. 59

13 Poore, R. S.; “Anonymity, Privacy, and Trust,” Information Systems Security, vol. 8, iss. 3, 21 December 2006, p. 16-20

14 Stack, L. et al.; “The Panama Papers: Here’s What We Know,” The New York Times, 4 April 2006, www.nytimes.com/2016/04/05/world/panama-papers-explainer.html?_r=0

15 Op cit, Van de Poyel and Royakkers, p. 6

Cualquier error de juicio en la etapa de diseño presagia mayor riesgo de compromisos morales. Las cuestiones de comportamiento ético son fundamentalmente cuestiones humanas. Ya sea fuera o dentro del perímetro legal de una empresa, colaboradores humanos seguirán participando activamente en el ecosistema. En el contexto de automóvil para contrato, tal vez esta pregunta vaya a desaparecer o a cambiar drásticamente cuando Uber despliegue vehículos autónomos. Y para los drones, las reglas dominan su comportamiento; hasta que estén diseñados para aprender, la responsabilidad por la base moral de los drones corresponde a los tecnólogos. Con el tiempo, cuando las máquinas se vuelvan casi autónomas, la ética de la máquina se podrá extender a lo que los robots pueden aprender.. Notas Finales

1 Martin, K. E.; R. E. Freeman; “The Separation of Technology and Ethics in Business Ethics,” Journal of Business Ethics, vol. 53, 2004, p. 353-364

2 Bloomberg News, “Billions From Airbnb and Others Go Unreported,” as reported in the Omaha World-Herald, 24 May 2016

3 Saunders, L.; “The Latest Stumbling Block for Bitcoin: How to Tax It,” The Wall Street Journal, 25 June 2016

Pinpoint your next job opportunitywith ISACA’s CareerLaserISACA’s CareerLaser newsletter offers monthly updates on the latest jobs, top-of-mind industry news,

events and employment trends to help you navigate a successful career the information systems industry.

Let CareerLaser become your top resource for quality jobs matched specifically to your talents in audit,

assurance, security, governance, risk management and more.

Subscribe today by visiting www.isaca.org/careerlaser

Visit the ISACA Career Centre at www.isaca.org/careercentre to find additional career tools, including access to top job candidates.

Atlanta

Miami

Chicago

Las Vegas

2016 ISACA® TRAINING WEEK COURSES

READY YOUR SKILLS TODAY FOR TOMORROW’S CHALLENGES AND OPPORTUNITIES.Gain new expertise or refresh your skills to align with current industry standards, protocols and best practices. ISACA® Training Week offers invaluable tools, proven techniques and state-of-the-art thinking— something for professionals at every level—in information systems audit, security, cybersecurity, privacy, governance, and risk.

EARN UP TO 32 CPEs for each 4-day course.

REGISTER EARLY: US $200 Early Bird discount and group rates available!

REGISTER TODAY AT: www.isaca.org/train16-jv5

CYBERSECURITY FUNDAMENTALS Las Vegas, Nevada | 5 – 8 December 2016

Learn to demonstrate an understanding of the principles that frame and define cyber security and the integral role of cyber security professionals in protecting enterprise data and infrastructure.

HEALTHCARE INFORMATION TECHNOLOGY Chicago, Illinois | 10 – 13 October 2016

Obtain a deeper understanding of healthcare’s regulatory issues, trends and reforms. Prepare yourself to navigate the complexities of the fast-growing industry in an era of significant reform.

INFORMATION SECURITY ESSENTIALS FOR IT AUDITORSMiami, Florida | 12 – 15 December 2016

Keep on top of audit security essentials. Learn how to assess security risks and practices and use security frameworks and models to mitigate those risks.

TAKING THE NEXT STEP— ADVANCING YOUR IT AUDIT SKILLS Atlanta, Georgia | 28 November – 1 December 2016

Learn how to scope, plan and manage IT audits, and identify and analyze risks associated with a broad range of infrastructure platforms and technologies.

TRAIN AT THE HIGHEST STANDARDS.KEEP CURRENT ON BEST PRACTICES.

muestran que los empleados usualmente quieren culpar por las deficiencias de ciberseguridad en los hombros de los directores y ejecutivos. Veintinueve por ciento de los trabajadores encuestados y los tomadores de decisiones de TI en el Reino Unido creen que el director ejecutivo (CEO) debiese ser responsable por una violación de datos significativa mientras que el 38 por ciento de los trabajadores creen que los directores deben ser responsables2.

A la inversa, estos directores y ejecutivos están buscando a los de TI o seguridad de la información y preguntándoles que están haciendo para mitigar el riesgo planteado por el “elemento humano”.Si esta examinación de prácticas actuales es llamada una auditoria o algo más, el empuje está en una forma más rigurosa que representa los esfuerzos de la organización para abordar el riesgo de seguridad más fastidioso: empleados. Directores y ejecutivos quieren saber exactamente que se está haciendo para abordar los temas y si estas acciones están obteniendo los resultados deseados. Ellos quieren ver que existe un programa de concientización verdadero, ej., un programa que se dirige a cambios significativos en el conocimiento y comportamiento de los empleados.

Sin embargo, aquellos a quien se les ha pedido efectuar tal auditoria encuentran poca guía sobre el tema. Las fuentes normales que guían un programa de evaluación—varios documentos proporcionados por el Instituto Nacional de Normas y Tecnología de EEUU (NIST), la Organización Internacional para la estandarización (ISO), y Decreto de Seguro de Salud Portabilidad y Responsabilidad de EEUU (HIPAA), entre otros-proporcionan solo una descripción vaga de un programa de concientización normas y requisitos. Afortunadamente, existe una gran cantidad de buenos trabajos que se están efectuando en esta área que pueden ayudar a las organizaciones a evaluar si están en el camino correcto en abordar la amenaza humana. Las mejores prácticas utilizadas en algunas de las empresas globales más conscientes del riesgo destacan algunos atributos básicos que las

El Reporte del 2016 de la Investigación de Violación de Datos (DBIR) noveno reporte anual de Verizon, revelo algunas malas noticias—el vector de amenazas humanas es más peligrosa que nunca. El ultimo DBIR reafirmo el hecho que los empleados continúan jugar un papel mayor en muchas de las violaciones del año pasado. Un 63 por ciento de violaciones confirmadas involucraron contraseñas débiles, por defecto o robadas. Peor, errores misceláneos—empleados enviando informaciones a las personas erradas—corresponde a cerca del 18 por ciento de las violaciones1. A pesar de una gran cantidad de medidas preventivas, los empleados permanecen ser uno de los vectores más caros en un gran número de violaciones de datos e incidentes de seguridad los cuales están aumentando a un ritmo alarmante.

¿Quién tiene la culpa? Es difícil decir porque, aunque los empleados son identificados claramente como una fuente de riesgo para el negocio, directores y ejecutivos también están siendo responsables cada vez más por prácticas de ciberseguridad más riesgosas. De hecho, recientes investigaciones

Tom Pendergast, Ph.D. Es el arquitecto Jefe del Marco de la concientización de adaptación de MediaPro, una visión de cómo analizar, planificar, formar y reforzar la construcción de un programa integral de concientización, con el objetivo de construir una cultura consciente del riesgo. Él es el autor o editor de 26 libros y colección de referencia. Pendergast ha dedicado toda su carrera a los contenidos y plan de estudios de diseños, impreso por primera vez como el fundador de Full Circle editorial, a continuación, en soluciones de aprendizaje con MediaPro.


Como auditar el elemento humano y evaluar el riesgo de seguridad de su organización


Também disponível em portuguêswww.isaca.org/currentissue

artículoartículo


Algunas de las mejores maneras para entender el factor de riesgo humano de una compañía es realizar una encuesta de los empleados pre y post entrenamiento. Esto ayuda a las organizaciones a entender cuanto saben hoy día, para que mejoras apropiadas puedan efectuarse en el futuro. Aun si el presupuesto es apretado, no existe escases de datos gratis de la industria, como es el DBIR citado previamente, para ayudar a una organización entender su riesgo de empleados especifico. Solo cuando los factores de riesgo son entendidos puede una organización asegurar de que funciona para entregar el entrenamiento correcto a los empleados correctos.

Además, los datos de las herramientas de reportes de incidentes de la red, como ser los sistemas de la gestión de eventos de seguridad e información (SIEM) y del software de prevención de pérdida de datos (DLP) que puede que estén en su lugar, ayudaran en entender el predominio del manejo de temas de datos. El concepto de usuario y el análisis de comportamiento de la entidad (UEBA o UBA) está emergiendo rápidamente como una manera de analizar a través de toda la información colectada por SIEM, DLP y otras fuentes, y proporcionar información sobre las tendencias priorizadas a los profesionales de TI monitoreando la RED. Las herramientas UEBA proporcionan un valor real en la identificación de patrones y signos que revelan la presencia de actores malos en el entorno de TI.

Un excitante y emergente uso para el UEBA es amarrarlo directamente a “entrenamiento-justo-a-tiempo” en el punto de la falla. UEBA podría identificar a Jane Dow almacenando un documento de la compañía en un sitio de almacenaje en la nube no autorizado como ser Dropbox, Box o Google Drive, y entregarle un pop-up generado por el sistema que le recuerda de la política de la compañía sobre el almacenamiento de documentos de la compañía en un ecosistema autorizado. Si Jane lo hace nuevamente, el sistema puede proporcionarle un video rápido sobre las razones por la cual es mejor evitar un sistema de almacenaje de la nube no aprobado. Meses después, si Jane comete el mismo error nuevamente, puede que se le inscriba automáticamente en un curso de 15 minutos sobre almacenamiento aprobados en la nube. Este es un ejemplo perfecto de entregar el entrenamiento correcto a la persona correcta en el momento oportuno.

organizaciones debiesen buscar (o crear) mientras buscan efectuar mejoras en el rendimiento del elemento humano.

Aunque estas mejores prácticas toman diferentes formas y diferentes nombres, los mejores programas de concientización efectúan algunas cosas comunes: Evalúan y analizan el rendimiento real del personal dentro de la organización; crean un plan para mejora continua; e introducen una seria de intervenciones educativas (ej., entrenamiento y reforzamiento) enfocado a cambiar el comportamiento y fomentar una cultura consciente del riesgo. Las organizaciones que toman el problema humano seriamente saben que deben examinar el estado actual del conocimiento de los empleados, sus habilidades y actitud sobre seguridad (y privacidad, a menudo entrelazado en los ojos de los empleados). Esto requiere dar un paso atrás para tomar una mirada amplia a la cultura de la organización, evaluar todas maneras potenciales que los empleados están (o no están) entendiendo y respondiendo al riesgo relacionado con la seguridad.


• Aprenda más acerca, discute y colabora en cyberseguridad y gestión del riesgo en el Centro de Conocimiento. www.isaca.org/knowledgecenter

…Aunque los empleados son claramente identificados como la fuente de riesgo para el negocio, directores y ejecutivos también cada vez más se les está haciendo responsables por prácticas de ciberseguridad riesgosas.


es mucha preparación, mucha concientización, pero también sus políticas y procedimientos no están adaptados a sus particulares riesgos3.”Un reporte reciente por la Oficina de Cumplimiento de Inspecciones y Examinaciones (OCIE) de la SEC examino la industria de Valores y recomendó a la industria como un todo “centrarse en cómo la formación se adapta a las funciones específicas del trabajo y cómo el entrenamiento está diseñado para alentar a los empleados responsables y el comportamiento del proveedor”4, prestar más apoyo para la necesidad de entrenamiento que sea más relacionables y útiles.

Mientras que existen muchas herramientas para efectuar análisis, la meta de estas es la misma: lograr una lista de cinco a 10 factores de riesgo centrados en humanos que puedan ser un punto focal de los esfuerzos para mejorar (no existe un numero de oro, pero el programa más efectivo limita el número para enfocar sus esfuerzos). Una vez estos factores de riesgo relacionados con humanos son comprendidos y descritos, el próximo paso es desarrollar un plan para un programa de concientización que aborda estos factores de riesgo. Como todo en la vida, planificar es la clave cuando se trata de desarrollar un programa de concientización exitoso y comprensivo. Como parte de ese plan, las organizaciones debiesen preguntarse si se han establecido para poner en práctica ambos programas de educación formal e informal. Sabiduría convencional dirían que entrenamiento formal, usualmente basado en la Web, es la manera de proceder. Esto se debe mayormente a la facilidad en que los empleados pueden ser hechos responsables de tomar el entrenamiento, pero el programa de educación no puede parar allí si la organización realmente quiere alcanzar a sus empleados y crear ese siempre importante cambio en el comportamiento. Los mejores programas no solo se basan en entrenamiento formal; en vez dependen de una variedad de medidas educacionales para comunicar el conocimiento y comportamiento deseado a los empleados.

Una vez que la organización tiene un plan sólido, necesita efectuar un inventario rápidamente para ver si cuenta con la capacidad para entregar o no un programa y hacer bien en su plan. ¿Por ejemplo, tiene la organización la capacidad de entregar un refuerzo educacional en la forma de juegos, videos y posters? ¿Están los ejecutivos a bordo y están dispuestos a promover mensajes en sus comunicaciones diarias con sus empleados? ¿Están todas las personas idóneas disponibles para apoyar y llevar a cabo el programa? La capacidad de la organización para desplegar exitosamente un programa es crítico para llevar a cabo el plan y esto va determinar si puede o no proceder con una campaña adaptiva “todo incluido” de phishing, entrenamiento, posters, juegos, animaciones y similares en el transcurso del año.

Separado de las herramientas de monitoreo de la red, ataques de simulación de phishing e ingeniería social revelan que acciones riesgosas son más propensas que los empleados tomen al darles la oportunidad. Tales simulaciones pueden emplear una amplia variedad de técnicas inteligentes para capturar contraseñas, obtener acceso a información sensible, u obtener acceso físico a través de tácticas tan simples como un correo electrónico o una llamada telefónica, tailgating, o dejando falsos dispositivos USB en el entorno de trabajo.

Un número de proveedores ofrecen programas de simulación de phishing como parte de un paquete del programa de concientización. Pero los proveedores que se centran demasiado en phishing como el ser un todo, finalizan todo sobre amenazas de ciberseguridad debiesen ser vistos con cierta cautela. Tal acercamiento solo se enfoca en un vector de ataque y no hace el trabajo de ayudar a los empleados a ver la naturaleza multicapa de las amenazas.

Otro paso importante en mejorar el rendimiento y cultura de los empleados es entender el riesgo especifico a la industria de la organización y el entorno de negocio único. Por ejemplo, si una organización tiene un centro de llamados, sus empleados se van enfrentar en factores de riesgo diferentes de los que se pueden encontrar empleados bancarios-solo es parte de la naturaleza de lo que el trabajo conlleva. Entender los factores de riesgo en áreas específicas del negocio ayuda a las organizaciones a entregar entrenamiento que está adaptado a las líneas de trabajo específicas de cada empleado el cual es inherentemente más relacionables y útiles. (El entrenamiento pierde mucha de su efectividad si no es relevante.)

Recientemente la Comisión de EEUU de la Bolsa y Valores (SEC) noto que la ciberseguridad es el mayor riesgo para el sistema financiero de los EEUU, con la Presidente Mary Jo White diciendo, “Lo que encontramos, como una cuestión general por ahora,

Una vez que estos factores de riesgo relacionados a los humanos son entendidos y descritos, el próximo paso es desarrollar un plan para el programa de concientización que aborda los factores de riesgo.


que protege la información confidencial de los empleados es exactamente en su puente de mando.

Otra manera de enfocar la educación en aquellos que la necesitan es de desplegar una manea de evaluar competencias previo a la entrega del entrenamiento. ¿Cómo? En vez de entregar entrenamiento a todos sobre toda una serie de temas—el más caro y la opción que más tiempo consume—individuos pueden ser entrenados en lo que les puede estar faltando, sobre una base de caso por caso. Por ejemplo, Jane Doe ha recibido cinco intentos de phishing simulados durante el año pasado y ha reenviado cada uno de ellos a TI sin darle clic al link, mientras que John Doe ha fallado en tres de esas cinco campañas de phishing. En base a esa información, uno puede concluir que Jane probablemente no requiere entrenamiento sobre phishing pero John definitivamente si lo necesita. Identificando los factores de riesgo al nivel individual ahorra tiempo y dinero, ya que la organización probablemente no requiere entrenar a John y Jane de forma igual. Como dice el refrán “el tiempo es dinero” y cuando los empleados pasan tiempo siendo entrenados en cosas que ellos no necesitan conocer, ellos están potencialmente perdiéndose de las tareas más importantes (¡y llegando a la conclusión que seguridad de la información no les importa!).

Incluso la organización que ha identificado sus factores de riesgo específicos, desarrolló un plan, y se va a poner en práctica la formación formal e informal puede hacer más si se desea, y para evaluar si tiene una cultura de la seguridad. Esto es difícil de medir, pero no es imposible. La recopilación de la información en este nivel exige una evaluación rigurosa del conocimiento de los empleados. Una Encuesta del Diagnóstico de la Cultura de Seguridad ha sido diseñada para identificar y comparar culturas de seguridad en organizaciones y puede encontrarse en Personas-Centradas en Seguridad: Transformando su Cultura de Seguridad Empresarial5.

Alternativamente, las organizaciones pueden comenzar buscando que mensajes los gerentes y ejecutivos están (o no) comunicando relacionado con seguridad. ¿Por otra parte, son los sistemas de refuerzo de la seguridad (por ejemplo, notificación de incidentes, revisiones de seguridad sistémicos) valorados y utilizados? ¿Algunas de las unidades de negocio fuera de la seguridad de la información tratan de participar de manera significativa con los problemas de seguridad? Si la respuesta a cualquiera de estas es “no” o “no se sabe”, la organización puede ser que no ha alcanzado el punto en el cual ha establecido una cultura de seguridad, el cual debiese ser parte de su plan para mejorar su postura de concientización.

