Archivo de la categoría: Gestión de Riesgos

El Esquema Nacional de Seguridad se publica en el BOE

Se ha publicado en el Boletín Oficial de Estado, BOE, el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Ver entrada anterior: El Consejo de Ministros aprueba los Esquemas nacionales de interoperabilidad y de seguridad para la administración electrónica.

La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Este real decreto establece los principios básicos y requisitos mínimos que, de acuerdo con el interés general, naturaleza y complejidad de la materia regulada, permiten una protección adecuada de la información y los servicios, lo que exige incluir el alcance y procedimiento para gestionar la seguridad electrónica de los sistemas que tratan información de las Administraciones públicas en el ámbito de la Ley 11/2007, de 22 de junio. Con ello, se logra un común denominador normativo, que no agota la regulación de más objetivos  de seguridad, aparte de estos básicos, por políticas legislativas que se adopten en el futuro a nivel territorial.

Sigue leyendo

La seguridad de la información gana peso en las compañías de todo el mundo

Según la séptima encuesta global sobre el Estado de la Seguridad de la Información, elaborada por PricewaterhouseCoopers y las revistas especializadas CIO y CSO Magazine, entre más de 7.200 líderes empresariales de 130 países, pese a la situación de recesión económica, las inversiones en  seguridad de la información no tendrán recortes en las empresas. El 63% de los encuestados afirma que la inversión en seguridad se incrementará o se mantendrá estable en 2010.

A nivel global, el 65% de los entrevistados aseguran que en la actualidad sus compañías disponen de una estrategia global de seguridad de la información. En general, la recesión se ha convertido en el primer y principal motivo para impulsar la inversión en seguridad en las empresas. En muchos casos la seguridad se percibe como una ayuda a la hora de mitigar posibles riesgos asociados a aspectos como la globalización. Todo esto ha contribuido a alinear los objetivos de los responsables de seguridad con los propios de la compañía y por lo tanto, los líderes empresariales han dotado a la seguridad de la información de una cierta relevancia.

Sigue leyendo

Una gran parte de los administradores de Tecnologías de la Información no respetan la información privilegiada que custodian.

En un estudio realizado por la consultora de seguridad Cyber-Ark en Estados Unidos y Gran Bretaña, un 35% de los administradores consultados admite haber accedido a información confidencial de sus empresas.  Accediendo a liquidaciones de sueldo de otros empleados de la empresa, bases de datos de los clientes o documentos de la gerencia sobre despidos o estrategias de negocios. Aunque, se trata de informaciones a las que técnicamente pueden tener acceso, no deberían acceder a ellas.

Los administradores TI consultados  que fueron consultados afirmaron que se llevarían la información propiedad de la empresa en el caso de ser despedidos.

Sigue leyendo

IT Governance Institute lanza nueva guía de riesgo empresarial para organizaciones afectadas por el acuerdo Basilea II.

La identificación y cálculo de los riesgos operaciones son enormes retos para los bancos y las organizaciones de servicios financieros. Con el fin de ayudar a las organizaciones a que cumplan estos retos, la organización independiente y sin ánimo de lucro IT Governance Institute, ITGI, ha publicado la nueva guía titulada «IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance». (Objetivos de Control TI para el acuerdo Basilea II: La importancia del gobierno corporativo y de la gestión del riesgo para el cumplimiento normativo).

La guía, desarrollada por personas de diversas organizaciones de servicios financieros y asesores bancarios, imita el formato y objetivo de la publicación de ITGI, IT Control Objectives for Sarbanes-Oxley. (Objetivos de control TI para la Sarbanes-Oxley). Ver la entrada anterior: Objetivos de Control para la Sarbanes-Oxley.

Sigue leyendo

La gestión de los riesgos será el cuarto factor clave para el rendimiento de la empresa, junto con las personas, los procesos y la tecnología.

