Cinco consejos para aprovechar el Business Intelligence

Categorías relacionadas:

cinco-business-intelligence

Para garantizar la competitividad de una empresa se deben buscar soluciones que les generen ventajas competitivas en cuanto al análisis y recopilación de datos, facilitando la toma de decisiones estratégicas que optimicen la gestión de las diversas áreas y sectores de cada empresa.

Leer más...



Sectores estratégicos de gobierno e industria, bajo amenaza

Categorías relacionadas:

La interrupción de las operaciones organizacionales es una de las principales preocupaciones relacionadas con riesgos de alto impacto. Al respecto, BSI ha desarrollado estándares y procesos de certificación que permiten prevenir o reducir sus efectos, incrementando al mismo tiempo la capacidad de respuesta y resiliencia.

Leer más...



El CIO debe considerar a las líneas de negocio como sus aliados de TI

Categorías relacionadas:

En la nueva era de la Tercera Plataforma de TI, donde la movilidad y seguridad dictan nuevas normas de la infraestructura de TI, las líneas de negocio (LoB) deben actuar como aliados estratégicos y viceversa.

Uno de los aliados más importantes que los CIO deben tener en cuenta para el desarrollo y administración de la infraestructura de TI son las diferentes líneas de negocio. Hace apenas 10 años, prácticamente toda la infraestructura tecnológica era comprada, gestionada y administrada exclusivamente por el área de TI de las organizaciones. No obstante, desde 2010 se ha identificado un alto nivel de participación de las diferentes líneas de negocio en actividades que parecían exclusivas de Tecnologías de Información, lo cual le da un interesante giro al paradigma.

Actualmente el 40% de las empresas involucran a las líneas de negocio en la toma de decisiones de infraestructura en áreas tales como: dispositivos para usuario final, seguridad y computación en la nube. Sin embargo, menos de un tercio de los ejecutivos de TI dicen que están colaborando eficazmente con los líderes de línea de negocio para proporcionar soluciones de infraestructura de TI para apoyar sus servicios.

Es por ello que las organizaciones que fomenten la planificación de TI en colaboración, tendrán más probabilidades de alcanzar los resultados empresariales esperados; de igual forma, presentarán una mayor preparación en las áreas de la nube, movilidad, social y herramientas de colaboración, Big Data y Analítica.

Hablando en términos de seguridad, uno de los retos que se presentan actualmente es estar preparado para operar en la Tercera Plataforma, por lo que es indispensable colaborar y servir como asesores a través de toda la empresa.

Debemos considerar todas las amenazas, no sólo las enfocadas en hackers, crackers o delitos cibernéticos sino también en cómo la gente está administrando dichas amenazas y cómo deberán hacerlo en el futuro.

Por ejemplo, en una encuesta realizada por IDC a las líneas de negocio de las principales empresas en la región, el 80% mencionaron que la seguridad ha sido obstáculo para uno o más procesos de innovación durante este año.

En las organizaciones donde dicha planificación colaborativa se lleva a cabo, hay un mayor potenciamiento para el desarrollo de estrategias frente a la infraestructura total de TI y para medir el desempeño de sus operaciones. Los encargados de las diferentes líneas de negocio también están apoyados en equipos multifuncionales que trabajan en silos de fundamentos tradicionales enfocados en su proceso operativo, alrededor del triángulo de fuerzas que se están convirtiendo cada vez más y más prominentes para el futuro de la seguridad.

Dado que algunas de las soluciones más recurrentemente adquiridas fuera del área de TI están relacionadas con aplicaciones de software (Administración de ventas Cloud, analítica, BI, etc.), pueden o no estar alineadas con la estrategia y parámetros de TI. Algunos elementos que recomendamos tomar en cuenta son:

  • Integrar en el proceso consultivo de servicios Cloud las variables de responsabilidad para su plan de BCP o DRP.
  • Ejecutar un diagnóstico de seguridad para sus procesos de negocio en la nube bajo un estándar como ISO 27001.
  • Tener un enfoque de seguridad de la próxima generación en innovación acelerada mediante el mejoramiento de la experiencia de usuario, reduciendo riesgos y minimizando costos.
  • Certificar “sus” futuros proyectos de TI, integrando en el proceso consultivo de servicios Cloud las variables de responsabilidad para su plan de BCP o DRP para cada línea de negocio.

