jueves, 13 de agosto de 2009

Risk IT Framework Exposure Draft (COBIT)

Enterprise Risk: Identify, Govern and Manage IT Risk, The Risk IT Framework Exposure Draft

El IT Governance Institute expuso recientemente un draft de la publicación denominada Enterprise Risk: Identify, Govern and Manage Risk, The Risk IT Framework.
  • El Marco de Riesgos de TI (The Risk IT Framework) es producto de la investigación y aporte de la experiencia conjunta de un equipo global de especialistas, cuya misión fue la de facilitar a la alta Gerencia, una administración efectiva de los riesgos de TI relacionados con el negocio, a partir de su identificación y evaluación.
  • Este marco representa el eslabón perdido entre el ERM (Enterprise Risk Management) y el IT Risk Management, cubriendo además en su totalidad el Marco IT Governance del ITGI. Asimismo, este marco se constituyó a partir de los componentes de riesgo relacionados dentro de los marcos actuales, es decir: COBIT y Val IT.

Principios y Bases:

  • El Marco de Riesgo de TI que plantea el ITGI (IT Governance Institute), explica los riesgos de TI y ayuda a quienes lo aplican para:
  1. Integrar la administración de los riesgos de TI, dentro de la administración general de los riesgos empresariales y estructuras de cumplimiento.
  2. Tomar decisiones bien informadas acerca del alcance del riesgo, del apetito al riesgo y su nivel de tolerancia.
  3. Entender cómo responder al riesgo.

  • Además, este Marco de Riesgo de TI atiende muchos aspectos que las organizaciones enfrentan actualmente y provee:
  1. Una apreciación muy atinada de los riesgos relacionados de TI presentes y de futuro inmediato, a través de toda la organización y de las bases con las cuales la organización puede atenderlos.
  2. Una guía punta-a-punta de cómo administrar los riesgos relacionados de TI, mas allá del alcance puramente técnico y de sus medidas de control y seguridad.
  3. Un entendimiento de cómo capitalizar la inversión hecha en un sistema de control interno de TI ya establecido, para administrar los riesgos relacionados de TI.

  • Un marco/lenguaje común para ayudar a administrar la relación entre los tomadores de decisiones (Comités / Alta Dirección), el CIO y la Gerencia a cargo de la administración de riesgos empresariales, ó entre los Auditores y la propia Dirección.

  • La promoción y la responsabilidad de los riesgos y su aceptación a través de toda la organización.
Marco de Riesgo de TI - ¿ A quienes esta dirigido?
  • A la alta Dirección y a sus Comités, quienes necesitan fijar el direccionamiento y monitoreo de los riesgos de toda la organización.
  • Gerentes de TI y departamentos de negocio, quienes necesitan definir un proceso de administración de riesgos.
  • Responsables y profesionales de administración de riesgos, quienes necesitan guías específicas para el manejo del riesgo de TI.
  • Externos relacionados.

Componentes de Riesgo de TI
El Marco tiene tres dominios: Risk Governance, Risk Evaluation y Risk Response divididos en 9 procesos de negocio. Cada uno contiene los siguientes 3 procesos:
Risk Governance (Gobierno del Riesgo)
- Establecimiento y Mantenimiento de una Visión Común de Riesgo
- Integración con ERM (Enterprise Risk Management)
- Toma de Decisiones de Negocio con una Conciencia del Riesgo

Risk Evaluation (Evaluación del Riesgo)
- Recolección de Datos
- Análisis de Riesgo
- Mantenimiento del Perfil de Riesgos

Risk Response (Respuesta al Riesgo)
- Articulando el Riesgo
- Administrando el Riesgo
- Reaccionando a Eventos

Fuente: ISACA Monterrey


Buenas prácticas en seguridad informática (ESET)

Al igual que las amenazas informáticas en general, los códigos maliciosos han ido evolucionando a la par de las tecnologías de información y comunicación, aumentando considerablemente el nivel de complejidad y agresión. Es por ello que la visión y la filosofía de ESET contemplan la protección de manera proactiva, no sólo a través de sus soluciones de seguridad, sino también a través de la educación.

Autor: Jorge Mieres, Analista de Seguridad de ESET Latinoamérica.

En el informe "Buenas prácticas en seguridad informática" se analizan diferentes medidas de seguridad que pueden adoptarse para minimizar los riesgos de que el usuario sea víctima de los ataques informáticos más actuales.

Plantillas de Politicas y de otros documentos de seguridad

La empresa Callio Technologies, publico en su web una serie de plantillas de ejemplo relacionadas con la seguridad de la información:

Security templates Examples