En organizaciones más progresivas donde los objetivos son un cambio de mentalidad, mensajes sobre protección de la información forman parte de la cultura diaria. Esto puede incluir posters pegadizos y memorables en las paredes, videos animados presentados en el vestíbulo, Pantallas de TV, o juegos que causan competencia entre las personas y les permite a los empleados mostrar que saben sobre seguridad y privacidad. Este tipo de ejemplos son lo que hacen la diferencia cuando se combina con el entrenamiento más formal, en curso. Un ejemplo usualmente citado es Microsoft porque efectúa un gran trabajo relacionado con esto. Cualquiera que haya caminado por sus muchos campus debiesen estar acostumbrados a ver mensajes de seguridad y privacidad cambiando constantemente. Un auditor o ejecutivo en cualquier compañía debiese ver estos tipos de dispositivos de concientización cuando caminan alrededor, si lo hace, esto es una indicación de una compañía que ha tomado tremendos pasos en proteger la información de la compañía y empoderar a los empleados hacer lo mismo.

Además, un buen programa entrega el entrenamiento que es basado y especifico en roles; empleados en diferentes roles, como ser recursos humanos (HR) y TI, debiesen recibir entrenamientos adaptados a sus especialidades. ¿Porque importa esto? Empleados TI no necesitan saber sobre cómo salvaguardar conversaciones con empleados potenciales, pero si necesitan estar bien versados en prevenir en el acceso y uso de datos no autorizados. Por lo contrario, el personal de HR no necesitan estar tan preocupados por la educación en prácticas de transmisión de datos, al tiempo

Identificando factores de riesgo al nivel individual ahorra tiempo y dinero, ya que la organización probablemente no requiere entrenar a Juan y Juana igualmente.


Cualquier tier o nivel de madurez que una organización es o aspira a ser, el paso para entender y mejorar empieza con dar un paso atrás y examinar las prácticas existentes. Las mejores organizaciones analizan sus factores de riesgo humano utilizando una variedad de diferentes herramientas; desarrollan un plan para cambiar el comportamiento relacionado con esos factores del riesgo; alinean sus recursos para ejecutar en ese plan; y luego entregan educación adaptativa y flexible a las personas adecuadas, cuando y donde lo necesiten. Las amenazas no están disminuyendo y los mejores esfuerzos de los empleados no se está manteniendo. La educación sobre concientización de seguridad de los empleados debe continuar y adaptarse a nuevas y emergentes amenazas. La mejor manera de alcanzar este objetivo es a través de un programa alineado al riesgo robusto y concientización adaptivo.

Notas del autor

El autor desea revelar que Microsoft ha realizado trabajos con MediaPro en el pasado.

Notas Finales

1 Verizon, 2016 Data Breach Investigations Report, www.verizonenterprise.com/verizon-insights-lab/dbir/2016/

2 VMare, “The Cyber Chasm: How the Disconnect Between the C-suite and Security Endangers the Enterprise,” The Economist Intelligence Unit, 2016, www.vmware.com/radius/wp-content/uploads/2015/08/EIU-VMware-Data-Security-Briefing.pdf

3 Lambert, L.; “SEC Says Cyber Security Biggest Risk to Financial System,” Reuters, 18 May 2016, www.reuters.com/article/us-finance-summit-sec-idUSKCN0Y82K4

4 Securities and Exchange Commission, “OCIE’s 2015 Cybersecurity Examination Initiative,” National Exam Program Risk Alert, vol. 4, iss. 8, USA, 15 September 2015, https://www.sec.gov/ocie/announcement/ocie-2015-cybersecurity-examination-initiative.pdf

5 Hayden, L.; People-Centric Security: Transforming Your Enterprise Security Culture, McGraw-Hill, USA, September 2015

6 National Institute of Standards and Technology, Cybersecurity Framework, USA, 2013, www.nist.gov/cyberframework/

Una verdadera organización madura, una que se adhiere a los principios del tier 3 y tier 4 en el Marco de Ciberseguridad NIST (CSF)6, enfoca seguridad de la información como un programa de auto-refuerzo de mejora continua, no simplemente un evento anual, como el modelo de entrenamiento anteriormente requerido. El CSF deja claro que hay niveles de madurez de ciberseguridad y, en forma similar, madurez de la concientización. Estos niveles de madurez se han separado convenientemente en tiers:

• Parcial (tier 1)—La gestión de riesgos es ad hoc con un conocimiento limitado de riesgo y sin la colaboración con los demás.

• Riesgo Informado (tier 2)—Los procesos y programa de la gestión del riesgo están implementados, pero no están integrados a nivel de toda la empresa, colaboración es entendida, pero a la organización le hace falta capacidades formales.

• Repetible (tier 3)—Políticas formales para los procesos y programa de la gestión de riesgo están implementados en toda la empresa, con colaboración externa parcial.

• Adaptado (tier 4)—Procesos y programas de gestión de riesgo están basados en lecciones aprendidas y embebido en la cultura, con colaboración proactiva.

Organizaciones que enfocan el entrenamiento como un evento anual simple es muy probable que se encuentren en tier 1 o tier 2, mientras que organizaciones que continuamente mejoran muy probablemente se encuentren en tier 3 o tier 4.

Una organización verdaderamente madura…se enfoca en seguridad de la información como un programa de auto-refuerzo de mejora continua, no simplemente un evento anual.

artículoartículo


Algunas de esas consecuencias a largo plazo incluyen:

• Continuidad del negocio/interrupciones en la cadena de suministro

• Encontrar y corregir vulnerabilidades

• La responsabilidad forense de los datos perdidos y administración de respaldos

• La restauración de datos

• Gasto de notificación a los afectados

• El pago de un rescate de datos o ciber extorsión

• Protección contra el robo de identidad y monitoreo de crédito

• Volver a emitir tarjetas comprometidas

• Regulatorias y sanciones civiles

• Juicios de accionistas contra la junta y la administraciónt

Syed K. Ishaq, CISA, CRISC, CCISOEs el fundador de ControlPoints, una empresa de seguridad de la información con una estrategia basada en la ejecución. Ishaq tiene más de 15 años de experiencia en auditoria, cumplimiento y cyberseguridad. El puede ser ubicado en [email protected].


Cyber seguros: ¿Generador de valor o costo a cargar?

El rápido avance de la tecnología está impulsando un cambio significativo en muchas industrias. Como resultado, se generan grandes cantidades de datos, que pueden aprovecharse en información para facilitar y dar sentido a un mundo en constante movimiento. Los datos se consideran ahora un generador de riqueza para el siglo 21. En consecuencia, los costos financieros de la pérdida de datos causado por ciber eventos pueden ser sorprendentes. Por ejemplo, la publicación de un ataque altamente costoso orientado a instituciones como el retail o financieras alcanza la astronómica suma de US$ 348 millones1. Otro ataque cibernético costoso fue el ataque a la cadena de hoteles Wyndham, en donde no sólo se perdieron los datos de tarjetas de crédito de más de 619.000 clientes, sino que causó US$ 10,6 millones en pérdidas, lo que sometió a la empresa a una demanda del gobierno de los Estados Unidos por prácticas comerciales engañosas y ser atacado en tres ocasiones2. Otro ejemplo son los ataques que utilizan CryptoWall (precursor del Ramsomware), lo que causó US$ 18 millones en pérdidas en 2014 correspondientes a pagos de rescates para desencriptar datos personales3.

Es posible que el enfoque en la seguridad cibernética no haya sido lo suficientemente incisiva, ya que los cibercriminales continúan elevando la complejidad, con ataques más sofisticados y con el apoyo de la Dark Web, que consiste en sitios web que ocultan su identidad y típicamente se accede por una red cifrada (por ejemplo, Tor) que también oculta la identidad del usuario, lo que permite un mercado negro de comercio electrónico lucrativo de los datos robados de fuentes legítimas. A pesar de que el impacto a corto plazo de un ataque cibernético puede ser abrumador, las consecuencias a largo plazo pueden ser nefastos.

Também disponível em portuguêswww.isaca.org/currentissue


sufrió hackeo4. Aunque las compañías más grandes pueden estar mejor preparados para resistir un Cyberstorm y sus correspondientes secuelas, según Experian, el 60 por ciento de las pequeñas empresas cierran sus puertas dentro de los seis meses después de un ataque5, haciendo de la ciberdelincuencia una igualdad de oportunidades con consecuencias desiguales. Por lo tanto, las organizaciones se beneficiarían de utilizar las estrategias de gestión del riesgo de evasión, la mitigación, la aceptación y transferencia. En otras palabras, la realización de todas las actividades de negocio de forma manual, en lugar de utilizar cualquier tipo de tecnología, puede ayudar a evitar por completo ciber riesgo. Esta estrategia sin embargo, es susceptible de crear una desventaja competitiva en la era moderna, y es poco probable que sea una opción viable para la mayoría de empresas. Securizar el perímetro de la red con servidores de seguridad, IPS, el parchado oportuno de vulnerabilidades y configuraciones son los métodos de línea de base para mitigar o disminuir el ciber riesgo. Teniendo un programa robusto de monitoreo, generando políticas formales para revisión de registros de auditoría de forma poco frecuente debido a otras prioridades, demuestra la aceptación de riesgos, es decir el nivel de riesgo dado su consentimiento de su gestión.

Con las filtraciones de datos, hackeos supuestamente inevitables y su impacto nocivo ostensiblemente ineludible, las empresas están empezando a considerar cyberinsurance (póliza de seguros contra ciber ataques) como un componente de estrategia de transferencia del riesgo. En otras palabras, las organizaciones contractualmente obligan a una aseguradora a aceptar la totalidad o parte de su riesgo en el caso de un ataque cibernético y/o incumplimiento.

Tipos de políticas

Una política tradicional de responsabilidad general sólo cubre daños a la propiedad, por lo que es insuficiente para abordar casos cibernéticos porque los datos son intangibles. Ante estas deficiencias, hay aproximadamente 50 aseguradoras globales que ofrecen ciber protección, 35 de las cuales son operadores de los Estados Unidos6. Ofrecen alguna combinación de los cuatro siguientes componentes (figura 1)7:

1. Errores yomisiones (E&O)—Cubre los reclamos derivados de errores en el cumplimiento del servicio.

• Honorarios de abogado durante las investigaciones y comparendos

• La pérdida de la ventaja competitiva y mercados conquistados

• Daños a la marca

• La pérdida de clientes, beneficios y empleos

La probabilidad de incurrir en uno o más de estos daños y el impacto que tienen sobre una organización, depende de una combinación de factores, pero no están limitados a el:

• Tipo de ataque, por ejemplo, denegación de servicio distribuido (DDoS) vs. ransomware

• Alcance de ataque, por ejemplo, dejar una red fuera de operación por varios días frente a una toma de control de una cuenta en medios sociales sólo unas pocas horas

• La complejidad de ataques a la red, por ejemplo, alto nivel de conexiones con terceros proveedores vs. impacto sólo para telecomunicaciones debido a que se encuentran alojados en una nube segura

• Tiempo de ataque, por ejemplo, durante un ciclo conciliación de datos o negociaciones de compra vs. horas de baja demanda

• Area de negocio afectada, por ejemplo, caída de servicios de misión crítica, prevención caídas de actividades de negocio vs. indisponibilidad de servicios no esenciales

• Capacidad para la organización afectada, por ejemplo, las políticas y los procedimientos de recuperación inexistentes vs. programa de respuesta ante incidentes

Una encuesta en el 2016 encontró que un 66pro ciento en USA, el 75 por ciento en el Reino Unido y el 57 pro ciento de los alemanes eran propensos a dejar de hacer negocios con una organización que

Las empresas están empezando a considerar cyberinsurance como un componente de estrategia de transferencia del riesgo.

Figura 1—Policy Types

Source: S. Ishaq. Reprinted with permission.

Errores y omisiones Red de seguridad

Tercera parte Tercera parte Tercera parte Tercera partePrimera parte Primera parte


(por ejemplo, un ordenador portátil perdido, el envío de información sensible a una dirección equivocada, una fotocopiadora con un disco duro que contiene los registros de clientes) o la colección de información de forma ilícita.

Lo que es cierto acerca de la seguridad de la red y coberturas de privacidad, es que tanto los costos de primera parte y obligaciones de terceros están cubiertos. La cobertura de primera parte se aplica a los costos directos para responder a una falla en la seguridad o por violación de la privacidad. En el caso de un tercero, la cobertura se aplica cuando se demanda a una empresa.

Por otro lado, un ciber seguro no cubre los errores o problemas que ya estaban en conocimiento previo, litigios pendientes, daños a la reputación, la pérdida de ingresos futuros, costo para mejorar los sistemas de tecnología internos, pérdida del valor de la propiedad intelectual, lesiones corporales o daños a la propiedad, y los efectos de los ataques cibernéticos maliciosos. Sin embargo, algunas compañías de seguros, han comenzado a hacer excepciones a la regla, en particular para las dos últimas limitaciones. Por ejemplo, aunque Verizon reportó que entre el 2012 y 20138 se ha triplicado las naciones y estados que patrocinaban estas actividades. Este tipo de ataques deja al descubierto la dificultad en la atribución de perseguir responsabilidades en un ataque nación/estado.

2. Responsabilidad de multimedia—Responsabilidad de multimedia cubre ante escenarios de defacement o modificación de sitios web, contenido multimedia, los derechos de propiedad intelectual, la infracción de los derechos de autor/marcas registradas, calumnias e injurias. La cobertura también puede extenderse al contenido fuera de línea.

3. Seguridad en la red y responsabilidad de extorsión —La responsabilidad de seguridad en la red cubre los costos asociados a la transmisión de virus, pérdida de secretos comerciales o solicitudes de patentes y las violaciones de datos. Eso incluye el costo de la restauración de datos, notificación voluntaria, relaciones públicas, gestión de riesgos, interrupción del negocio, y la gestión de crisis. De la misma manera, la responsabilidad de extorsión cubre los daños efectuados a partir de la extorsión, como ransomware o denegación de servicio distribuido (DDoS) que exige pago para detener el ataque.

4. Protección de la privacidad —Incluye la divulgación indebida de datos personales identificables (PII), la salud y la información confidencial. Incluye los costos de investigación, notificación, monitoreo de crédito, las tasas reglamentarias (por ejemplo, Federal de EEUU Trade Commission [FTC] y fiscal general del estado) y asociados y honorarios legales. La privacidad también puede incluir una pérdida de registros físicos debido a un tratamiento inapropiado de archivos, errores humanos


Cottage Health System es un proveedor del área de la salud, que en el 2013 se le negó el cobro de seguro, porque no pudo volver a evaluar continuamente su exposición, la privacidad, amenazas, y prácticas de seguimiento mínimo requerido tales como: la encriptación de los registros médicos en un sistema totalmente accesible a cualquier persona en la Internet10.

Ubiquiti Networks Inc. Cayó en una popular estafa del CEO en el 2015. Los ciber delincuentes suplantaron la cuenta de correo electrónico del CEO (Gerente), luego enviaron instrucciones a un empleado de una empresa filial en Hong Kong para transferir US$ 39 millones para cuentas en el extranjero que eran controladas por los piratas informáticos. Puesto que el pago fue “voluntario” a través de un empleado, “la empresa no puede obtener cualquiera de las coberturas del seguro”, explicó la compañía en un comunicado11.

Medios BTC tenía el correo electrónico de su CEO comprometido, pero la violación incluye una componente de ingeniería social (spearphishing). A través de la cuenta comprometida del CEO se envió un correo electrónico para una posible adquisición. El director financiero de destino (CFO) con instrucciones para revisar las modificaciones, abrió el archivo adjunto para revisar la propuesta, lo que provocó que las credenciales del CFO también se hicieran conocidas por piratas informáticos. El director financiero reporta a su CEO, que la transacción ya estaba realizada, lo que significó la transferencia de 5.000 bitcoins por valor de US$ 1,8 millones a una cuenta controlada por un usuario remoto. Dado que la fuente de comunicación del ilícito fue a través de correos de BTC medios, el requerimiento a la aseguradora no acogió el pago de su reclamo, porque la política cubría pérdidas sólo de fraude directos12. La aseguradora Define “directo” a decir sin ningún interviniente o factores de desviación.

Desafíos

Los estudios de casos antes mencionados plantean la pregunta: ¿Cómo hace uno para evaluar la cantidad de políticas y seleccionar la cobertura adecuada que asegura el reembolso oportuno y adecuado después de un ataque? Aunque las empresas son capaces de discutir sus necesidades ciberinsurance (o seguro contra ataques) con las compañías aseguradoras, hay cuestiones importantes de ambas partes que se deben superar por separado. Para empezar, los aseguradores a través de un proceso de evaluación rudimentaria, pueden aplicar cuestionarios genéricos que examinen el nivel aplicación de ciberseguridad, la gestión de riesgos de una empresa, lo que determina la estrategia para establecer las primas

Como amenazas, los corredores mantienen en evaluación la ciber responsabilidad, ya que las aseguradoras necesitan actualizar continuamente las políticas de exclusión.

La letra chica

Aunque hay una gran variedad de políticas disponibles, cada una de ellas está diseñada de manera diferente por las aseguradoras. Sin el debido cuidado, el asegurado puede recibir una política que excluye a la mayoría de las amenazas del mundo real, lugares límites irracionales lo que hace que cubra menos escenarios probables. En particular, una simple notificación fuera de plazo a la compañía de seguros, puede ser una razón común para negar la cobertura. Por ejemplo, una política puede indicar que una violación de seguridad deba ser reportado antes o dentro de los 60 días de vencimiento de la póliza. Sin embargo, en el 2015 un estudio del instituto Ponemon encontró que los ataques cibernéticos no son detectados antes de ocho meses9 en promedio, tiempo que es más que suficiente para que se realicen borrado de datos de auditoria, con lo que se impide el análisis forense y acabar con la evidencia legal. Como consecuencia de lo anterior, una compañía que está consciente de que ha sido violada o que ha sido notificada por un tercero, habrá perdido la fecha para presentar un reclamo.

De la misma manera, algunas políticas pueden excluir actualizaciones y mejoras. El pago de objetivos de recuperación que no incluyen la restauración del sistema con los datos más actuales. Esto hace que el sistema quedará nuevamente expuesto a ataques similares dejando el sistema en la misma condición de vulnerabilidad. Los siguientes de casos se han destacados por la naturaleza compleja de los ataques cibernéticos y su impacto en empresas que se nego el reembolso de seguros.

A medida que las amenazas siguen evolucionando, corredores y compañías de seguros necesitan políticas de exclusión a medida.


