Tomado de: ARTICULO ORIGINAL
La adopción del concepto BYOD (Bring Your Own Device) en América
Latina es algo que aún está a medio camino. Al menos así se demuestra en
la más reciente encuesta de riesgos realizada por ISACA a nivel
internacional, y en donde las respuestas de los participantes de México y
América Latina dejan ver que la consumerización, o el uso de dispositivos personales para fines de trabajo, no es del todo aceptado.
La adopción del concepto BYOD (Bring Your Own Device) en América
Latina es algo que aún está a medio camino. Al menos así se demuestra en
la más reciente encuesta de riesgos realizada por ISACA a nivel
internacional, y en donde las respuestas de los participantes de México y
América Latina dejan ver que la consumerización, o el uso de dispositivos personales para fines de trabajo, no es del todo aceptado.
De
acuerdo con la encuesta, poco más de la mitad de los respondientes en
América Latina (52%) considera que los riesgos de utilizar dispositivos
móviles para transportar datos corporativos son mayores que los
beneficios que se podrían obtener. En México, esta cifra es un poco
mayor (57%).
Sin embargo, cabe resaltar que 44% de las respuestas
de los encuestados latinoamericanos indican que su organización no
cuenta con políticas de seguridad para la gestión de los dispositivos
móviles. En México, el número de compañías que no cuenta con políticas
de seguridad aumenta a 47%, lo cual deja ver que el temor de los
administradores de TI sobre el uso de BYOD puede estar relacionado con
un desconocimiento sobre la forma en que pueden controlar el acceso a
los datos corporativos desde estos dispositivos.
Sin embargo, organizaciones sin fines de lucro y asociaciones internacionales, como ISACA, promueven constantemente el uso de mejores prácticas,
toda vez que generan documentación de valor con metodologías apegadas a
estándares internacionales. En este sentido, ISACA liberó recientemente
la nueva versión para el framework CobIT, el cual integra ahora
lineamientos sobre gestión de riesgos y seguridad de la información.
SearchDataCenter
en Español platicó con Salomón Rico, miembro del consejo de
conocimiento de ISACA en México, sobre las actualizaciones a CobIT 5 y
la forma en que este estándar apoya a las organizaciones en la
planeación e implementación de su estrategia de seguridad informática.SDC: ¿Cuál es la diferencia entre CobIT 5 y otros estándares internacionales?
SR:
La seguridad no funciona si no se aplica un modelo. El principal valor
de CobIT 5 es precisamente la gran diversidad de modelos y estándares a
nivel global, resultado del trabajo de un gran grupo de practicantes de
diversas regiones geográficas, quienes analizan y desarrollan un
paraguas general que abarca estándares específicos para seguridad,
riesgos, etc.
El principal valor agregado es que no pretende
sustituir los frameworks usados en las empresas, sino aportar elementos
adicionales como el tema de madurez en los procesos de TI (ahora
denominados capacidades en los procesos). CobIT 5 ofrece una visión
holísitca en temas de gestión y gobierno, que se complementa con guías o
publicaciones adicionales, específicas, para temas de riesgos,
cumplimiento, aseguramiento, gobierno de TI, etc.
CobIT 5 integra el framework de riesgos anteriormente llamado Risk IT, y la evolución se denominará CobIT 5 for Risk Management. De la misma manera, las publicaciones sobre aseguramiento cubrirán temas de auditoría.
SDC: ¿Cómo ayuda la implementación de CobIT 5 para que las organizaciones enfrenten amenazas de seguridad, como ataques DDoS y APT?
SR: CobIT 5 tiene un enfoque integral y holístico
que abarca aspectos que suelen perderse de vista en las empresas,
proporcionando habilitadores que indican cuándo se necesitan procesos,
recursos, marcos normativos, personal, servicios de TI, aplicaciones,
infraestructura, etc. Me parece que ese es el principal valor de este
framework, la forma en que esos habilitadores, desde la perspectiva de
seguridad informática, deben ser considerados dentro de un negocio; ahí
es donde se percibe si hay políticas o procesos que se escapan y es
posible, entonces, adoptar un enfoque completamente holístico.
