Garantizar continuidad de servicios a comunidad universitaria: Alberto Zambrano Elizondo, CIO de la UANL

Categorías relacionadas:
Administración, Administración, Administración de proyectos, Administración de proyectos, Cómo hacerlo, CIO100, Del día, Destacado, Estrategia CIO, Experiencia de Usuario, Experiencia del Cliente, Innovación, Management, Mejores prácticas, Mejores prácticas, Proyectos de TI, Rol del CIO

CIO100 2018 Gobierno

PROYECTO: Plan de continuidad para los servicios de TI.

DESCRIPCIÓN: A fin de asegurar la continuidad de los servicios de TI estratégicos para la Universidad Autónoma de Nuevo León (UANL), se desarrolló un plan bajo las mejores prácticas ISO 20000 e ITIL que permiten reestablecer la operación de la institución en el menor tiempo posible.

Leer más...



Armando una arquitectura de seguridad eficiente

Categorías relacionadas:
Blog, Cómo hacerlo, Cloud / Nube, Continuidad, Continuidad de negocios, CSO, Destacado, Estrategia CIO, Estrategias, Identidad y Accesos, Malware y Amenazas, Mejores prácticas, Políticas y normas, Protección de datos, Rol del CIO, Seguridad, Seguridad, Seguridad, Tecnologías, Tips

blog-thompson-arquitectura-seguridad

La gran mayoría de los que leemos los artículos de CIO México hacemos inversiones diversas en seguridad ya sea desde next generation firewalls, detectores de intrusos, antivirus, antispyware, web filtering o prevención de perdida de datos. Asimismo, muchos fundamentamos la metodología en ISO 27000, aunque no necesariamente se obtenga el certificado para la entidad. Sin embargo, la piedra angular de una arquitectura de seguridad son los usuarios; es a ellos donde debes enfocar el inicio de tu estrategia.

Leer más...



Siete respuestas a la gobernanza de datos

Categorías relacionadas:
Administración, Administración, Administración de proyectos, Administración del riesgo, Cómo hacerlo, Lo más reciente, Lo más reciente, Mejores prácticas, Principal, Tendencias, Tendencias

Gobernanza-TI

La gobernanza de TI es un marco formal que proporciona una estructura para que las organizaciones se aseguren de que las inversiones en TI respalden los objetivos empresariales. La necesidad de prácticas formales de gobierno corporativo y de TI en las organizaciones estadounidenses se vio impulsada por la promulgación de leyes y regulaciones, incluyendo la Ley Gramm-Leach-Bliley (GLBA) y la Ley Sarbanes-Oxley, en los años 1990 y principios de la década de 2000, que resultaron de las consecuencias de varios casos de fraude y engaño corporativo de alto perfil.

Me comuniqué con Paul Calatayud, director de tecnología de FireMon, para que me diera su opinión sobre el gobierno de TI y lo que se requiere para una implementación exitosa. Calatayud lidera el programa de desarrollo corporativo de Firemon y proporciona liderazgo intelectual en cuanto a estrategia de producto, gestión de producto e investigación y desarrollo. También es instructor del Instituto SANS y miembro de consejos asesores para varias empresas relacionadas con la seguridad.

1- ¿Qué es el gobierno de TI?
Esencialmente, el gobierno de TI proporciona una estructura para alinear la estrategia de TI con la estrategia de negocio. Siguiendo un marco formal, las organizaciones pueden producir resultados mensurables hacia el logro de sus estrategias y metas. Un programa formal también tiene en cuenta los intereses de las partes interesadas, así como las necesidades del personal y los procesos que siguen. En general, la gobernanza de TI es una parte integral de la gobernanza global de la empresa.

2- ¿Cuál es la relación entre el gobierno de TI y GRC (gobernanza, riesgo y cumplimiento)?
Según Calatayud, el gobierno de TI y el GRC son prácticamente lo mismo. “Mientras que GRC es el programa padre, lo que determina qué marco de trabajo se utiliza es a menudo la colocación del CISO y el alcance del programa de seguridad. Por ejemplo, cuando un CISO reporta al CIO, el alcance de GRC es a menudo enfocado en TI. Cuando los informes de seguridad se reportan fuera de TI, GRC puede cubrir más riesgos empresariales más allá de TI”.