• Aprenda más acerca, discute y colabora sobre cyberseguridad en el Centro de Conocimiento. www.isaca.org/topic-cybersecurity


los medios sociales y la Internet de las cosas (IoT) no se deben pasar por alto. Por ejemplo, puede ser difícil asociar de manera concluyente un caso de robo de identidad a un único vector de ataque, debido a que la violación podría ocurrir a partir de un teléfono perdido, o ingresando a un sitio web infectado, los datos robados en tránsito en tiempo real o un dispositivo conectado a una red pública de Wifi. Las aseguradoras deben superar esta amplia brecha de conocimiento, ya que debe tratar de averiguar el tipo, la frecuencia y gravedad de las ciber amenazas que enfrenta una organización.

Los primeros días de esta industria presenta desafíos adicionales dignos de considerar. Por ejemplo, la presión del gobierno para informar los detalles de violaciones sin una garantía de inmunidad, desincentiva las empresas a compartir datos de análisis ataques. De la misma manera, la percepción negativa que rodea al mercado inhibe a las compañías a hablar de sus incidentes cibernéticos a menos que sea absolutamente necesario.

Esta paradoja restringe el flujo de datos y tendencias históricas lanzados al mercado, lo que las compañías de seguros podrían aprovechar para para realizar comparaciones dentro del espectro de industrias. Desde un punto de vista jurídico, el término cyberinsurance (o seguro cibernético) todavía relativamente nueva en los contratos y no está bien litigado. Por esa razón, la falta de elementos robustos obliga a los tribunales a ser reacios a escuchar cybercasos, lo que conduce a disputas dirigida principalmente a través de arbitraje.

Retorno de la inversión

TEl mercado de cyberinsurance es relativamente nuevo, impredecible, y que carece de datos de tendencias y de amplia cobertura. Técnicas de análisis complejas pueden dar lugar a un contrato difuso o con un leguaje complicado, lo que despierta inquietud respecto valor real de cyberinsurance. El cyberinsurance debe demostrar tangiblemente que

de seguros. A pesar de esto, no hay ninguna línea de base estándar entre compañías de seguros, lo que hace que puedan aplicarse herramientas menos maduras, lo que por consecuencia pueda asumir mayor riesgo de exposición.

Para los clientes potenciales de seguros, la interpretación de las preguntas puede variar significativamente, especialmente si los recursos técnicos no están involucrados en el proceso de respuesta interna de la empresa. Dado que las medidas eficaces requieren varias capas de seguridad, si se pasan por alto una o no se entiende con claridad, puede dar lugar a altas primas y/o mayores políticas de restricciones. Por ejemplo, un programa de cumplimiento fuerte no necesariamente significa que es un programa efectivo de seguridad de la información, y vice versa. Por otra parte, la adopción de cualquier programa no necesariamente corresponde a una reducción del riesgo. Con la seguridad cibernética dinámicamente en evolución, si la administración, abogados o corredores carecen de conocimiento para evaluar las preguntas y garantías de que disponen, se pueden pasar por alto una oportunidad para negociar la política más favorable para maximizar la responsabilidad de protección. Por otra parte, los seguros que detallan controles que eventualmente no son examinados por el asegurado hasta después de que se produce un incidente. De ahora en adelante, si se comprueba que la información presentada por el negocio exagera los controles que realmente se aplican en terreno, puede hacer que el conjunto de la política sea inútil después de un incidente.

Siguiendo la tendencia, compañías de seguros, corredores y aseguradores carecen del conocimiento para evaluar este tipo de riesgos o protecciones de orden tecnológico. Se requiere un conocimiento especializado, pero la seguridad de TI necesita un enfoque centrado en la experiencia, porque el impacto de la cibernética trasciende mucho más allá del Departamento de TI. La mejor práctica en seguridad cibernética continúa evolucionando, lo que refuerza la idea de que las soluciones que funcionan bien en la actualidad, podrían convertirse obsoletas el día de mañana. Una política de seguridad en una empresa de constante evolución, también aumenta el panorama de las amenazas que aumentan la complejidad de determinar el alcance y el costo adecuado de cobertura. La naturaleza interconectada de los medios informáticos más las redes con las que una sola empresa interactúa estará sujeta a riesgo. Conseguir una imagen clara del riesgo material, también debe ser evaluado por una tercera parte, por lo que no es tarea fácil para una compañía de seguros. Y los riesgos que representan los aumentos en la adopción de criterios de valoración,

Una política de seguridad en una empresa de constante evolución, también aumenta el panorama de las amenazas que aumentan la complejidad de determinar el alcance y el costo adecuado de cobertura.


o anulación de cobertura. Por lo tanto, el simple proceso de aplicación del cyberinsurance puede alentar a las empresas para identificar las mejores prácticas y herramientas, y propicie la comunicación entre las partes interesadas, como el área legal, áreas de TI, los equipos de finanzas y gestión de riesgos. Entre los beneficios residuales pueden incluir más de una posibilidad de repeler un adversario y una menor prima, lo que ha comenzado a fomentar que las organizaciones consideren sus defensas más allá del mínimo. En una muestra de 33 empresas vinculadas a la salud, la educación, el comercio minorista e industrias de servicios financieros, han conseguido en promedio un 1,2 por ciento de ingresos15. Las primas para el total de las empresas de salud cuestan, en promedio un 2,8 por ciento de los ingresos totales, en gran parte debido al mayor riesgo y el aumento de las infracciones que implican datos de paciente. En general, los encargados de seguridad de información general en jefe (CISO) será capaz de demostrar un beneficio medible con sus iniciativas de seguridad cibernética, si el ahorro obtenido a partir de incidentes disminuyó más los reembolsos por cyberinsurance pueden ser mucho mayores que el coste de las garantías más las contramedidas.

A fin de cuentas, ya que esta industria naciente continúa madurando, queda por ver si cyberinsurance puede demostrar suficiente valor para justificar la adopción generalizada como componente necesaria de una estrategia global de la ciberdefensa.

Notas Finales

1 Chiarodo, J.; P., Beshara; “What Cyber Insurance Can Do for Contractors,” FCW, 7 July 2015, https://fcw.com/articles/2015/ 06/30/comment_chiarodo_beshara.aspx

2 Northrop, S.; “Is Your Business Ready for FTC Oversight of Data Security?,” IAPP, 21 September 2015, https://iapp.org/news/a/is-your-business-ready-for-ftc-oversight-of-data-security

3 Federal Bureau of Investigation, “Criminals Continue to Defraud and Extort Funds From Victims Using CryptoWall Ransomware Schemes,” USA, www.ic3.gov, 23 June 2015, www.ic3.gov/media/2015/150623.aspx

4 Mann, B.; “Centrify Consumer Trust Survey: The Corporate Cost of Compromised Credentials,” Centrify, 8 June 2016, http://blog.centrify.com/corporate-cost-of-compromised-credentials/

aumenta la seguridad, reduciendo la responsabilidad, ¿y es una fuente fiable de alivio durante y después de un ataque? El sentimiento del mercado es tal vez mejor capturado en una encuesta de KPMG en el 2015, la cual encontró que 74 por ciento de las empresas manifestaron no tener ningún tipo de seguro de ciber responsabilidad. De los que contestaron, sólo el 48 por ciento cree que su cobertura cubriría el costo real de la violación13. Y en un informe preparado por Reuters, para algunas empresas hackeadas, sus primas triplican el tiempo de renovación14. Sin embargo, accionistas esperan que el directorio y la gerencia cumplan con los requisitos de beneficiario de un seguro para proteger los intereses de la empresa. Adicionalmente, no sólo son las regulaciones que han comenzado a requerir cyberinsurance, las fusiones y las transacciones de adquisiciones también consideran cada vez más el cyberinsurance como medio para limitar la responsabilidad

En términos simples, una violación puede ocurrir en la infraestructura y la información; el primero es inevitable, pero el último es prevenible a través de estrategias eficaces que no requieren necesariamente compras de tecnología costosa. Como era de esperar, empresas y juntas se ven obligadas a gastar dinero cuando se ha producido una violación, o cuando están frente a una demanda civil después de un incidente, pero en realidad, medidas proactivas pueden ayudar a reducir la carga general. Por ejemplo, un fuerte programa de conciencia de seguridad, un plan de continuidad de negocio eficaz y un plan de respuesta a incidentes de manera significativa, pueden fortalecer la preparación de una empresa y reacción a un ataque y ayudar a evitar un incumplimiento.

Cyberinsurers (o ciber asegurados) pueden requerir la implementación de las medidas básicas de seguridad cibernética por evitar la denegación

…el simple proceso de aplicación del cyberinsurance puede alentar a las empresas para identificar las mejores prácticas y herramientas, y propicie la comunicación entre las partes interesadas.


11 Hacker, R.; “Fraudsters Duped This Company Into Handing Over $40 Million,” Fortune, 10 August 2015, http://fortune.com/2015/08/10/ubiquiti-networks-email-scam-40-million/

12 Dotson, K.; “BitPay Hacked for $1.8 Million in Bitcoin During December 2014,” SiliconAngle, 17 September 2015, http://siliconangle.com/blog/2015/09/17/bitpay-hacked-for-1-8-million-in-bitcoin-during-december-2014/

13 Reeve, T.; “Cyber Insurance Not Trusted by Business, KPMG Claims,” SC Magazine UK, 1 May 2015, www.scmagazineuk.com/cyber-insurance-not-trusted-by-business-kpmg-claims/article/412535/

14 Finkle, J.; “Cyber Insurance Premiums Rocket After High-Profile Attacks,” Reuters, 12 October 2015, www.reuters.com/article/us-cybersecurity-insurance-insight-idUSKCN0S609M20151012

15 Marciano, C.; “How Much Does Cyber/Data Breach Insurance Cost?,” Data Breach Insurance, 1 June 2016, https://databreachinsurancequote.com/ cyber-insurance/cyber-insurance-data- breach-insurance-premiums/

5 National Cyber Security Alliance, “3 Reasons Hackers Love Your Small Business Infographic,” StaySafeOnline.org, 2015, http://staysafeonline.org/ncsam/resources/3-reasons-hackers-love-your-small-business-infographic

6 Kirkpatrick, K.; “Cyber Policies on the Rise,” Communications of the ACM, vol. 58, no. 10, p. 21-23, http://cacm.acm.org/magazines/2015/10/192376-cyber-policies-on-the-rise/fulltext

7 Schutzer, D.; “An Assessment of Cyber Insurance,” CTO Corner, February 2015, http://fsroundtable.org/cto-corner-assessment-cyber-insurance/

8 Ibid. 9 Ponemon Institute Research Report, 2015 Cost

of Data Breach Study: Global Analysis, May 2015, www-01.ibm.com/common/ssi/cgi-binialias?subtype=WH&infotype=SA&htmlfid=SEW03053WWEN&attachment=SEW03053WWEN.PDF

10 Greenwald, J.; “Insurer Cites Cyber Policy Exclusion to Dispute Data Breach Settlement,” Business Insurance, 15 May 2015, www.businessinsurance.com/article/20150515/NEWS06/150519893

17 – 19 October | Las Vegas, Nevada, USA

Register today at www.isaca.org/CSXNA2016-Jv5

CSX 2016 North America by the numbers:

7 Cyber tracks designed to help you customize your conference experience and enhance your cyber expertise.

70 High-impact sessions that offer invaluable new tools and perspectives on cyber security. CSX sessions provide unique opportunities to learn from top experts in the field. You select the sessions right for you and your level of cyber expertise.

5 Thought-leading keynote speakers brought together for the first time ever. Learn while listening to those on cyber security’s frontlines. Speakers include: Brian Krebs, Investigative Journalist, Founder of Krebs on Security blog and Former Washington Post Reporter; Pablos Holman, Notorious Hacker, Inventor, Entrepreneur and Technology Futurist; and Brett Kelsey, CISA, CISSP, Vice President and Chief Technology Officer for the Americas at Intel Security.

6 Pre-conference workshops available to help you get a head start on learning new techniques and making connections with fellow attendees.

32 Continuing Professional Education (CPE) Credits. Earn up to 32 CPE credits; 18 by attending the conference and an additional 14 CPE credits for attending pre-conference workshops. 92 Percent overall satisfaction

reported by CSX 2015 North America Conference attendees.

*See website for pricing and registration details.

Earn up to 32 CPEs!


Una penetración tipo estándar típicamente consta de siete pasos principales (figura 1), como fue modelado por Lockheed Martin, y llamada la cadena de Muerte Cibernética2. Si las organizaciones quieren detectar adecuadamente los ataques, estos pasos son un punto de partida necesario para identificar las necesidades de monitoreo.

Figura 1—Seven Steps of the Cyber Kill Chain

Steps Example Actions

Step 1: Reconnaissance

Harvesting emails, social networking, passive search, IP addresses, port scans, etc.

Step 2: Weaponization

Developing exploits with payloads, delivery system

Step 3: Delivery

Spear phishing, man-in-the-middle attacks (MitM), universal serial bus (USB), infected web sites, etc.

Step 4: Exploitation

Exploiting a vulnerability to execute a code on victim’s machine

Step 5: Installation

Installing malware on assets

Step 6: Command and Control

Command channel for remote manipulation of victim’s system

Step 7: Actions on Target

Data exfiltration, expand compromise, remote “hands-on keyboard” access

Source: Lockheed Martin. Reprinted with permission.

Mediante el uso de la abstracción de la cadena de muerte cibernética, existe una oportunidad de detectar un adversario, si los mecanismos de detección necesarios están en el lugar correcto, y son ejecutados y correlacionados correctamente en cada paso. Por ejemplo, si un sistema de detección de intrusos en la red (NIDS) esta monitoreando las conexiones activas desde IPs remotas, buscando posibles actividades del tipo comando y control (C&C) utilizando reportes de inteligencia de amenazas, se puede fácilmente alertar al equipo de seguridad, para que tomen las acciones necesarias de bloqueo. También si un sistema de detección de intrusos basado en el servidor (HIDS), puede monitorear las actividades en el servidor (ej, chequeos de integridad sobre los archivos críticos de sistema), este puede alertar al equipo de seguridad cuando un evento malicioso ocurre en un servidor.

A medida que las amenazas cibernéticas evolucionan cada día, detectar estas amenazas se transforma en un asunto más importante. Estudios recientes muestran que el tiempo entre que ocurre una brecha y que esta sea detectada es en promedio, 229 días1. Entendiendo que 229 días es un tiempo largo, una empresa promedio no responderá a un ataque de manera oportuna y no va a mitigar estos efectos, si no hay un esfuerzo extra invertido en la detección. Este número nos muestran que hay una falta de un monitoreo más preciso de amenazas cibernéticas en la mayoría de las empresas, y esto es mayoritariamente debido a que los mecanismos de monitoreo necesarios no han sido ubicados en el lugar correcto o bien no funcionan de manera eficaz. Adicionalmente, la mayoría de las empresas se enfocan en la prevención en vez que en la detección. Sabiendo que los mecanismos de prevención para las amenazas más sofisticadas fallan, la necesidad de detección se está convirtiendo en un punto más importante cada día. También está la preocupación en los costos de inversión en seguridad especialmente para las empresas de pequeño y mediano tamaño (SMB/PYME). Mientras que un atacante no tan avanzado puede fácilmente penetrar una infraestructura de TI corporativa mediante el uso de una explotación que se vende en el mercado negro por USD$ 500. El costo para prevenir o detectar estos ataques no es proporcional a este bajo coste nominal, cuando una empresa elije comprar e instalar soluciones comerciales.

Para este tipo de necesidades, el software de tipo Open Source (Código Abierto) presenta numerosas ventajas, ya que tiene un gran soporte de parte de la comunidad, y es costo—efectivo, especialmente para las PYME (SMB). Con estas ventajas, una compañía puede elegir construir su infraestructura de seguridad usando soluciones de Open Source (Código Abierto).

artículoartículo

Furkan Caliskan, CISAEs el subgerente de la seguridad de la información en el Banco Ziraat A.S., el banco más grande en Turquía. Antes de eso, él trabajaba como un auditor de TI, él puede ser contactado en [email protected].


Un enfoque integrado para el monitoreo de amenazas cibernéticas utilizando aplicaciones código abierto


La figura 2 es un ejemplo de una ventana de reporte de alertas NIDS usando la aplicación Sguil.

SO también incorpora una herramienta de búsqueda de registros de auditoría llamada búsqueda de registros empresariales y archivo (ELSA). Está construida sobre syslog-ng, MySQL y Sphinx. Provee una interface de consulta de buena base, fácil de usar similar a las bien conocidas aplicaciones Splunk. También soporta alertas por correo electrónico, consultas programadas y gráficos. Las consultas de eventos históricos y resultados estadísticos pueden ser reunidos utilizando ELSA.

Una de las funciones más notables de SO es su capacidad de captura de paquetes usando la herramienta netsniff-ng. Al escoger configurar la funcionalidad de captura de paquetes, cada vez que se genere una alarma de un sistema detector de intrusiones (IDS), uno puede fácilmente ver y analizar las capturas de paquetes del evento relacionado para un análisis detallado. Debido a que capturar todo el tráfico consume una gran cantidad de capacidad de disco duro, las organizaciones deben planear cuidadosamente antes de instalar su sistema. El valor del ancho de banda de la red y las prácticas de retención de registros de auditoría pueden ser utilizadas como un punto de partida para estos planes.

Sistemas de detección de intrusos basados en el servidor

HIDS es un sistema de detección de intrusos que monitorea y analiza la parte interna de un sistema de computación.

Diferente al NIDS, HIDS monitorea las actividades basadas en el servidor. Por ejemplo, puede monitorear la integridad de archivos críticos, conexiones de red, registros de auditoría de sistemas, estado del cortafuego local, detección de rootkit, intentos de fuerza bruta al sistema y más. Usar HIDS efectivamente puede ayudar a una organización a detectar intentos de ataque en los pasos 5 y 7 en la cadena de muerte cibernética. Por ejemplo, el paso 5 utiliza la funcionalidad de monitoreo de la integridad de los archivos de HIDS,

Sistema de detección de Intrusos basado en la red

Un NIDS realiza el análisis del tráfico de paso en la subred completa, contra la base de ataques conocidos. Si es utilizado efectivamente, un NIDS puede ayudar una organización a estar alerta para reconocer intentos de ataques característicos en varios pasos del modelo de cadena de muerte cibernética. Por ejemplo, si un malware está utilizando una URL/IP maliciosa, el NIDS va a identificarla del resto de tráfico usando sus firmas, relacionándola con el paso 6. Y si su firma vulnerable calza con la encontrada en el tráfico activo, esto estaría relacionado con el paso 4.