Los participantes en las conversaciones de TI están cambiando, y ya no es sólo el debate exclusivamente entre los líderes de centros de datos y los arquitectos de TI, sino que el negocio  per sé está tomando un rol mucho más activo para la infraestructura de TI y debe ser entendido por el CIO y la organización, para traducirla en un ROI tangible.

__________

idc-oscar-guzmanEl autor de este artículo, Oscar Guzmán, es Gerente de Consultoría en IDC LA, oguzman@idc.com

Leer más...



¿Qué deben esperar las empresas mexicanas sobre la nueva ISO 27001?

Categorías relacionadas:

La información tiene una importancia fundamental para el funcionamiento y la supervivencia de las empresas, ¿pero de qué les sirve a éstas contar con una certificación en ISO27001? ISO27001 ayuda a gestionar y proteger uno de los principales y más valiosos activos que posee toda organización, la información.

La norma se ha creado para garantizar la selección de controles de seguridad adecuados y proporcionales. Es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI).

Dichos controles ayudan a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI.

ISO/IEC 27001 es una norma adecuada para cualquier organización grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en los sectores público, finanzas, sanidad y tecnologías de la información (TI).

Dicha norma también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI, porque puede utilizarse para garantizar a los clientes que su información está protegida.

Algunos cambios clave en el estándar son:

• Cambios a la terminología utilizada. Ahora se utilizará política de seguridad de la información en lugar del término política SGSI.

• El término “acciones preventivas” se ha reemplazado por “medidas para hacer frente a riesgos y oportunidades”.

• Se hace mayor énfasis en el establecimiento de objetivos, la supervisión del rendimiento y las métricas.

La enorme importancia de las partes interesadas, que pueden incluir a los accionistas, autoridades (incluidos los requisitos legales y reglamentarios), clientes, socios, entre otros; se reconoce en la nueva norma ISO 27001. Hay una cláusula independiente que especifica que todas las partes interesadas deben estar en la lista, junto el resto de los requerimientos.

Los conceptos “documentos” y “registros” se combinaron, de modo que ahora se denomina “información documentada”.

Los activos, las vulnerabilidades y las amenazas ya no son la base de la evaluación de riesgos, sólo se requiere identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad. Aunque esto puede parecer un cambio demasiado radical, los autores de la nueva norma quieren permitir una mayor libertad en la forma en que se identifican los riesgos, pero se asume que la metodología de activos-vulnerabilidad-amenazas se mantendrá como una buena práctica por mucho tiempo.

Las acciones correctivas y preventivas:

Uno de los cambios más importantes es que ya no hay medidas preventivas, por lo menos no a primera vista. Básicamente, se fusionaron en la evaluación del riesgo y el tratamiento, al que naturalmente pertenecen.

Con respecto al anexo de controles, se ha reducido la cantidad de 133 a 113, algunos de ellos han sido eliminados, otros han sido fusionados y se han integrando nuevos.

La nueva norma ISO 27001 pretende ser más fácil de integrar con otras normas como ISO 9001, ISO 22301, ISO 20000 y también deja una mayor libertad para las empresas (especialmente las pequeñas) para escalar el SGSI a sus necesidades reales y así evitar una sobrecarga innecesaria. Sin embargo, esto también puede llegar a ser la mayor debilidad de esta nueva norma: a causa de sus definiciones sueltas, algunas empresas pueden tratar de centrarse en la satisfacción de los requisitos mínimos en lugar de centrarse en aumentar la seguridad. En otras palabras, para las empresas que tienen buenas intenciones y realmente quieren aumentar su nivel de seguridad será más fácil ahora cumplir con el estándar.

Mario Ureña, Instructor de BSI

Leer más...