Según un estudio llevado a cabo por The Economist Intelligence Unit por encargo de KPMG International, la gestión y el control de riesgos gana importancia, todavía lentamente, en el día a día de los consejos de administración, las empresas ya aceptan que el departamento encargado de gestionar y controlar los riesgos puede asumir un papel más estratégico y generar un impacto real en el rendimiento de la empresa, aunque este cambio se producirá lentamente, ya que sólo el 50% de las empresas encuestadas opina que este objetivo es alcanzable en los próximos tres años.

Uno de los principales obstáculos al respecto parece ser la falta de entendimiento de las cuestiones de riesgos o el hecho de no contar con una cultura corporativa debidamente sensibilizada con los riesgos de su propio negocio.

Sigue leyendo

Objetivos de Control para la Sarbanes-Oxley.

ISACA ha publicado la segunda edición de la guía IT Control Objectives for Sarbanes-Oxley. Está especialmente orientado a la Gerencia, gestores de TI, así como profesionales de la Auditoría en general, que tengan que tratar con procesos de validación y conformidad de la Ley Sarbanes-Oxley (SOX).

La fuente de este documento es COBIT 4.0 y ofrece una guía sobre que elementos se necesitan y cómo ver y adaptar sus controles.

El nuevo texto de 128 páginas, incorpora:

  • Un mayor enfoque en la monitorización y la asesoría de riesgos.
  • Asesoría especializada en definir y priorizar controles relevantes.
  • Especificaciones para identificar y organizar controles de aplicación y aplicar casos de negocio para su utilización.
  • Un plan de acción simplificado.
  • Una referencia directa a los procesos del COBIT 4.0
  • Una incursión al manejo de conflictos de personal y culturales para resaltar los factores humanos que se deben considerar referentes a Sarbanes-Oxley.

Esta segunda edición contiene la actualización necesaria a raíz de los cambios importantes introducidos por SEC (U.S. Securities and Exchange Commission) y la PCAOB (The Public Company Accounting Oversight Board), al emitir dictámenes que complementan aspectos con implicación, entre otros, en la gestión de riesgo, los controles de aplicación y la evaluación de deficiencias.

SOX

La Ley Sarbanes-Oxley esta vigente en Estados Unidos desde el año 2002 y su propósito es fortalecer los gobiernos Corporativos (de las Sociedades Anónimas) y restituir la confianza de los inversionistas. Es ley fue promovida por el Senador, Paul Sarbanes y el Representante, Michael Oxley.

Compuesta por 11 títulos, obliga a requisitos rígidos para la contabilidad de las empresas. Los diversos títulos y secciones de SOX definen las responsabilidades de administración en los reportes anuales y semestrales, el ambiente del control, gestión de riesgo, el monitoreo y la medición de las actividades de control. La organización encargada de implementar esta ley y verificar su cumplimiento es la SEC.

La ley también obliga a las compañías extranjeras que cotizan en las bolsas de Estados Unidos y añade nuevas obligaciones para la administración y las empresas de Auditoria.

Existen 3 secciones que involucran directamente a los departamentos de TI, la 302, 404 y 409:

La cláusula 302. Habla de la obligación de generar informes donde se muestre el resultado financiero de la empresa y que este debe de estar avaluado en cuanto a su integridad.

La cláusula 404. Obliga a la existencia de procedimientos y políticas que aseguren la integridad de la información así como la disponibilidad de ella y se refiere a normas para mantener la documentación de los sistemas al día y mecanismos para controlar las modificaciones que sufren los sistemas.

La cláusula 409. Indica que toda organización debe de notificar en menos de 48 hrs. cuando uno de los procesos de la cadena de proveedores no va a ser entregado a tiempo y esto afecte de manera seria a las ventas de la organización.

Esta ley no sólo obliga a la alta Gerencia a establecer los adecuados controles internos, sino que cuenta con una sección de normas y reglas que dispone que los Auditores deben incluir en sus trabajos:

  • El alcance de las pruebas del auditor de la estructura de control interno.
  • Los hallazgos del auditor con respectos a dicha pruebas.
  • La evaluación de la estructura de control.