Cebolla de Seguridad (SO) es una distribución Linux creada para la detección de Intrusiones, monitoreo de seguridad en la red y administración de registros de auditoría (logs). Está basada en la distribución de Linux Ubuntu (GNU) y contiene los softwares de seguridad de redes ya bien conocidas de código abierto, tales como Snort, Suricata, Bro y Sguil, con un enfoque integrado3. Ya que están integradas con scripts para su facilidad de uso, es muy fácil instalar y empezar a usar a través de su interfaz gráfica de usuario (GUI). Tiene tres opciones de instalación: independiente, sensor y servidor. Si uno quiere instalar sensor y servidor en la misma máquina, el modo independiente puede ser usado. Para redes grandes, la instalación distribuida puede ser la respuesta correcta para un fácil mantenimiento y administración centralizada de sensores distribuidos usando el soporte de administración de configuración SaltStack integrado.

Mientras se usa SO, uno debe usar o el espejamiento de puertos o dispositivos de hardware de intervención de redes para espejar todo el tráfico de la red hacia las máquinas de sensor SO. Después del proceso de instalación y habilitar las configuraciones necesarias, los componentes de software NIDS comenzarán a ver y analizar el tráfico en contra de amenazas utilizando firmas de amenazas integradas.

La ubicación exitosa de los sensores en la red es algo de gran consideración para lograr una clara y ajustada visión de la red.


Figura 2—Sguil Screen

Source: Furkan Caliskan. Reprinted with permission.

para grandes despliegues usando métodos como Instrumentación de Administración de Windows (WMI) y Puppet. También hay un proyecto llamado auto-OSSEC5 para un fácil despliegue.

Sebos de atracción (Honeypots)

Muchos adversarios inician sus actividades maliciosas escaneando las subredes externas e intentando explotar la máquina más débil de entre los servidores de una organización expuestos públicamente. Un sebo de atracción puede ser utilizado para engañar al adversario y atraerlo a intentar explotarlo. Mientras el atacante está intentando abrir una brecha, los sebos de atracción reportan el evento a los servidores centrales de monitoreo de seguridad y ayuda a defender la infraestructura de producción.

Cuando se utilizan efectivamente, los sebos de atracción pueden ayudar a las organizaciones a detectar intentos de ataque en el paso 1 de la Cadena de Muerte Cibernética.

Existe una distribución de Linux llamada HoneyDrive, que es un paquete de software de sebos de atracción y es de fácil utilización para empezar. Otro bien conocido sebo de atracción de código abierto es Dionaea. Es un sebo de atracción capturador de

la que puede detectar cuando el malware corrompe un archivo de sistema o se agrega a sí mismo en el registro y levanta una alerta.

Uno o más de estos proyectos HIDS bien conocidos de código abierto es OSSEC4 (figura 3). Él soporta Windows, Linux, Mac, BSD, sistemas VMWare ESX y más.

Sus capacidades incluyen la administración centralizada, alertas en tiempo real configurables, monitoreo sin agentes, una integración seguridad de la información comercial y administración de eventos (SIEM).

También es fácil de personalizar debido a que es de código abierto. OSSEC puede ser personalizado para propósitos como una lista blanca de dispositivos USB y escaneo de vulnerabilidades de software.

Para el despliegue, la instalación de un servidor OSSEC es necesaria. Posterior a este paso, un agente puede ser instalado en cualquier servidor, y, dada la llave del agente y la información IP del servidor, el agente empezará a monitorear el servidor que ha instalado y enviar los registros de auditoría al servidor OSSEC. Este proceso puede ser automatizado


• Aprenda más acerca, discute y colabora en cyberseguridad y seguridad de redes en el Centro de Conocimiento. www.isaca.org/knowledgecenter


Integrando software de código abierto y haciendo que todo funcione

Uno de los principales desafíos en la seguridad cibernética es gestionar todos los esfuerzos de seguridad centralizadamente y hacerlos fáciles de usar. Cuando una organización tiene numerosos registros de auditoría y sistemas de seguridad, monitorearlos y gestionarlos se vuelve más complejo. Este es un desafío importante para los esfuerzos de detección de intrusión, ya que todos los registros de auditoría de seguridad debieran ser cuidadosamente analizados. Si uno no es capaz de detectar una intrusión dentro de una ventana de tiempo razonable, puede llevar al sistema completo a una precaria situación.

Por lo tanto, la utilización efectiva y en una manera combinada de servicios de detección es importante para una infraestructura de TI bien protegida.

Para el monitoreo centralizado y propósitos de tablero de control, el compendio ElasticSearch, Loghash y Kibana (ELK)7 son soluciones bien conocidas de código abierto. Ellas consisten de tres componentes principales. ElasticSearch es un servidor de búsqueda basado en Lucene y provee un motor de búsqueda distribuido de texto completo. Loghash es un marco de trabajo de recolección de registros de auditoría fácil de usar que trabaja muy bien con ElasticSearch. Kibana es la más novedosa interfaz web de usuario de monitoreo y ayuda a visualizar todos los registros de auditoría que provienen de Loghash y que son indexados por ElasticSearch.

Usando este compendio, los HIDS, NIDS y sistemas de sebos de atracción pueden enviar sus datos

software malintencionado inicialmente desarrollado bajo los Proyectos de Sebos de Atracción 2009 del Verano de Código de Google (GSoC)6. Dionaea apunta a atrapar el software malintencionado explotando vulnerabilidades expuestas por servicios ofrecidos en una red y, esencialmente, para obtener una copia del software malintencionado. Captura el código para explotar debilidades ofrecido en la red y almacena los detalles de estos eventos dañinos, tales como IP de origen, tipo de ataque, y código binario descargado para un análisis posterior. Mientras un atacante está montando un ataque con su sebo de atracción, la organización puede lanzar una defensa proactiva utilizando esta información. Por defecto, Dionaea soporta Bloques de Mensaje de Servidor (SMB), Protocolo de Transferencia de Hipertexto (HTTP), Protocolo de Transferencia de Archivos (FTP), Protocolo de Transferencia de Archivos Triviales (TFTP), Servidor SQL de Microsoft (MSSQL) y Protocolo de Iniciación de Sesión (SIP).

La figura 4 muestra software malintencionado capturado por Dionaea y funciones hash relacionadas. Estas funciones hash pueden ser enviadas a Virustotal.com para un análisis más detallado.

La figura 5 muestra la dirección IP de origen del software malintencionado con el propósito de bloquearla.

Una preocupación mayor para los sebos de atracción es su correcta ubicación en la red. Mientras un sebo de atracción en una ubicación pública es bueno para ataques externos, los sebos de atracción extra para detectar movimientos laterales son también un esfuerzo efectivo.

Figura 3—OSSEC Screen Shot



a ELK, y un analista puede correlacionar esos datos, crear un tablero de control para monitoreo centralizado y comenzar tomando acciones rápidas (por ejemplo, bloquear la IP del atacante usando los datos del sebo de atracción, correlacionando los datos de HIDS y NIDS para aumentar la precisión de un ataque detectado de acuerdo a la abstracción de la cadena de muerte). A no ser que se utilicen los datos de seguridad en forma efectiva, todos los esfuerzos de registros de auditoría son inútiles

Conclusión

Con las rápidamente crecientes necesidades de seguridad cibernética, construir una infraestructura de defensa cibernética efectiva es un gran desafío para muchas organizaciones. Construir una sólida y precisa infraestructura de monitoreo disminuirá el tiempo para detectar ataques dado que ayudará a ganar el conocimiento profundo necesario de los sistemas. Una fuerte infraestructura de monitoreo será capaz de correlacionar y usar los datos en forma precisa, permitiendo al equipo de seguridad que trabaje sólo con alarmas importantes y precisas.

Este artículo provee una mirada de las herramientas de código abierto que pueden ser utilizadas para

desplegar una detección mejorada de amenazas cibernéticas y defensa para ajustarse a los recursos de la mayoría de los defensores cibernéticos. Adicionalmente, esta oferta de software de código abierto provee una flexibilidad significativa y el beneficio de una comunidad de gran soporte. Esto puede ayudar a nivelar el campo de juego para aquellos encargados de proteger una organización y sus “joyas de la corona”. Por otra parte, para utilizar la flexibilidad y ventajas de soluciones de seguridad de código abierto de un bajo presupuesto, el equipo de seguridad encargado de la instalación de estas soluciones debe saber lo que está haciendo y disfrutar de la comunidad y cultura de la comunidad de código abierto. Pero el código abierto también es un riesgo para las compañías que tienen pequeños equipos de seguridad. Especialmente en el largo plazo, un producto que no tiene más soporte debe ser gestionado por la organización, resultando en desafíos únicos.

Notas Finales

1 Mandiant, 2014 Threat Report, M-Trends, April 2014, https://dl.mandiant.com/EE/library/WP_M-Trends2014_140409.pdf

2 Lockheed Martin, Cyber Kill Chain, http://cyber.lockheedmartin.com/solutions/cyber-kill-chain

3 Security Onion, http://blog.securityonion.net/4 OSSEC, http://ossec.github.io/ 5 Kennedy, D.; “Tool Release: Auto-OSSEC—

Automated OSSEC Deployment,” Binary Defense Systems Update blog, 5 October 2015, https://www.binarydefense.com/bds/tool-release-auto-ossec-automated-ossec-deployment/

6 The Honeynet Project, Google Summer of Code 2009, http://honeynet.org/gsoc2009

7 Sissel, J.; “An Introduction to the ELK Stack,” Elastic, https://www.elastic.co/webinars/introduction-elk-stack

Figura 5—Attacker IP Addresses


Figura 4—Malware Samples



por ciento de estas mujeres dejando este sector a mitad de carrera6. Las mujeres traen valor específico al campo de la seguridad cibernética. Siendo la mitad de la sociedad consumidora de tecnología mujeres, una fuerte representación de las mujeres como practicantes de la seguridad traería nuevos y más profundos accesos hacia las vulnerabilidades sociales, sicológicas, emocionales, técnicas y físicas, que los atacantes están aprovechando hoy.

La ciber seguridad, en esencia, se trata de proteger la información y sistemas contra ataques cibernéticos, terrorismo cibernético y guerra cibernética7. En tiempos de guerra, los gobiernos utilizan la totalidad de su población para superar a sus enemigos, frecuentemente trayendo millones de mujeres para ocupar roles previamente asumidos por hombres8. Excluyendo a las mujeres en seguridad cibernética, donde hay una severa escasez de habilidades, es como excluir a un batallón en la guerra. Se requiere de todos los recursos para ganar una guerra9. La seguridad cibernética es un ambiente que consiste en anticiparse al adversario, protegiendo activos más rápido que los vectores de amenazas que los puedan explotar, yendo un paso más adelante que los atacantes y aplicando contra inteligencia. La seguridad cibernética es un campo de batalla de tipos. En la guerra, todo lo que un país posee es un activo y es usado en su propio favor, incluyendo la diversidad de inteligencia, habilidades y estrategia. Las mujeres son capaces de alcanzar los mismos resultados que sus contrapartes masculinas si tienen los mismos derechos, privilegios y posibilidades10.

Las mujeres deben ser vistas como contribuidores críticos a la industria de la seguridad cibernética. La seguridad cibernética se apalanca en los tres pilares las personas, procesos y tecnología, todos los cuales pueden ser explotados por atacantes. Las

artículoartículo


Balanceando el campo de batalla de la seguridad cibernética

La historia muestra que las mujeres dan un valor diferente al entorno de trabajo y mejoran la efectividad operacional total y los resultados financieros. En las métricas financieras claves, las compañías con mujeres en su Junta de Directores (BoDs) superan el rendimiento de aquellas sin mujeres1. Investigaciones recientes reportan que si las mujeres tuvieran paridad económica con los hombres en el lugar de trabajo, el producto interno bruto (GDP) podría aumentar en US$ 12 trillones de dólares para el 20252. Cuando las mujeres están en posiciones de liderazgo en cantidades significativas, “la línea base mejora – desde el éxito financiero hasta la calidad y ámbito de la toma de decisiones3.”

Los grupos son colectivamente más inteligentes que los individuos—y la inteligencia colectiva aumenta según aumenta el porcentaje de mujeres en el grupo, como se aprendió cuando las mujeres comenzaron a enlistarse en el ejército de EEUU4. Los militares observaron que “las mujeres proveen una contribución vital para el pensamiento crítico y creativo y la toma de decisiones en el aparato de seguridad nacional”5 y esta capacidad está faltando en muchas unidades militares donde actualmente no hay mujeres.

Hoy, la industria de la ciberseguridad está pidiendo mujeres expertas, dolorosamente consciente del que sólo el 11 por ciento de los profesionales de seguridad de la información son mujeres, con cerca de un 56

Daksha Bhasker, CISM, CISSPTiene más de una década de experiencia en la industria de las telecomunicaciones trabajando en varios roles incluyendo inteligencia de negocios, planificación estratégica, operaciones y controles de gestión de negocios, gobierno, cumplimiento de la ley Sabanes-Oxley, soluciones técnicas complejas, arquitectura de seguridad, gestión de riesgos y seguridad cibernética. Ella es una arquitecto senior de seguridad en redes que trabaja con el equipo de desarrollo de tecnología en redes en Bell Canadá y se enfoca en la seguridad de tecnologías emergentes.

Las personas que piensan diferente por su género, cultura o entrenamiento, atacan y se defienden de manera diferente y aportan valor único a los equipos de seguridad cibernética.


La comunidad actual de profesionales de seguridad cibernética es una comunidad predominantemente masculina y bien establecida11. Requiere un gran esfuerzo, coraje y fortaleza mental para los nuevos integrantes, especialmente mujeres, para penetrar estas redes. Ellas enfrentan una inclusión dubitativa a medida que se esfuerzan por la aceptación de la comunidad y tienen la esperanza de, en algún punto, su carrera de seguridad florezca. Ellas buscan iguales oportunidades de participación, aceptación e integración. Esto se refleja en el pobre 10 por ciento de roles de liderazgo en seguridad de la información ocupados por mujeres hoy12. La seguridad cibernética es única porque es una comunidad de secretos, conocimiento secreto, información clasificada, asociación con comunidades oscuras de hackers, círculos de confianza y otros recursos secretos. Las organizaciones de inteligencia en seguridad alrededor del mundo destacan el secretismo como su principal fortaleza. Un secreto, por definición, es la exclusión de otros en la compartición de información. La exclusión en la comunidad de ciberseguridad puede ocurrirle a cualquiera que no encaje con el típico perfil, incluyendo a las mujeres13. Las autorizaciones gubernamentales de seguridad hacen poco por ayudar a las mujeres a avanzar hacia círculos profesionales de seguridad de la información, incluso trabajando en torno a comunidades de seguridad en organizaciones de seguridad. Esta falta de avance resulta en un mayor porcentaje de mujeres siendo relegadas a funciones esenciales, pero auxiliares, relacionadas con la seguridad, como administración, proyectos o gestión de programas, desarrollo de negocios y marketing o comunicaciones. Porque las mujeres a menudo trabajan en estos roles, algunas puede que nunca logren penetrar a roles del núcleo de la seguridad14. A medida que el avance y participación en la carrera se torna un desafío, las mujeres insatisfechas tienden a abandonar voluntariamente la seguridad cibernética a mitad de carrera a áreas donde la movilidad ascendente es más accesible15.

Los profesionales de la seguridad son rara vez los expertos más populares en una compañía, sin importar su género. La mayoría de los proyectos e iniciativas consideran los requerimientos de seguridad como impedimentos o esfuerzos dolorosos y necesarios. El conocimiento profesional de seguridad, opiniones y requerimientos presupuestarios invariablemente experimentan respuestas de escrutinio agresivo y alborotos rigurosos, a menudo de parte de profesionales ajenos a la seguridad16. Las mujeres tienen una tendencia a compensar en exceso el hecho de estar en un campo dominado por los hombres, un fenómeno conocido como el efecto Madame Curie, implicando que las mujeres creen que

personas pueden ser hackeadas más fácilmente que la tecnología. Las personas que piensan diferente por su género, cultura o entrenamiento, atacan y se defienden de manera diferente y aportan valor único a los equipos de seguridad cibernética. Algunas naciones-estado que han ganado reputación como semilleros para hackers no están buscando las últimas credenciales de seguridad, el grado académico con mayor reputación o una licenciatura profesional para ejercer en este campo. Estas naciones-estado están dispuestas a reclutar y a cruzar la línea del tren por el trabajo. La contra respuesta necesita ser tan flexible, diversa y prolífica como ellas. Las habilidades no tradicionales son importantes para la industria de seguridad cibernética. Por ejemplo, un cientista político puede tener acceso a la agenda y estrategias de naciones-estado que pueden ser aumentadas para entender el motivo y los medios para un ataque. De modo similar, un sicólogo puede ofrecer inteligencia contra amenazas basada en el comportamiento y análisis humano. En seguridad cibernética, la diversidad trae valor y expande la fortaleza del equipo.

Las mujeres pueden enfrentar numerosas barreras para entrar en la arena de la seguridad cibernética. Las oportunidades en la industria de la seguridad que son comúnmente denegadas a las mujeres incluyen:

• Inclusión en la comunidad de la seguridad cibernética

• Igualdad de oportunidades para entrenamiento y desarrollo de habilidades

• Peer acceptance

• Aceptación como líderes

• Aceptación como ingenieros y expertos técnicos

• Oportunidades de avance de carrera en la industria de seguridad

A medida que el avance y participación en la carrera se torna un desafío, las mujeres insatisfechas tienden a abandonar voluntariamente la seguridad cibernética a mitad de carrera.

puedan destacar en eventos sociales de carácter laboral tanto como sus contrapartes masculinas.

• En el lugar de trabajo, acoger a las mujeres en la medida en que desarrollan conocimiento experto de la materia en roles claves de seguridad cibernética. Asegurar un espacio de respeto hacia todos los empleados, especialmente aquellos que no tienen una historia de trabajo con mujeres como pares y líderes.

• Animar a las mujeres tomando un interés activo en sus carreras en seguridad cibernética. Ofrecer igual acceso al entrenamiento y ayudar a eliminar barreras donde las mujeres deseen perseguir y mantener carreras en seguridad cibernética. Proveer acceso a redes profesionales y mentores. Desarrollar un programa para mujeres de emparejamiento de mentores específico por disciplina y ofrecer mentores establecidos en la industria por el tiempo que sea necesario este apoyo. Estar atentos al efecto Madame Curie y utilizar a los mentores como un canal para reducir esta tendencia. Animar a las mujeres, especialmente a las líderes en ingeniería y tecnología, para alimentar a nuevos entrantes en el dominio de la seguridad cibernética.