SDC: ¿Cuál es el nivel de adopción de CobIT en América Latina?
SR: Históricamente,
CobIT desde su lanzamiento se ha convertido en estándar de facto en
muchas geografías, aunque generalmente las empresas reguladas son las
primeras en adoptar el modelo de control CobIT, me refiero a reguladas
por la bolsa, por ejemplo, o como el sector financiero; estas empresas,
además, pueden implementar iniciativas de ITIL e ISO 27000.
La
realidad geográfica de Latinoamérica muestra dos grupos: las empresas
reguladas y las demás, y no me queda duda de que en el sector de las
empresas reguladas, el estándar es CobIT. Pero en el mundo de las empresas no reguladas
(aproximadamente un 80% de las compañías en la región) los estándares
suelen adoptarse si están buscando mejores prácticas o porque ven lo que
están haciendo los demás; ahí el nivel de adopción aún es muy bajo, es
donde más labor hay que hacer.
SDC: ¿Qué tipo de capacitación o certificaciones acompañan a la nueva versión de CobIT?
SR:
Además de CRISC y CobIT 5, se está trabajando no en un certificado de
experiencia sino en una constancia de conocimientos y se está
promoviendo masivamente el tema de fundamentos de CobIT 5. Además, ISACA
busca llegar más lejos en cuanto a la certificación para las empresas,
algo que ya está en evaluación.
SDC: ¿En qué más está trabajando ISACA?
SR:
El tema de la privacidad de los datos y la información. Hoy ISACA está
trabajando mucho en empezar a generar contenido y modelos que resuelvan
la problemática de la privacidad de la información, algo que está
surgiendo en todos los países. Se están desarrollando contenidos
relacionados con este tema, además de publicaciones sobre auditoría y
riesgos, pero el tema de privacidad es un tópico caliente y se está
trabajando mucho en liberar algo para los profesionales.
SDC: En este sentido, la más reciente encuesta de Prioridades de TI realizada por TechTarget arrojó que el tema de la protección de datos acapara la atención y las estrategias de 77% de los CIO y gerentes de TI en México y América Latina.
A esta preocupación le
siguen la gestión de accesos e identidades (53%), la seguridad de redes
(52%), la detección y control de amenazas (43%), la seguridad de las
aplicaciones (41%) y la gestión de vulnerabilidades (40%).
En
este contexto, ¿cuáles son las mejores prácticas o recomendaciones para
que las empresas se protejan contra amenazas cibernéticas?
SR: La
principal, en mi experiencia, es que lo más fácil es que la
implementación es más fácil cuando el dueño o director general de una
organización es quien adopta la bandera de buenas prácticas de gobierno
para el negocio; de otro modo, difícilmente van a caminar las
iniciativas que tienen que ver con TI o seguridad de la información. El
enfoque tiene que ser obligado desde arriba hacia abajo, pero cuando es
necesario que el área de TI impulse la iniciativa hay varios caminos,
como el del terror (ése de espantar a los ejecutivos para conseguir la
atención); sin embargo, creo que funciona más el realizar ejercicios
sobre el valor de la información, que frecuentemente no se hace en las
áreas de TI.
Cuando se logran establecer métricas sobre el valor
de la información y el impacto de no tenerla disponible, es cuando se
gana el patrocinio hacia iniciativas relacionadas. Cuando no hay un
requerimiento de cumplimiento, no hay leyes, entonces el camino será
demostrar el valor de la información; ésa es mi sugerencia.
Por
otro lado, ISACA continuamente genera publicaciones para satisfacer las
perspectivas del responsable del gobierno de TI, del responsable de
aseguramiento, el de gestión y control de riesgos y el usuario de TI.
No hay comentarios:
Publicar un comentario