• Incentivar a las mujeres para alcanzar roles de liderazgo en seguridad cibernética y establecer caminos claros de promoción para empleadas. Las empresas pueden comenzar por mantener estadísticas transparentes en la distribución de géneros en seguridad cibernética, dándoles seguimiento y comparándolos contra referencias deseadas. Comunicar estas estadísticas en forma abierta, mientras se mide anualmente

deben ser más calificadas y desarrollar habilidades excepcionales para competir con hombres en ciencias dominadas por hombres”17. Esta tendencia, combinada con las barreras antes mencionadas, es especialmente agotador y tiene un efecto en las mujeres que están desarrollando nuevas habilidades y trabajando su desarrollo de carrera en seguridad cibernética.

Cuando los eventos sociales relacionados con el trabajo son eventos dominados por hombres, pese a las mejores intenciones, las mujeres pueden continuar sintiéndose marginadas y luchando por unirse con sus colegas en seguridad cibernética. Estas situaciones pueden aislar y alejar a un profesional femenino en seguridad cibernética que no tiene intereses masculinos estereotipados.

Aparte de los requerimientos más básicos de equidad en la paga y de balance entre vida personal y trabajo, hay una gran cantidad de cosas que se pueden hacer para apoyar, fomentar y retener a las mujeres en seguridad cibernética. Los siguientes esfuerzos pueden ayudar a impulsar a las mujeres a participar en la seguridad cibernética y avanzar hacia posiciones de liderazgo:

• Invitaciones y bienvenidas a mujeres como profesionales y aliados en el campo

• Compartición abierta de información

• Entrenamiento

• Acompañamiento de carrera

• Apoyo

• Respeto a las diferencias de opinión basadas en un trasfondo profesional

• Asociación con mentores

Los siguientes pasos pueden ayudar para incorporar de mejor forma a las mujeres en la fuerza de trabajo de seguridad cibernética:

• Hacer esfuerzos claros por disminuir el estereotipo de dominio masculino de la industria de seguridad cibernética. Ambos, hombres y mujeres son necesarios para ganar la batalla en seguridad cibernética. La imagen de los profesionales de seguridad cibernética es predominantemente masculina en los medios. Revisar esa imagen ampliamente difundida de polerones con capucha, golpes de teclado, ninjas acróbatas masculinos a una de etiqueta de negocios profesionales, elegancia y estándares. Asegurar un clima de trabajo profesional similar donde las mujeres



2 Woetzel, J.; A. Madgavkar; K. Ellingrud; E. Labaye; S. Devillard; E. Kutcher; J. Manyika; R. Dobbs; M. Krishnan; “The Power of Parity: How Advancing Women’s Equality Can Add $12 Trillion to Global Growth,” McKinsey Global Institute, McKinsey & Company, September 2015, www.mckinsey.com/global-themes/employment-and-growth/how-advancing-womens-equality-can-add-12-trillion-to- global-growth

3 Seliger, S.; S. L. Shames; The White House Project Report: Benchmarking Women’s Leadership, White House Project, USA, 2009

4 Haring, E. L.; “Women in Battle: What Women Bring to the Fight,” Parameters, vol. 43, iss. 2, 2013, p. 27

5 Ibid. 6 Frost & Sullivan, “Agents of Change: Women

in the Information Security Profession, The (ISC)2 Global Information Security Workforce Subreport,” www.isc2cares.org/uploadedFiles/wwwisc2caresorg/Content/Women-in-the-Information-Security-Profession-GISWS-Subreport.pdf

7 Palo Alto Networks, Inc.; “What is Cyber Security,” 2016, www.paloaltonetworks.com/documentation/glossary/what-is-cyber-security

8 Kabanenko, I.; The Importance of Effective Utilization of Women at Arms, Naval Postgraduate School, USA, March 2015

9 Online Highways LLC, “Rosie the Riveter,” u-s-history.com, www.u-s-history.com/pages/h1656.html.

10 Rayman, N.; “Female Chess Legend: ‘We Are Capable of the Same Fight as Any Other Man’,” TIME, UK, 20 April 2015, http://time.com/3828676/chess-judit-polgar-nigel-short-sexism/

11 Op cit, Frost & Sullivan 12 Ibid. 13 D’Hondt, K; Women in Cybersecurity, Harvard

Kennedy School, USA, 2016 14 Op cit, Frost & Sullivan 15 Morbin, T.; “RSA: Women Breaking the Glass

Firewall,” SC Magazine UK, 21 April 2015, www.scmagazineuk.com/rsa-women-breaking-the-glass-firewall/article/410089/

16 Sethi, R.; “Managing Security Requirements in Agile Projects,” InfoQ, 4 June 2012, https://www.infoq.com/articles/managing-security-requirements-in-agile-projects

17 Natural Sciences and Engineering Research Council of Canada, “Women in Science and Engineering in Canada,” November 2010, http://publications.gc.ca/collections/collection_2012/rsgc-serc/NS3-46-2010-eng.pdf

su progreso, aumenta la concientización de la brecha en la distribución de géneros y cataliza el deseo de remediación. Recompensar a las mujeres con incentivos financieros o incorporar el reconocimiento por tomar una carrera no tradicional en seguridad cibernética, y monitorear su progreso año tras año. Crear grupos de interés, redes y foros de seguridad cibernética a favor de las mujeres, para permitirles tener más fácil acceso a apoyo, guía e información. Establecer entrevistas de salida para mujeres que deciden dejar el campo para entender y abordar falencias identificadas. Abordar a los gerentes para atraer y retener empleadas.

• Administrar la cultura de inteligencia secreta y no divulgación que es requerida en la industria de seguridad con tanta apertura y transparencia como sea posible. Ayudar a prevenir el mal uso de sistemas de clasificación de información para prevenir la exclusión innecesaria de recién llegados al campo de seguridad cibernética. Crear un mecanismo que desafíe dicha exclusión y abiertamente discuta como prevenir esta exclusión. Promover la necesidad de entrenamiento en el lugar de trabajo para superar sesgos inconscientes en contra de las mujeres en esta industria.

Colectivamente, el objetivo de los profesionales de la seguridad cibernética es ganar la guerra contra sus atacantes en seguridad cibernética. Permitir que las mujeres entren en la arena y saber que la seguridad cibernética es su batalla, también. Las mujeres en el campo de batalla de la seguridad cibernética son un activo.

Agradecimientos

El autor quisiera agradecer a Tyson Macaulay, estratega en jefe de seguridad y vicepresidente de servicios de seguridad en Fortinet, por muchos años de enseñanza, guía y sabiduría compartida.

Nota del autor

Las opiniones expresadas en este artículo son del autor y no necesariamente las de su empleador.

Notas Finales

1 International Labour Organization, “Women at Work: Trends 2016,” International Labour Office, Geneva, 2016, www.ilo.org/wcmsp5/groups/public/---dgreports/---dcomm/---publ/documents/publication/wcms_457317.pdf


• Aprenda más, discuta y colabore en career management y cyberseguridad en el Centro de Conocimiento. www.isaca.org/knowledgecenter

artículoartículo

Una vez que la aprobación para llevar a cabo una auditoría de seguridad de la información y, muy probablemente, una prueba de penetración (pen-test) de las redes y sistemas de una organización ha sido obtenido, entonces, ¿qué? ¿Por dónde empezar? Planearlo requiere una gran cantidad de trabajo y consideración y, para los principiantes, esta tarea puede ser bastante intimidante. La mala planificación puede tener graves consecuencias para la red, provocando la interrupción del negocio no deseado y, en el peor de los casos, un daño permanente. Dependiendo del apetito de riesgo de la organización, el alcance de la prueba podría ser drásticamente diferente.

Lo primero que hay que entender es que la auditoría de seguridad de la información no es una talla única para todo tipo de contrato. Es razonable empezar poco a poco y así progresivamente pasar a compromisos más complejos. También es importante señalar que las diferentes redes y aplicaciones pueden progresar en diferentes etapas.

Por ejemplo, si una organización tiene un sistema de supervisión de control y adquisición de datos (SCADA) que nunca se ha probado, ni escaneado para vulnerabilidades, uno podría querer no considerar partir las pruebas de seguridad de la información mediante la implementación de una prueba de penetración completa. Sería prudente comenzar con una evaluación de vulnerabilidades para probar las aguas y utilizar los resultados para endurecer el sistema para una futura prueba de penetración.

El modelo de la figura 1 propone una guía de madurez de las actividades de prueba mediante la correlación de diferentes combinaciones de las “reglas de contrato”, que se tratarán en detalle en este artículo, con la tolerancia al riesgo. Estas combinaciones predeterminadas se pueden utilizar como punto de partida.

Antes de considerar las reglas del contrato, es importante conocer los tipos de pruebas de seguridad de la información:

• Escaneo de Vulnerabilidades—Esta exploración examina la seguridad de los computadores individuales, los dispositivos de la red o aplicaciones para vulnerabilidades conocidas.

Las vulnerabilidades son identificadas mediante la ejecución de un escáner, sniffers, la revisión de configuraciones, etc. Las vulnerabilidades identificadas no son explotadas. Esta prueba tiende a ser menos perjudicial y también menos costosa cuando es externalizado.

• Evaluación de Seguridad—Este se basa en la evaluación de la vulnerabilidad mediante la adición de verificación manual de los controles para confirmar la exposición mediante la revisión de ajustes, políticas y procedimientos. Eso tiene una cobertura más amplia. Evaluación de medidas de seguridad físicas serían cubiertos aquí.

• Prueba de Penetración—Esto sucede un paso por delante de una evaluación de vulnerabilidad. Se aprovecha de vulnerabilidades conocidas y desconocidas (por ejemplo, ataque de día cero). También hace uso de ingeniería social para la explotación del componente humano de la seguridad cibernética. Tenga en cuenta que la evaluación de vulnerabilidad se incluye en la prueba de penetración. La evaluación de vulnerabilidad es el punto de partida para buscar vulnerabilidades. Se llama la fase de

Karina Korpela, CISA, CRISC, CISM, CISSP, PMPEs la directora de auditoría de TI en AltaLink, una compañía de energía Hathaway Berkshire y Alberta, el proveedor de transmisión más grande de Canadá. Korpela tiene más de 15 años de experiencia internacional en auditorías de TI, evaluaciones de seguridad cibernética, realización de análisis de datos y desarrollo de aplicaciones de monitoreo de controles continuos para muchos diferentes procesos de negocio. Ella comenzó su carrera en Coopers & Lybrand como administrador del sistema, y que más tarde fue invitada a unirse a su grupo Auditoría de Asistencia Informática (CAAG) como auditor de TI. Ella puede ser contactada en [email protected].

Paul Weatherhead, CISSP Es el vicepresidente y director de tecnología de Grupo Límite Digital, una empresa de seguridad informática que atiende a clientes en toda América del Norte. A menudo es llamado a asesorar a clientes de América del Norte en los servicios financieros, la aplicación de la ley, el gobierno municipal y provincial, los servicios públicos, y de los servicios profesionales en las investigaciones de intrusión de seguridad de TI corporativa y la red. Durante los últimos 17 años, Weatherhead se ha centrado en la seguridad de redes y consultoría de gestión de amenazas, después de haber realizado más de 400 evaluaciones de la seguridad de TI en Canadá, los Estados Unidos y el Reino Unido. Lleva a cabo periódicamente cursos de formación de seguridad de la red y ha dado instructor en la Escuela de Policía de Canada.


Planificación de pruebas de seguridad de la información— un enfoque práctico


dependerá de la tolerancia al riesgo, la sensibilidad y madurez de los sistemas de seguridad de la infraestructura. Pero, idealmente, las pruebas de penetración pueden ser ejecutadas sólo una vez al año, mientras que las evaluaciones de vulnerabilidad pueden llevarse a cabo con mayor frecuencia. Ambos el análisis de vulnerabilidades y pruebas de penetración, se pueden realizar en los sistemas internos y externos y dispositivos de red. Ambos pueden ser de alcance general o centrado en áreas específicas. La figura 2 muestra las áreas de enfoque y su aplicabilidad.

Reglas del contrato

Estas reglas deben ser considerados como las perillas de ajuste del sonido en un sistema de cine en casa. Una combinación podría ser mejor para una habitación más pequeña que está observando TV por cable, mientras que otra combinación podría ser mejor para una habitación más grande donde se reproduce un DVD. Una vez que estas reglas son entendidas, se hace más fácil para decidir los objetivos y el alcance de la prueba.

Un conjunto diferente de combinaciones se puede aplicar a cada sistema dentro del alcance. En una red muy sensible, uno se puede realizar solo un escaneo de vulnerabilidades y en otras redes, más robustos, se podría ejecutar una prueba más real de penetración. O bien, el sonido se puede ajustar de según se van ejecutando a las pruebas. Por ejemplo, cuando la prueba no tiene éxito en la penetración de la primera línea de defensa, la prueba se puede considerar

descubrimiento (o reconocimiento) del ciclo de prueba. Los probadores (testers) de penetración deben ejecutar un escaneo de vulnerabilidades para identificar los puntos débiles a ser explotado.

• Ingeniería Social—A pesar que la ingeniería social es actualmente una técnica de las pruebas de penetración, muchas empresas, sin embargo, no están listas para una prueba de penetración y podrían optar por solo desplegar una campaña de correo electrónico de suplantación de identidad, por ejemplo, para verificar cuántos de sus usuarios son vulnerables a esta técnica y requieren una formación complementaria. Sus resultados son reportados, pero la información recopilada nunca es utilizada para penetrar la red.

Una evaluación no es mejor que una prueba de penetración o vice versa. Estas proporcionan resultados y valores diferentes. Su aplicabilidad

Figura 1—Information Security Testing Maturity Model

Fuente: K. Korpela. Reimpreso con permiso.

Idealmente, las pruebas de penetración pueden ser ejecutadas sólo una vez al año, mientras que las evaluaciones de vulnerabilidad pueden llevarse a cabo con mayor frecuencia.


defensa? ¿Cómo responderían los sistemas internos? La cita de Andy Grove en la complacencia es muy aplicable a la seguridad de la información: “El éxito alimenta la complacencia. La complacencia engendra fracaso. Sólo los paranoicos sobreviven”1.

Es esencial aplicar un enfoque cíclico a las pruebas de seguridad de la información como se sugiere en la figura 3.

Figura 3—Testing Cycle

Fuente: K. Korpela. Reimpreso con permiso.

completada o información adicional, o aún el acceso, se puede proveer para que el probador pueda prescindir de ella y reiniciar la prueba desde ahí. De esta manera, las vulnerabilidades adicionales pueden ser identificadas en caso que un atacante futuro pudiese violar el primer nivel de defensa.

La combinación elegida depende de la tolerancia al riesgo y la madurez de los procesos de seguridad cibernética de una empresa. Sin embargo, estas reglas permiten flexibilidad para ajustar el plan de pruebas de acuerdo con los sistemas y redes dentro del alcance.

Es importante tener en cuenta que el siempre mundo evolucionando de la seguridad de la información, es el alcanzar el nivel de madurez más alto y, como consecuencia, caer en la autocomplacencia puede ser peligroso.

A pesar de que se requiere un mayor nivel de madurez para realizar una prueba más realista, este viene con un precio ya que puede dar una falsa sensación de seguridad. Una prueba de caja negra completa permite al probador evaluar sólo la primera línea en la defensa en el momento de la prueba. ¿Pero qué pasa si ocurre un ataque de día cero que explota vulnerabilidades detrás de la primera línea de

Figura 2—Areas de Enfoque

Areas de Enfoque/TiposAnálisis de

VulnerabilidadesEvaluación de

SeguridadPruebas de Penetración

Ingeniería Social

Enrutadores y conmutadores I I I -

Cortafuegos I I I I

Sistema deteción de intrusos(IDS); sistema prevención de intrusos (IPS)

I I I I

Redes inalámbricas I I I -

Denegación de servicios (DoS) O O O -

Descifrado de contraseñas - O I -

Ingeniería social - O I I

Dispositivos móviles robados - I I -

Aplicación I I I -

Físico I I I I

Base de datos I I I -

Protocolo de Voz sobre Internet (VoIP) O I I -

Red virtual privada (VPN) I I I -

Seguridad de correos I I I I

Parches de seguridad I I I -

Fuga de datos - I I I

Telecomunicación y comunicación de banda ancha I I I -

I=Icluída O=Opcional - = Generalmente no incluidoFuente: K.Korpela y P. Weatherhead. Reimpreso con permiso.



Anuncio: Encubierto vs. no encubierto

Esta sección de las reglas del contrato se utiliza para documentar si se darán a conocer las pruebas o no.

• No encubierto—Estas pruebas de penetración se llevan a cabo con el conocimiento y el consentimiento del personal de TI y, por supuesto de la administración superior. La siguiente decisión es la posibilidad de defender la red contra los probadores. Esta opción, también conocido como el enfoque del equipo azul vs. el equipo rojo, se puede terminar la prueba si el equipo defensor puede simplemente apagar la red una vez que se ha detectado a los probadores. En orden para maximizar la prueba de penetración, se recomienda que se den instrucciones específicas para no realizar ninguna acción para detener los probadores mientras se efectúa la prueba de penetración en el momento y la duración acordado. Esto puede ser una gran oportunidad para que el equipo defensor pueda aprender la forma de pensar de los piratas informáticos monitoreando el ataque y documentar que sistemas y sensores activan alarmas durante el ejercicio.

• Encubierto—Esta opción también se conoce como el Equipo Rojo, e implica la realización de una prueba de penetración sin el conocimiento del personal de TI, pero con el consentimiento de la administración superior. No anunciar la prueba de penetración ayuda la organización para comprobar las amenazas de seguridad que puedan surgir debido a errores humanos y la ignorancia. También examina la agilidad de la infraestructura de seguridad y la capacidad de respuesta del personal de TI.

Tipo: Gris vs. blanca vs. caja negra

Las organizaciones deben decidir el compartir o no información sobre el sistema y red con la organización evaluando (probadores). Esas decisiones son tipificadas como:

• Caja Negra—Ninguna información es compartida con el probador. Esto simula un ataque externo donde los probadores utilizaran más tiempo en la fase de reconocimiento y, debido a eso, tomas más tiempo y cuesta más.

Estrategia: Interna vs. externa

La estrategia determina si la prueba debe ser realizada desde fuera de la red como de la Internet, o desde dentro de la red o ambas.

• Externa—Esta es, quizás, la forma más ampliamente usada de prueba de penetración. Se dirige a la capacidad de un atacante remoto para llegar a la red interna. El objetivo de la prueba de penetración es a servidores específicos y a las “joyas de la corona” dentro de la red interna explotando servidores expuestos externamente, clientes y personas.

• Interna—Contrariamente a lo que piensa la administración que es esto, no es una estrategia de trabajo aplicable a la evaluación de vulnerabilidades solamente. Las pruebas de penetración se pueden ejecutar internamente cuando el objetivo es simular lo que sucedería si el propio empleado de una empresa está intentado llevar a cabo un ataque desde dentro o si un atacante logró obtener acceso a una red. El objetivo es típicamente el mismo que la prueba de penetración externa, pero la diferencia principal es el “atacante” o bien tiene algún tipo de acceso autorizado o está empezando desde un punto dentro de la red interna. Las pruebas internas pueden ayudar a las empresas a identificar debilidades en sus líneas de segunda o tercera defensa, considerando que un ataque interno pasará por alto las salvaguardas del perímetro. Las pruebas internas pueden responder preguntas tales como, “¿Qué tan bien esta segregada la red?” “¿Es la gestión de parches efectiva?” Si el atacante está en un segmento de red, las pruebas internas pueden determinar si él/ella puede ver los otros segmentos, lo que él/ella puede ver en esos otros segmentos, y cuáles son las actividades que él/ella puede llevar a cabo.

No anunciar la prueba de penetración ayuda la organización para comprobar las amenazas de seguridad que puedan surgir debido a errores humanos y la ignorancia.


una prueba más realística desde la perspectiva de un hacker externo, pero la prueba caja blanca tiene el potencial de ser más devastadora porque los probadores tendrán el conocimiento de lo que es importante dentro de la red y donde están localizados—algo que los atacantes externos usualmente desconocen desde un inicio. Un enfoque de un ataque interno no siempre va requerir un tipo de prueba de caja blanca. Por ejemplo, si el objetivo es probar lo que un hacker podría hacer si él / ellas solo ingresaran a las oficinas de la compañía y conectaran un computador, entonces una estrategia interna de prueba con un tipo de prueba de caja negra podría ser seleccionada.

Técnica: No destructiva vs. destructiva

Es importante informar a los probadores que técnica será permitida durante el compromiso. Cuando métodos no destructivos (NDT) son seleccionados, probadores pondrá sus herramientas para evitar causar una negación de servicio (DoS), por ejemplo, o cualquier otro ataque que pudiese interrumpir las operaciones normales del negocio. NDT provee una prueba de concepto, pero no lo demuestra. Figura 4 lista técnicas comúnmente

• Caja Gris—Cierta información es entregada al probador—de la cual los hackers podrían, tal vez obtener al utilizar herramientas de reconocimiento o después de obtener acceso a la red de área local (LANs). Esto disminuye el tiempo ocupado por los probadores y, por lo tanto, también costos. La información entregada no compromete la validez de la prueba de penetración Ejemplos de tales informaciones sería una lista de servidores fuera del alcance o una versión más simple de la topología de la red.

• Caja Blanca—Toda información que los probadores necesiten para explotar vulnerabilidades es entregada. Esta opción es preferible cuando:- La tarea de definir el alcance se les deja a los

probadores a determinar- Una auditoria completa de seguridad se está

ejecutando- Organizaciones quieren simular un ataque desde

una amenaza interna, como ser un empleado de ti descontento el cual ya tendría acceso a cierta información

No existe un tipo correcto o errado, y todas las opciones se pueden efectuar con o sin el conocimiento del personal de TI. Caja negra ofrece

Figura 4— NDT vs. Técnicas DT

Técnicas No Destructivas (NDT) Técnicas potencialemnte Destructivas/Disruptivas

• Investigación pasiva, incluyendo cuentas medios sociales de los empleados

• Suplantación de identidad y URL• Ingeniería social en el lugar físico• Ingeniería social lógica/remota• Lectura de correos corporativos• Mapeo de redes y sistema de huellas digitales• Identificador de ilamada (ID) y suplantación de direcciones de

correo• Espionaje en la red• Análisis de vulnerabilidades*• Herramientas de monitoreo de redes• Herramientas de conexión• Herramientas de detección en modo promiscuo• Herramientas de Criptografía• Herramientas de administrador de dominio• Suplantación de IP• Escaneo de puertos*• Herramientas de cortafuego• Ataque de hombre en medio• Manipulación de archivos• Envenamiento de archivos compartidos• Investigación de antecedentes personales• Análisis de escenario

• Inundación ICMP (ataque pequeño, inundación ping y ping de la muerte)

• Lágrima• Inundación a nivel de aplicación distribuido, reflejado,

degradación del servicio• Denegación de servicio no intencional Nivel II• Denegación de servicio ciego• Manipulación de registros del sistema con la intención de

borrar o disimular registros• Ataques de denegación de servicios• Desbordamiento de búfer• Reinstalación forzada y reinicio• Ataque de fuerz bruta• Inyección de SQL

* Vulnerabilidades y escaneo de puertos son por naturaleza no destructivos si son configurados apropiadamente.Fuente: K. Korpela y P. Weatherhead. Reimpreso con permiso.


entre herramientas comerciales y de código abierto. Un ejemplo seria el desarrollo de una herramienta para escanear la red sin bloquear cuentas SQL (Structured Query Language) lo cual puede suceder al utilizar un scanner comercial.

El riesgo de que estas herramientas interrumpan el negocio o causen la propagación de malware puede ser controlado por:

• No permitir la instalación en el sistema objetivo

• Ejecutar las herramientas contra sistemas no productivos o sistemas de prueba primero

• Cerciorarse que el probador adquirió las herramientas de fuente abierto de sitios de confianza y efectuó un Secure Has Algorith 2 (SHA2) checksum para verificar integridad

• Cerciorarse que el probador ha utilizado un marco de desarrollo de software que pueda incluir una revisión por pares, para software interno

• Cerciorarse que el probador ha parcheado y actualizado el software apropiadamente

Y para técnicas de ingeniería social como es el identificador de llamadas y spoofing de direcciones de correo electrónico, uno puede escoger que se permita su implementación pasivamente, eso es, solo con el propósito de recolectar información durante la fase de reconocimiento. Otras consideraciones incluyen si los probadores serna permitidos ingresar a las oficinas de la organización, ingresar a las casas de los empleados y/o hackear las cuentas de redes sociales de los empleados.

Estas herramientas y técnicas pueden ser identificadas como permitidas solo con consentimiento previo y pueden ser manejadas en una base de caso por caso.

Declaración de trabajo

Además de asignar profesionales calificados y con experiencia para efectuar la prueba y conociendo las reglas del compromiso, también es esencial que un plan de pruebas sea desarrollado para establecer parámetros como es ser los objetivos, alcance, supuestos y riesgo.

Utilizando un modelo como se muestra en la figura 5, está la provee al probador con claras expectaciones para la prueba y transparencia y delinea el plan en una forma no técnica para que la alta gerencia la apruebe.

utilizadas. Estas técnicas deben ser discutidas con los probadores anticipadamente cuando la organización notifique a los probadores que tipo de pruebas pueden ser utilizadas durante el compromiso. Independientemente de la técnica seleccionada, es recomendable de explícitamente definir que herramientas y técnicas serán permitidas y cuales no serán permitidas. Por ejemplo, hay ataques y herramientas que pueden ser destructivas por naturaleza, pero pueden ser “sintonizadas a la baja” por el probador para que no causen un DoS, desbordamiento de memoria o que cualquier sistema se apague.

Un punto muy válido a ser considerado es el uso de herramientas de fuente abierto o desarrollado internamente por el probador para la evaluación de vulnerabilidades y pruebas de penetración. Ambos tipos de software vienen con riesgos y beneficios.Fuente abierto significa que el código fuente está disponible a todos los potenciales usuarios, y son gratis para utilizar, modificar y redistribuir el código fuente. Considerando que el código fuente es accesible, probadores usualmente pueden retocar el software, conectar exploits y remover características innecesarias. Esto puede mejorar eficiencia, velocidad y seguridad. El software de fuente abierto comúnmente utilizado para pruebas de seguridad de la información es Linux Backtrack and kali, el cual viene con una gran comunidad de soporte y, por lo tanto, desarrollan mejoras y adiciones versátiles.

En cuanto a las herramientas desarrolladas internamente, es muy probable que la mayoría de los probadores experimentados desarrollen herramientas ellos mismos para cubrir la brecha

Es recomendable de explícitamente definir que herramientas y técnicas serán permitidas y cuales no serán permitidas.


• Lea más acerca, discute y colabora en la gestión de seguridad de la información y políticas y procedimientos de seguridad de la información en el Centro de Conocimiento. www.isaca.org/knowledgecenter


amenaza particular contra la cual la empresa necesita probar sus controles? Por ejemplo, una organización puede escoger probar contra una vulnerabilidad particular como ser el bug Heartbleed, o puede escoger probar si es posible que hackers o un empleado disgustado obtenga acceso no autorizado al sistema ERP (Planificación de Recursos Empresariales) y transferir dinero en forma electrónica a una cuenta bancaria offshore. Pero para la mayoría de las compañías, buenas metas iniciales pueden simplemente ser: ¿Esta la organización segura? ¿Está la organización en cumplimiento?

Para asegurar que las pruebas agregan valor a la organización, es crucial identificar y entender las áreas de riesgo y/o el link potencial más débil en defenderse de los ciber ataques. Los marcos de evaluación de riesgos pueden ser útiles en identificar las metas para las pruebas. Organizaciones que han efectuado un análisis de impacto del negocio podrían utilizar esto como input para identificar áreas específicas de riesgos de negocio y ajustar la prueba de acuerdo. Por ejemplo, una organización que identifica datos de investigación y desarrollo como sus activos más importantes, podrían desarrollar un plan de pruebas que incluya intenciones de obtener acceso no autorizado a los datos. Organizaciones pueden desear involucrar a probadores de terceros en esta fase, ya que ellos pueden sugerir tendencias de la industria actuales

Objetivos

Es aconsejable proveerles a los probadores con objetivos específicos. ¿Qué deben hacer los probadores una vez obtengan acceso a la red? ¿Debiesen dejar migajas? ¿Debiesen los probadores encontrar una aplicación específica y crearle cuentas de usuarios? Esos objetivos se tornarán claros y fácil definir según la organización se familiarice con sus sistemas y ciber riesgos. Un buen lugar para empezar es definir objetivos relacionados con la primera y/o segunda línea de defensa como ser los cortafuegos

Antecedentes

Al desarrollar la prueba, es crítico mantener en mente que va requerir la aprobación de la alta gerencia (es preferible los ejecutivos senior) y, por lo tanto, los antecedentes debiesen proveerles con contexto detallando la necesidad de efectuar este tipo de trabajo, resumen de pruebas previas, razón fundamental para el objetivo y el alcance seleccionado, cambios efectuado al entorno de TI, nuevas amenazas, y así. Aquí es donde la justificación para utilizar una organización de evaluación de terceros puede ser previsto.

Metas

¿Cuál será el área de enfoque (referirse a figura 2) para la prueba? O, ¿será general? ¿Existe una

Figura 5—Pen-test Plan Template

Fuente: K. Korpela and P. Weatherhead. Reimpreso con permiso. Marcos de evaluación de riesgos puede ser útil en la identificación de los objetivos de la prueba.


Ayuda tener un diagrama no técnico que muestra la red en el alcance y los puntos de inicio de la prueba (puertas) (figura 6). Esto le proveerá a la alta gerencia con contexto adicional y un entendimiento visual del alcance.

Factores de éxito

¿Cuándo se considerará la prueba un éxito? ¿Es cuando el probador ingresa a la red o cuando una violación no es posible? ¿Es suficiente el penetrar la red como prueba suficiente de la necesidad de endurecer los controles?

Las mediciones definidas en la sección de metas de este artículo pueden repetirse aquí para determinar, en detalle, que actividades deben efectuarse por la organización evaluadora o aun por el personal de TI para considerar la prueba exitosa.

Programar

Si el tema de tiempos no se resuelve apropiadamente puede ser catastrófico para una organización. Es fácil de imaginar el escandalo si una prueba de DoS fue efectuada en una universidad el día en que los estudiantes están programados para tomar sus exámenes en línea. Esto es un ejemplo de una pobre programación cómo también una mala comunicación entre el probador de penetración y la universidad. Una buena planeación y preparación ayudara evitar dichas malas prácticas.

Una prueba de penetración no dura para siempre y, por lo tanto, es importante ser explicito en el plan del periodo finito para la prueba. El plan debe también solicitarle a los probadores que notifiquen a las partes interesadas de la organización cuando ha iniciado las pruebas según el día acordado para comenzar.

Contactos

Una lista de contactos debiese desarrollarse para identificar todas las personas clave (incluyendo los nombres, roles, direcciones de correo electrónico y números de teléfono) participando en la planeación, coordinación y ejecución de las pruebas. Aquellos a los cuales hay que contactarlos primero en caso de preocupaciones, cambios y emergencias debiesen ser definidos claramente. La lista no debiese incluir personal que no necesita conocer acerca

Alcance/fuera de alcance

El criterio de las pruebas puede ser a gran escala para la red entera y los sistemas o definida más estrechamente de dispositivos específicos como servidores web, ruteadores, SCADA, cortafuegos, servidores DNS, servidores de correo electrónico, y servidores de protocolo de transferencia de archivos (FTP) como se lista en figura 2. Para determinar la extensión a lo cual la prueba debe efectuarse, estas preguntas se debiesen hacer:

• ¿Que será probado?

• ¿En caso de solo ingeniería social, cuales empleados están en el alcance?

• ¿Desde dónde se va efectuar la prueba?

• ¿Cuándo no debiese efectuarse la prueba?

• ¿Están los sistemas productivos fuera del alcance?

• ¿Que hosts están fuera del alcance/restringidos?

• ¿Por quién será probado?

La mayoría de las organizaciones de evaluación utilizaran el número de hosts, usuarios, IPs externos y ubicaciones del alcance para calcular el costo del compromiso.

Figura 6—Ejemplo de Diagrama No Técnico de Red

Fuente: K. Korpela and P. Weatherhead. Reimpreso con permiso.

Puerta 1 Puerta 2En Alcance

RSA

DMZPRINCIPALDMZ

WEBDMZ

RED PRINCIPALServidor A Consola

Servidor B

RED DE RESPALDO (DRP)

Internetwww

Internetwww


Ejemplos de entregables a ser considerados incluyen:

• UN reporte técnico detallado sobre las vulnerabilidades del sistema explicado de una manera que sea comprendido por la alta gerencia. El reporte también debiese incluir, pero no esta limitado a:– Resultados de la prueba en términos técnicos

de riesgos– Indicación de las habilidades necesarias

para explotar vulnerabilidades (script kiddies, desarrolladores de virus/gusanos, investigadores de seguridad, hackers profesionales o hacktivistas)

– Explicación de falsos positivos– Recomendaciones a corto plazo (tácticas)– Causa raíz, recomendaciones a largo plazo

(estratégico)– Planes de acción de mejoras de seguridad

• Un reporte listando los controles de ciberseguridad (procesos y/o tecnologías) actualmente implementadas que estén funcionando efectivamente y su categoría contra las mejores practicas de la industria (débil, moderada, fuerte)

• Un reporte mostrando los métodos de ingeniería social utilizada y el factor de éxito en la compañía siendo evaluada

Aprobaciones

El obtener consentimiento de la alta gerencia antes de conducir las pruebas de penetración es vital. Dependiendo de requisitos legales de la organización, un formulario de autorización por separado puede ser requerido (además de las reglas del compromiso) que establezca que la organización evaluando no será penalizada ni penalmente

de las pruebas; el incluirlos puede confundir a la organización evaluadora.

Riesgo y contingencias

Todos los posibles factores de riesgo y su probabilidad de ocurrir durante el periodo de pruebas deben ser especificados. Un ejemplo de un riesgo puede ser que las actividades de las pruebas pueden inadvertidamente apagar la red causando interrupción de las funcionalidades del negocio. Una vez que los factores de riesgo han sido listados, una tabla puede prepararse con los controles preventivos y estrategias de mitigación en caso se materialice el riesgo (figura 7).

Entregables

Es importante proveer contexto y antecedentes a los resultados. Por ejemplo, si el número de vulnerabilidades reportado se ha duplicado en comparación al año pasado, es importante incluir el número total de los puntos escaneado a los resultados.

El reportar a la gerencia debe ser parte del compromiso de la prueba de penetración. Los probadores usualmente juntan un detalle y una presentación muy técnica resumiendo los resultados de la prueba. Las mejores prácticas es de tener una presentación técnica detallada para el equipo de TI (Director de TI [CIO] y gerentes clave) y una presentación corta separada para los ejecutivos que resuman las pruebas y se enfoquen en impacto de riesgo del negocio y planes de mitigación. Las mejores prácticas es de tener un resumen ejecutivo creado por auditoria interna.

Figura 7— Ejemplo de un Riesgo y Plan de Contingencia

Riesgo Tolerancia al Riesgo Controles Preventivos Probabilidad (%) Estrategia de Mitigación Riesgo Residual

Las actividades de prueba sin darse cuenta pueden apagar la red causando la interrupción de las funciones diarias del negocio.

Medio Los ataques podrían apagar la red el anfitrión podría ser sensible a la lógica de templado y sea rechazado como fuera de alcance.

10% Invocar el plan de continuidad de negocios.

Bajo

Fuente: K. Korpela y P. Weatherhead. Reimpreso con permiso.


Referencias

EC-Council ECSA, LPT Courseware Manual, v4, vol. 2

Scarfone, K.; M. Souppaya; A. Cody; A. Orebaugh; Technical Guide to Information Security Testing and Assessment, National Institute of Standards and Technology, NIST Special Publication 800-115, USA, September 2008, http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf

Tipton, H. F.; M., Krause; Information Security Management Handbook, 6th Edition, CRC Press, USA, 2007

Chan Tuck Wai, “Conducting a Penetration Test on an Organization,” SANS Institute InfoSec Reading Room, 2002, https://www.sans.org/reading-room/whitepapers/auditing/conducting-penetration-test-organization-67

SANS Institute, “Guidelines for Developing Penetration Rules of Behavior,” InfoSec Reading Room, 2001, https://www.sans.org/reading-room/whitepapers/testing/guidelines-developing-penetration-rules-behavior-259

SANS Institute, “Security Concerns in Using Open Source Software for Enterprise Requirements,” InfoSec Reading Room, 2009, https://www.sans.org/reading-room/whitepapers/awareness/security-concerns-open-source-software-enterprise-requirements-1305

Notas Finales

1 Grove, A. S.; Only the Paranoid Survive: How to Exploit the Crisis Points That Challenge Every Company, Crown Business, USA, 1999

responsable por interrupciones no intencionadas y perdidas o daños a los equipos.

Otras consideraciones

También se recomienda que los planes explícitamente expongan detalles relacionados con los siguientes temas:

• Alcance—Empleados/ubicaciones fuera del alcance para las actividades de ingeniería social

• Sanitización del Reporte—Existe un riesgo en la potencial circulación de una versión no sanitizada del reporte que incluya los IPs de la compañía u otras informaciones importantes. Organizaciones pueden considerar tener dos versiones del reporte para diferentes audiencias y métodos de distribución.

• Método de Distribución—Organizaciones pueden considerar utilizar solo métodos seguros para comunicar planes no sanitizados u otras informaciones suministradas sobre los sistemas y redes.

• Confidencialidad—La organización evaluadora debe hacérsele entender que cualquier información o datos obtenidos durante la prueba de penetración será tratada como confidencial y tendrá que ser devuelta o destruida en forma adecuada después de la prueba.

Es critico proveer el contexto y antecedentes a los resultados.


rápido debido a amenazas severas, ellos pueden no disponer de la oportunidad para consultar con los expertos apropiados previo a realizar la decisión de invertir. En casos como este, las malas decisiones son muy comunes. Posteriormente, los gastos son altos sin generar el incremento de la seguridad esperada.

La mejor manera de evitar las malas justificaciones, es un proceso de selección de controles bien pensado, que involucre a los expertos. Para encontrar la protección más apropiada, el responsable de tomar la decisión debe ser capaz de evaluar varias medidas de seguridad e identificar y seleccionar la más adecuada. La selección de controles se basa en la evaluación de múltiples atributos cualitativos o cuantitativos. Por lo tanto, un proceso de selección debe cubrir la comparación de estos atributos y la evaluación de los controles existentes. Los atributos se ponderan de manera que la evaluación de los controles se puede realizar teniendo en cuenta la situación específica y características de la empresa.

artículoartículo

Stefan Beissel, Ph.D., CISA, CISSP, PMPIs a senior information security expert who has worked at international companies in the finance, banking and commerce sectors for nearly 15 years. He is the author of multiple books and journal articles and has trained and lectured professionals, undergraduate and graduate students on information security and related topics.


Una perspectiva crítica de los procesos de selección de controles

Los controles se han convertido en una parte esencial de todos los entornos de TI. A medida que las empresas se vuelven más dependientes de la tecnología moderna, ellas también deben hacer frente a más vulnerabilidades, las que deben ser manejadas de manera eficiente. Sin embargo, la selección de un control adecuada puede ser un reto.

Los diversos atributos y tanta información preliminar como sea posible debiese ser considerada en el proceso de selección. Un proceso sistemático de revisión y técnicas de toma de decisiones ayudan a evitar verse forzado a dar justificaciones inoportunas basado en decisiones precipitadas y mala preparación. Las partes interesadas debiesen estar conscientes de los posibles problemas que pueden ocurrir durante el proceso de selección, incluyendo deficiencias en las técnicas de toma de decisiones empleadas. El proceso de selección puede también ser afectado por problemas imprevistos de costo, tiempo y calidad.

Durante la preparación, ejecución y control de calidad del proceso de selección de controles, se debe utilizar una perspectiva crítica para señalar posibles problemas.

Motivos

A veces, la selección de controles se basa en justificaciones erradas. Las causas de estas justificaciones son a menudo miedo, incertidumbre y duda. Algunos representantes de productos poco éticos, pueden incluso aumentar estas condiciones para hacer crecer sus ventas a través del uso de la desinformación sutil y subliminal. A menudo se hace referencia a fuentes neutrales, pero la importancia de la referencia es enormemente exagerada o es presentada en el contexto incorrecto. El resultado final puede ser una inversión costosa e inadecuada, y un control por debajo de lo óptimo.

Por otra parte, actuar de manera precipitada y la mala preparación puede llevar a una justificación errada. Si los administradores deben reaccionar


2. La fase de patrocinio se utiliza para obtener la aceptación y el apoyo de la dirección ejecutiva y para seleccionar un patrocinador apropiado.

3. El primer paso de la toma de decisiones, es definir el problema que va a ser resuelto por dicha decisión. Esta etapa apunta a obtener un entendimiento de aquellos elementos (por ejemplo, la estrategia, el alcance, los activos, los riesgos, la protección y los involucrados) que serán factores importantes en el proceso de toma de decisiones.

4. Durante la identificación de atributos, el responsable de tomar la decisión debe considerar todos los atributos relevantes que serán utilizados para la evaluación de las alternativas de controles.

5. Después, el responsable de tomar la decisión también debe determinar la importancia de cada atributo mediante la realización de una evaluación de atributos.

6. La etapa de identificación de alternativas de controles, es un paso crucial y su resultado depende de la información que se puede obtener acerca de las alternativas disponibles, a través de la investigación de conocimiento en fuentes externas.

7. La etapa de evaluación de alternativas, es necesaria para valorar las alternativas respecto a los atributos pertinentes, para así crear una clasificación de rangos posterior.

Las ventajas de utilizar un proceso estructurado sobre un proceso no sistemático incluyen los siguientes:

• El problema a ser resuelto debe ser definido antes de iniciar la evaluación.

• La identificación y el uso de atributos facilitan la consideración de diferentes perspectivas dentro de la evaluación.

• El proceso de selección se organiza a través de pasos claramente establecidos, y a su vez se subdivide en subpartes que lo componen.

La manera en que se compone el proceso de selección de controles, a nivel de detalle, dependerá de la compañía que desarrolla y utiliza el proceso. En general, un proceso estructurado incluye la preparación de la selección, el estrechamiento de la toma de decisiones y las actividades para el aseguramiento de la calidad (figura 1).

Cada fase del proceso de selección se puede describir como sigue:

1. La fase de iniciación debiese estar basada en una razón sólida para la selección de un control específico, tomando en consideración la percepción de las partes interesadas sobre la seguridad de la información.

Figura 1—Selection Process

Source: S. Beissel. Reprinted with permission.


y el análisis envolvente de datos (DEA: Data envelopment analysis). Sin embargo, SAW y AHP proporcionan el mejor equilibrio entre una facilidad de comprensión y aplicación práctica para su uso en el sector empresarial.

Como la mayoría de las técnicas de toma de decisiones de múltiples atributos, SAW y AHP también vienen con desventajas potenciales que deben ser conocidas y, si es posible, evitar que sean incluidas:

• Las técnicas pueden ser manipuladas de muchas maneras posibles. Debido a que se utilizan cifras precisas y métodos de cálculo, la objetividad puede ser falseada. Debido a la subjetividad general en la ponderación y evaluación de los atributos, el resultado puede ser afectado significativamente por manipulación no detectada. A pesar de que la subjetividad puede ser reducida mediante la inclusión de expertos, no puede ser eliminada. Además, el responsable de la toma de decisiones tiene libertad de elección con respecto a la selección de los atributos.

• La adición de las diferentes evaluaciones implica la independencia de los atributos. Sin embargo, dependencias entre los atributos, tales como relaciones de competencia o complementarias, a menudo no se pueden evitar completamente. Por ejemplo, para un control, el nivel de protección y los servicios de soporte de un mismo vendedor, están a menudo estrechamente relacionados. En consecuencia, existe el riesgo de que los atributos con una dependencia fuerte conduzcan sin intención a una subvaloración o sobrevaloración de las alternativas de controles.

8. Basándose en la clasificación, la mejor alternativa (la alternativa con el rango más alto) puede ser identificada.

9. Documentar el proceso asegura que la toma de decisiones puede ser entendida por tercera partes, quienes luego pueden utilizar la documentación para obtener información sobre estos y reunir indicadores respecto de la corrección e integridad de las etapas realizadas.

10. Una segregación en la etapa de aprobación, sobre todo por la alta dirección, agrega un control de calidad adicional, a objeto que los resultados del proceso no sean mal utilizados.

Técnicas de toma de decisiones

Cuando se ve enfrenta la necesidad de seleccionar entre alternativas de control que poseen múltiples atributos, las técnicas de toma de decisiones más comunes son: adición simple de ponderadores (SAW: Simple additive weighting)1 y el proceso analítico jerárquico (AHP: Analytic hierarchy process)2. Ambas técnicas se basan en la misma secuencia general:

• Definir el problema.

• Identificar y evaluar los atributos.

• Identificar y evaluar las alternativas de control.

• Seleccionar la mejor alternativa.

Las diferencias se encuentran en los cálculos realizados para las evaluaciones. SAW utiliza cálculos que se basan en evaluaciones independientes de cada atributo y alternativas de controles, mientras que AHP usa comparaciones por pares de dos atributos o alternativas a la vez. Dado que estas diferentes técnicas incluyen métodos de cálculo diferentes, las mismas alternativas de controles pueden conducir a resultados diferentes, por ejemplo, una alternativa podría ser la más adecuada cuando use SAW, pero sólo una segunda opción cuando se utiliza AHP. La evaluación de resultados si los puntajes de las alternativas de controles están cerca el uno al otro puede llevar a esta situación.

También existen otras técnicas de toma de decisiones en el campo científico, por ejemplo, el proceso analítico de red (ANP: Analytic network process), la técnica de preferencia de orden por la similitud con solución ideal (TOPSIS: Technique for order preferance by similarity to ideal solution)

SAW y AHP proporcionan el mejor equilibrio entre una facilidad de comprensión y aplicación práctica para su uso en el sector empresarial.


Problema de identificación

El resultado del proceso de selección debiese ser revisado de forma crítica, para encontrar cualquier indicación que implique problemas potenciales en el proceso. Sólo los resultados que están libres de errores y dudas evidentes deben ser aprobados y utilizados para la adquisición e implantación de los controles seleccionados. Entre otras cosas, los siguientes escenarios pueden indicar problemas en

el proceso de selección:

• La definición del problema, incluyendo los requerimientos de la estrategia y de protección, ha cambiado durante el proceso o no fue suficientemente analizado desde el principio. Por lo tanto, la alta dirección tiene que asumir que el resultado no satisface por completo el problema de fondo.

• Las condiciones internas (por ejemplo, recursos y horarios) han sido pasados por alto o cambiado de modo que la solución recomendada en realidad no sería la mejor solución. Condiciones internas desfavorables también pueden dar lugar a importantes problemas en la aplicación.

• Las condiciones externas (por ejemplo, las leyes, los estándares o las condiciones del mercado) han cambiado por lo que el proceso inicial de toma de decisiones ya no es preciso. Algunos factores ambientales pueden conducir a nuevos requerimientos en la planificación o posibles problemas en la adquisición, implementación y aplicación de los controles.

• El proceso de toma de decisiones fue incorrecto o

• La mencionada adición de las evaluaciones también conduce a una suerte de sustitución de las diferentes calificaciones individuales. En particular, resultados parciales que se derivan de características muy malas de una alternativa de control pueden estar sustituidas con diferentes calificaciones de muy buenas características. Por lo tanto, los atributos individuales pueden ser ignorados. Incluso si los atributos se dividen en atributos de exclusión y de comparación, este problema se puede eliminar sólo parcialmente. Los atributos de comparación aún se ven afectados por una posible sustitución.

• El resultado global puede ser objeto de nivelación. En este caso, es probable que las debilidades o puntos fuertes de la mejor alternativa de controles ya no sean reconocibles en el resultado. Cuantos más atributos se consideren, lo más probable es que los resultados estén posicionados en la región media de la gama de las posibles de las puntuaciones globales.

• Debido a la evaluación de alternativas de control con atributos individuales, el problema general se desglosa en muchos problemas individuales. Esta descomposición es cuestionable, ya que, en primer lugar, el problema global ya no es claro y, en segundo lugar, existe el riesgo de que las evaluaciones de muchos problemas individuales conduzcan a una evaluación general indeseable. Si los atributos están en una relación de competencia entre sí, la mejora de una evaluación respecto a un único atributo puede conducir a la evaluación de otro atributo en competencia con un resultado inferior. Por ejemplo, la reducción de eventos falsos positivos en los sistemas de control de acceso biométrico a menudo conduce a un aumento de los eventos de falsos negativos.

Además de las desventajas particulares de las técnicas de toma de decisiones, pueden ocurrir dificultades generales durante la selección de unos controles. La empresa puede estar influenciada por el costo, el tiempo y los aspectos de calidad, mientras toma la decisión. Por ejemplo, la compañía podría centrarse en los costos de los controles y descuidar los costos del proceso de selección de controles. Varios eventos o actividades podrían ralentizar el proceso de selección por razones imprevistas y retrasar los planes de selección. Los errores y la información que es pasada por alto, pueden causar problemas de calidad en los resultados de la selección.

El proceso de selección de controles es crucial y no debe basarse en justificaciones defectuosas.


Conclusión

Cada compañía está interesada en encontrar los controles más apropiados para proteger a la empresa de manera adecuada y costo-efectiva. Por lo tanto, el proceso de selección de controles es crucial y no debe basarse en justificaciones defectuosas. Un proceso estructurado que permite el manejo de múltiples atributos es preferible a actividades no sistemáticas.

Este proceso también debe ser apoyado con una técnica de toma de decisiones que sea manejable y ofrezca resultados transparentes y comprensibles. Sin embargo, las desventajas comunes como la posibilidad de sustitución, nivelación, y sobre o subvaluación, deben ser considerados. El proceso de selección en general puede caracterizarse por varios problemas, los cuales no siempre pueden evitarse y, por lo tanto, deben ser revisados permanentemente, sobre todo cuando se verifica el resultado del proceso. Algunos indicadores de estos problemas son, entre otras cosas, cambios importantes en la definición del problema, así como modificaciones de las condiciones internas o externas, errores, documentación insuficiente, y posibles actividades fraudulentas. Sobre todo, se puede mejorar en gran medida la selección de controles de una empresa, centrándose no sólo en la evaluación de las alternativas de controles, sino también en el examen crítico del proceso de selección en sí.

Notas Finales

1 Fishburn, P. C.; “Additive Utilities With Incomplete Product Set: Applications to Priorities and Assignments,” Operations Research, vol. 15, iss. 3, April 1967, p. 537–542

2 Saaty, T. L.; “How to Make a Decision: The Analytic Hierarchy Process,” Interfaces, vol. 24, December 1994, p. 19–43

3 Nimwegen, S.; Prevention and Identification of Fraud: Possibilities of Internal Corporate Governance Elements, dissertation, University of Münster, Westfalen, Germany, 2009

4 American Institute of Certified Public Accountants, “AU Section 316—Consideration of Fraud in a Financial Statement Audit,” USA, 2002, www.aicpa.org/Research/Standards/AuditAttest/DownloadableDocuments/AU-00316.pdf

incompleto, lo que resulta en errores que pueden influir de manera significativa los resultados de la evaluación. Si un error esta relacionado con un atributo crítico, el ranking de las alternativas, incluso puede ser alterado. En este caso, la alternativa seleccionada no sería la mejor alternativa.

• La documentación del proceso de toma de decisiones no es suficiente en lo que respecta al alcance y la calidad. Si la documentación es insuficiente o faltante, la alta dirección puede rechazar el resultado del proceso de selección.

• El abuso de poder podría haber influido en el proceso de toma de decisiones. A menudo, este abuso puede legalmente ser categorizado como fraude, el cual es generalmente causado por la motivación, la justificación y la oportunidad, tal como se describe en el triángulo del fraude (figura 2)3. La evaluación de atributos es una de una serie de actividades que podrían haber sido explotados con abuso. La alta administración debiese ser consciente de las debilidades potenciales o medidas de control faltantes en el proceso de selección de controles. Las indicaciones de abuso deben ser tomadas en serio. Si el abuso parece haber afectado el resultado, la alta dirección debe rechazarla. Las indicaciones comunes para el abuso son discrepancias en los registros, evidencia en conflicto o falta de ella, y las relaciones problemáticas o inusuales entre las partes involucrados4.

Figura 2—Fraud Triangle

Source: S. Beissel. Reprinted with permission.


by Myles Mellorwww.themecrosswords.com puzzlepalabras cruzadas

15 Promise and then renege, 3 words19 Between, prefix20 What a hacker often uses to gain access, 2 words22 Details of a project23 Situation26 Confine28 __ __ rule (usually)31 Kind of fingerprint33 Doctrine34 1006 in Roman terms35 Before, prefix36 Transgression40 Event controller, abbr.

1 2 3 4 5 6 7

8 9 10 11 12

13

14 15 16

17 18 19 20 21

22 23

24 25

26 27 28 29 30

31

32 33 34 35 36 37

38 39 40

41 42 43

Answers on page 58

ACROSS

1 Primary task of a DBA, 3 words8 Gains access to10 Conforming to a perfect standard11 Unprocessed, as data13 Voice, as a grievance14 Elaborate overall plan for the future16 Half17 Point on an agenda18 Rental company caught up in moral issues

relating to tax withholding21 Technical department24 Relating to favoritism to relatives, especially in

promotions or job placements25 Interval in which repeating sequences of

actions occur26 Weight measure, for short27 Indication of damage29 Not using up-to-date technologies30 Zilch32 Tools to visually lay out the concepts relating to

a project, negotiation, etc., 2 words37 Temporarily obtain38 “Patience ___ virtue” 2 words39 Boundary41 Trademark, abbr.42 “Immorality of ____,” unwillingness to speak up

against unethical actions43 Time period

DOWN

1 Tending to control a situation rather than waiting for something to happen

2 Watching over and directing3 Verify4 Tarnish ethically5 Color6 In the proper manner7 Goal to be obtained9 Transcendental number12 One who alerts on unethical activities within a

company for which the person is working

CPEquizPrepared by Smita Totade, Ph.D., CISA, CISM, CGEIT, CRISC

Take the quiz online

#168 Based on Volume 3, 2016—Data PrivacyGane—1 Hora de CISA/CISM/CGEIT/CRISC Educación Profesional Contínua (CPE) Credit

quizVERDADERO O FALSO

ARTICULO VANDERPOOL

1 Una característica destacada de los reglamentos de protección de datos generales (GDRP) extiende el derecho popular para ser olvidado, una regla activa en la Unión Europea desde el año 2006, lo que permite a los usuarios exigir la eliminación de sus fotografías, vídeos o información personal de los registros de Internet encontrados por los motores de búsqueda.

2 El derecho a saber que ha sido hackeado es un componente popular de la GDPR y exige a las organizaciones que informe a una autoridad central tan pronto como sea posible cualquier violación de datos que representan un riesgo para los propietarios de datos.

3 Aunque muchos investigadores médicos no están contentos con los últimos cambios en la redacción GDPR, no hay actores atrapados en la mira de la GDPR.

4 El regulador de cualquier nación puede presentar una queja al regulador principal de presencia, dependiendo del lugar donde el demandante reside y donde se presenta la queja.

ARTICULO STOLBIKOVA

5 Los estudios muestran que el tiempo de diferentes procesadores llevan a cifrar y/o descifrar los datos puede ser 200 veces más lento de ECC que para una longitud equivalente RSA.

6 No sólo escaleras Montgomery tienen la ventaja de proporcionar multiplicación escalar rápida para ECC, sino que también tienden a comportarse de forma regular, enmascarando el cómputo contra el tiempo y los ataques de lado de los canales simples.

7 Los ataques Grover factorizan más fácilmente mediante la creación de una superposición variable en todas las entradas posibles, interferir estados que no son válidos y, en consecuencia, la búsqueda de las entradas que satisfacen una función dada.

8 ECC será más fácil de romper que los criptosistemas RSA debido a un requisito de qubits más bajos (en equivalentes de bits cuánticos tradicional).

9 Mientras que otros productos, como los automóviles, pueden ser probada su calidad por su propio fabricante o terceros autorizados, no hay ninguna garantía de que cualquier equipo podría encontrar de manera eficiente todas las deficiencias en un sistema criptográfico.

ARTICULO THARAKAN

10 Mediante el desarrollo y la utilización de un marco de gobierno de seguridad, el CISO puede garantizar que las estrategias de seguridad de la información están bien alineados con los objetivos de negocio y las leyes y regulaciones aplicables.

11 El CISO debe recoger información sobre la base de los indicadores de cumplimiento e informar al CEO de la eficacia del programa de seguridad de la información.

12 La externalización de las operaciones de seguridad es una buena opción para las organizaciones de gran tamaño, ya que les ayuda a reducir los problemas de mantenimiento de un ambiente siempre que funcione.

ARTICULO SERRANO

13 El análisis de los datos es una herramienta poderosa, pero la clave para el uso exitoso de los datos se basa en la comprensión de que está buscando o la aplicación de técnicas sistemáticas que se puede confiar para determinar las respuestas.

14 En el enfoque de SMART, el primer paso es recoger y gestionar datos y analizarlos, extraer conocimiento con ese análisis, y, finalmente, tomar decisiones basadas en el análisis realizado.

15 Las organizaciones de servicios no financieros no tuvieron en cuenta los requisitos reglamentarios como un riesgo clave, mientras que si lo hicieron las organizaciones financieras.

16 Políticas de gobierno de datos, procedimientos y controles deben ser implementadas con el fin de obtener los niveles de calidad de datos apropiados.


Get Noticed!

For more information, contact [email protected]

Advertise in the ISACA® Journal

Answers: Crossword by Myles Mellor See page 56 for the puzzle.

Name

Address

CISA, CGEIT, CISM or CRISC #

PLEASE PRINT OR TYPE

VANDERPOOL ARTICLE

1.

2.

3.

4.

STOLBIKOVA ARTICLE 5.

6. 7.

8. 9.

THARAKAN ARTICLE

10.

11.

12.

SERRANO ARTICLE 13.

14.

15.

16.

TRUE OR FALSE

THE ANSWER FORMBased on Volume 3, 2016

CPEquiz#167

Journal

Please confirm with other designation-granting professional bodies for their CPE qualification acceptance criteria. Quizzes may be submitted for grading only by current Journal subscribers. An electronic version of the quiz is available at www.isaca.org/cpequiz; it is graded online and is available to all interested parties. If choosing to submit using this print copy, please email, fax or mail your answers for grading. Return your answers and contact information by email to [email protected] or by fax to +1.847.253.1443. If you prefer to mail your quiz, in the US, send your CPE Quiz along with a stamped, self-addressed envelope, to ISACA International Headquarters, 3701 Algonquin Rd., #1010, Rolling Meadows, IL 60008 USA. Outside the US, ISACA will pay the postage to return your graded quiz. You need only to include an envelope with your address. You will be responsible for submitting your credit hours at year-end for CPE credits. A passing score of 75 percent will earn one hour of CISA, CGEIT, CISM or CRISC CPE credit.

P R O T E C T T H E D A T A

R V N A U U A

O P E N S I D E A L R A W

A I R U N Y G H

C S T R A T E G Y S E M I

T E E O T S

I T E M A I R B N B I T

V I S N A A S L

E N E P O T I C C Y C L E

G E E K K E B

L B S C A R O L D N I L

I D S N O A O

M I N D M A P S B O R R O W

I S A V R I M R I E

T M S I L E N C E H O U R

1 2 3 4 5 6 7

8 9 10 11 12

13

14 15 16

17 18 19 20 21

22 23

24 25

26 27 28 29 30

31

32 33 34 35 36 37

38 39 40

41 42 43


Guías y Estándares

Cumplimiento Miembro de ISACA y Portador de una Certificación

Aseguramiento y las habilidades necesarias para efectuar este tipo de compromisos requiere estándares que se apliquen específicamente a las auditorias SI y aseguramiento. El desarrollo y diseminación de las auditorias de SI y estándares de aseguramiento son una piedra angular de la contribución profesional de ISACA® con la comunidad de auditoria.

Auditorias SI y estándares de aseguramiento define los requisitos mandatorios para la auditoria SI.Ellos reportan e informan:

• Profesionales de Auditoria SI y aseguramiento del nivel mínimo aceptable del desempeño requerido para cumplir con las responsabilidades establecidas en el Código de Ética de Profesionales de ISACA.

• Gerentes y otras partes interesadas de las expectativas de la profesión relacionado con el trabajo de los practicantes.

• Poseedores de la designación de “Certified Information Systems Auditor® (CISA®) de requisitos. Si fallan en cumplir con estos estándares puede resultar en una investigación de la conducta del poseedor de CISA por la Junta de Directores de ISACA o comité apropiado y finalmente en una acción disciplinaria.

ITAFTM, 3rd Edition(www.isaca.org/itaf) provee un marco de referencia para múltiples niveles de guías:

Auditoria SI y Estándares de AseguramientoLos estándares han sido divididos en tres categorías:

• Estándares Generales (series 1000) – Son los principios guía bajo el cual la profesión de aseguramiento de SI opera. Aplica a la conducta de todas las asignaciones y hace frente con la auditoria SI y la ética del profesional de aseguramiento, independencia, objetividad y al debido cuidado como al conocimiento, competencia y habilidad.

• Estándar de Desempeño (series 1200) – Hace frente a la conducta de la asignación, como ser planear y supervisar, determinación del alcance, riesgo y materialidad, movilización de los recursos, supervisión y la gestión de asignación, auditoria y evidencia de aseguramiento, y el ejercicio de su juicio profesional y debido cuidado.

• Estándares de Reportar (series 1400) – Abordar los tipos de reportes, medios de comunicación y la información comunicada.

Por favor tomar nota que las nuevas guías son efectivas a partir del 1 de septiembre del 2014.

General1001 – Estatuto de Auditoria1002 – Independencia Organizacional1003 – Independencia Profesional1004 – Expectación Razonable1005 – Debido Cuidado Profesional1006 – Competencia1007 – Afirmaciones1008 – Criterio

Desempeño1201 – Planificación de Trabajo1202 – Evaluación de Riesgo en Planeación1203 – Desempeño y Supervisión1204 – Materialidad1205 – Evidencia1206 – Utilizando el Trabajo de otros Expertos1207 – Actos irregulares e ilegales

Reportes1401 – Reportando1402 – Seguimiento Actividades

IS Audit and Assurance Guidelines Las guías están diseñadas para apoyar directamente los estándares y ayudar a los practicantes lograr su alineación con los estándares. Estas siguen la misma categorización al igual que los estándares (también divididos en tres categorías):

• Guías Generales (series 2000)

• Guías de Desempeño (series 2200)

• Guías de Reportes (series 2400)

Por favor tomar nota que las nuevas guías son efectivas a partir del 1 de septiembre del 2014.

General2001 – Estatuto de Auditoria2002 – Independencia Organizacional2003 – Independencia Profesional2004 – Expectación Razonable2005 – Debido Cuidado Profesional2006 – Competencia2007 – Afirmaciones2008 – Criterio

Desempeño2201 – Planificación de Trabajo2202 – Evaluación de Riesgo en Planeación2203 – Desempeño y Supervisión2204 – Materialidad2205 – Evidencia2206 – Utilizando el Trabajo de otros Expertos2207 – Actos irregulares e ilegales2208 - Muestreo

Reporrtes2401 – Reportando2402 – Seguimiento Actividades

IHerramientas y técnicas de Auditoria SI y AseguramientoEstos documentos proveen de una guía adicional para los profesionales de auditoria SI y aseguramiento y consiste, entre otras cosas, de white papers, programas de Auditoria SI/Aseguramiento, libros de referencia y la familia de productos COBIT® 5. Herramientas y técnicas están listadas bajo www.isaca.org/itaf.

Un glosario sobre términos utilizados en ITAF lo puede encontrar en línea en www.isaca.org/glossary

Previamente de emitir cualquier nuevo Estándar o Guía, un borrador es emitido internacionalmente para consulta del público general.Comentarios también pueden ser enviados a la atención del Director de Privacidad y Practicas de Aseguramiento por correo ([email protected]) fax (+1.847.253.1443) o correo postal (ISACA International Headquartes, 3701, Algonquin Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).

Links a actuales y expuestos Estándares, Guías y Herramientas y Técnicas de ISACA están posteadas en www.isaca.org/standards.

Disclaimer: ISACA has designed this guidance as the minimum level of Disclaimer: ISACA ha designado esta guía como el nivel mínimo de desempeño aceptable requerido para cumplir con las responsabilidades de profesionales expuestas en el Código de Ética Profesional de ISACA. ISACA no garantiza que los usos de estos productos aseguraran un resultado exitoso. La orientación no debe ser considerada inclusive de cualquier procedimiento y pruebas propias o exclusivos de otros productos y pruebas que son razonablemente dirigidos para obtener los mismos resultados. Para determinar la conveniencia de cualquier procedimiento o prueba específica, los profesionales de control deben aplicar su propio juicio profesional a las circunstancias específicas de control presentados por los sistemas particulares o ambientes de SI.

herramientas y técnicas


EditorJennifer [email protected]

Assistant Editorial ManagerMaurita Jasper

Contributing EditorsSally Chan, CGEIT, CPA, CMAEd Gelbstein, Ph.D.Kamal Khan, CISA, CISSP, CITP, MBCSVasant Raval, DBA, CISASteven J. Ross, CISA, CBCP, CISSPSmita Totade, Ph.D., CISA, CISM, CGEIT,

CRISC

[email protected]

Media [email protected]

ReviewersMatt Altman, CISA, CISM, CGEIT, CRISCSanjiv Agarwala, CISA, CISM, CGEIT,

CISSP, ITIL, MBCICheolin Bae, CISA, CCIESunil Bakshi, CISA, CISM, CGEIT, CRISC,

ABCI, AMIIB, BS 25999 LI, CEH, CISSP, ISO 27001 LA, MCA, PMP

Brian Barnier, CGEIT, CRISCPascal A. Bizarro, CISAJerome Capirossi, CISAJoyce Chua, CISA, CISM, PMP, ITILv3Ashwin K. Chaudary, CISA, CISM, CGEIT,

CRISCBurhan Cimen, CISA, COBIT Foundation,

ISO 27001 LA, ITIL, PRINCE2Ian Cooke, CISA, CGEIT, CRISC, COBIT

Foundation, CFE, CPTS, DipFM, ITIL Foundation, Six Sigma Green Belt

Ken Doughty, CISA, CRISC, CBCPNikesh L. Dubey, CISA, CISM,

CRISC, CISSPRoss Dworman, CISM, GSLCRobert FindlayJohn FlowersJack Freund, CISA, CISM, CRISC,

CIPP, CISSP, PMPSailesh Gadia, CISAAmgad Gamal, CISA, COBIT Foundation,

CEH, CHFI, CISSP, ECSA, ISO 2000 LA/LP, ISO 27000 LA, MCDBA, MCITP, MCP, MCSE, MCT, PRINCE2

Robin Generous, CISA, CPAAnuj Goel, Ph.D., CISA, CGEIT,

CRISC, CISSP

Tushar Gokhale, CISA, CISM, CISSP, ISO 27001 LA

Tanja GrivicicManish Gupta, Ph.D., CISA, CISM,

CRISC, CISSPMike Hansen, CISA, CFEJeffrey Hare, CISA, CPA, CIASherry G. HollandJocelyn Howard, CISA, CISMP, CISSPFrancisco Igual, CISA, CGEIT, CISSPJennifer Inserro, CISA, CISSPKhawaja Faisal Javed, CISA, CRISC, CBCP,

ISMS LAMohammed Khan, CISA, CRISC, CIPMFarzan Kolini GIACMichael Krausz, ISO 27001Abbas Kudrati, CISA, CISM, CGEIT, CEH,

CHFI, EDRP, ISMSShruti Kulkarni, CISA, CRISC, CCSK, ITILBhanu KumarHiu Sing (Vincent) Lam, CISA, CPIT(BA),

ITIL, PMPEdward A. Lane, CISA, CCP, PMPRomulo Lomparte, CISA, CISM, CGEIT,

CRISC, CRMA, ISO 27002, IRCAJuan Macias, CISA, CRISCLarry Marks, CISA, CGEIT, CRISCNorman MarksTamer Marzouk, CISAKrysten McCabe, CISABrian McLaughlin, CISA, CISM, CRISC,

CIA, CISSP, CPABrian McSweeneyIrina Medvinskaya, CISM, FINRA, Series 99David Earl Mills, CISA, CGEIT, CRISC,

MCSERobert Moeller, CISA, CISSP, CPA, CSQERamu Muthiah, CISM, CRVPM, GSLC,

ITIL, PMPEzekiel Demetrio J. Navarro, CPAJonathan Neel, CISAAnas Olateju Oyewole, CISA, CISM, CRISC,

CISSP, CSOE, ITILPak Lok Poon, Ph.D., CISA, CSQA, MIEEEJohn Pouey, CISA, CISM, CRISC, CIASteve Primost, CISMParvathi Ramesh, CISA, CAAntonio Ramos Garcia, CISA, CISM, CRISC,

CDPP, ITILRon Roy, CISA, CRPLouisa Saunier, CISSP, PMP, Six Sigma

Green BeltDaniel Schindler, CISA, CIANrupak D. Shah, CISM, CCSK, CEH,

ECSA ITILShaharyak ShaikhSandeep SharmaCatherine Stevens, ITILJohannes Tekle, CISA, CFSA, CIARobert W. Theriot Jr., CISA, CRISCNancy Thompson, CISA, CISM,

CGEIT, PMP

Smita Totade, Ph.D., CISA, CISM, CGEIT, CRISC

Ilija Vadjon, CISASadir Vanderloot Sr., CISA, CISM, CCNA,

CCSA, NCSAAnthony Wallis, CISA, CRISC, CBCP, CIAKevin Wegryn, PMP, Security+, PFMPTashi WilliamsonEllis Wong, CISA, CRISC, CFE, CISSP

ISACA Board of Directors (2015–2016)ChairChristos Dimitriadis, Ph.D., CISA,

CISM, CRISC, ISO 20000 LA

Vice-chairTheresa Grafenstine, CISA, CGEIT, CRISC,

CGAP, CGMA, CIA, CPA

DirectorRosemary Amato, CISA, CMA, CPA

DirectorGarry Barnes, CISA, CISM, CGEIT,

CRISC, MAICD

DirectorRob Clyde, CISM

DirectorLeonard Ong, CISA, CISM, CGEIT,

CRISC, COBIT 5 Implementer and Assessor (Singapore), CFE, CFP, CGFA, CIPM, CIPT, CISSP ISSMP-ISSAA, CITBCM, CPP, CSSLP, GCIA, GCIH, GSNA, PMP

DirectorAndre Pitkowski, CGEIT, CRISC,

COBIT 5 Foundation, CRMA, ISO 27kLA, ISO 31kLA

DirectorEdward Schwartz, CISA, CISM, CAP,

CISSP, ISSEP, NSA-IAM, PMP, SSCP

DirectorZubin Chagpar, CISA, CISM, PMP

DirectorRaghu Iyer, CISA, CRISC

DirectorJo Stewart-Rattray, CISA, CISM,

CGEIT, CRISC

Past ChairRobert E Stroud, CGEIT, CRISC

Past ChairTony Hayes, CGEIT, AFCHSE, CHE, FACS,

FCPA, FIIA

Past ChairGreg Grocholski, CISA

Director and Chief Executive OfficerMatthew S. Loeb, CGEIT, CAE

ISACA® Journal, formerly Information Systems Control Journal, is published by the Information Systems Audit and Control Association® (ISACA®), a nonprofit organization created for the public in 1969. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors, employers or the editors of the Journal. ISACA Journal does not attest to the originality of authors’ content.

© 2016 ISACA. All rights reserved.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC) (www.copyright.com), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1944-1967), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

ISSN 1944-1967

Subscription Rates: US:one year (6 issues) $75.00

All international orders: one year (6 issues) $90.00.

Remittance must be made in US funds.

advertisers/ web sitesCapella University capella.edu/ISACA 3

Chiron Technology Services chirontech.com Back Cover

Saint Leo University SaintLeo.edu Inside Back Cover

Society of Corporate Compliance & Ethics complianceethicsinstitute.org 1

leaders and supporters