3- ¿Por qué las organizaciones implementan infraestructuras de gobierno de TI?
Las organizaciones de hoy en día están sujetas a muchas regulaciones que rigen la protección de información confidencial, responsabilidad financiera, retención de datos y recuperación de desastres, entre otras. También están bajo la presión de los accionistas, las partes interesadas y los clientes.

Para asegurar que cumplan con los requisitos internos y externos, muchas organizaciones implementan un programa formal de gobierno de TI que proporciona un marco de mejores prácticas y controles.

4.-¿Qué tipo de organización utiliza el gobierno de TI?
Tanto las organizaciones del sector público como las del sector privado necesitan una forma de garantizar que sus funciones de TI respalden las estrategias y objetivos empresariales. Y un programa formal de gobierno de TI debe estar en el radar de cualquier organización en cualquier industria que necesite cumplir con las regulaciones relacionadas con la responsabilidad financiera y tecnológica. Sin embargo, la implementación de un programa de gobierno de TI integral requiere mucho tiempo y esfuerzo. En los casos en que entidades muy pequeñas puedan practicar sólo métodos esenciales de gobierno de TI, el objetivo de organizaciones más grandes y reguladas debería ser un programa de gobierno de TI completo.

5- ¿Cómo implementa un programa de gobierno de TI?
La forma más fácil es comenzar con un marco de trabajo creado por expertos del sector y utilizado por miles de organizaciones. Muchos marcos de trabajo incluyen guías de implementación para ayudar a las organizaciones a implementar un programa de gobierno de TI con menos golpes de velocidad.

Los marcos más comúnmente utilizados son:

COBIT: Publicado por ISACA, COBIT es un marco integral de “prácticas globalmente aceptadas, herramientas analíticas y modelos” (PDF) diseñado para el gobierno y la gestión de TI empresarial. Con sus raíces en la auditoría de TI, ISACA expandió el alcance de COBIT a través de los años para apoyar completamente el gobierno de TI. La última versión es COBIT 5, ampliamente utilizada por las organizaciones enfocadas a la gestión y mitigación de riesgos.

ITIL: Antiguamente un acrónimo de Information Technology Infrastructure Library, ITIL se centra en la gestión de servicios de TI. Su objetivo es garantizar que los servicios de TI respalden los procesos básicos del negocio. ITIL comprende cinco conjuntos de mejores prácticas de gestión para la estrategia de servicios, el diseño, la transición (tales como la gestión del cambio), la operación y la mejora continua del servicio.

COSO: Este modelo para evaluar los controles internos es del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO). COSO se centra menos en TI que en otros marcos, concentrándose más en aspectos empresariales como la gestión de riesgos empresariales (ERM) y la disuasión del fraude.

CMMI: El método de integración de modelos de madurez de capacidades (CMMI), desarrollado por el Software Engineering Institute, es un enfoque para la mejora del rendimiento. CMMI utiliza una escala de 1 a 5 para medir el rendimiento, la calidad y el nivel de madurez de la rentabilidad de una organización. Según Calatayud,”permitir la inserción de mediciones mixtas y objetivas es crítico para medir riesgos que son de naturaleza cualitativa”.

FAIR: Factor Analysis of Information Risk (FAIR) es un modelo relativamente nuevo que ayuda a las organizaciones a cuantificar el riesgo. El enfoque se centra en la seguridad cibernética y el riesgo operacional, con el objetivo de tomar decisiones más informadas. Aunque es más nuevo que otros marcos mencionados aquí, Calatayud señaló que ya ha ganado mucha tracción con las compañías de la lista Fortune 500.

6- ¿Cómo elijo qué marco de trabajo utilizar?
La mayoría de los marcos de gobierno de TI están diseñados para ayudarle a determinar cómo funciona su departamento de TI en general, qué es lo que necesita la gestión de métricas clave y qué retorno de TI está devolviendo al negocio desde sus inversiones.

Cuando COBIT y COSO se utilizan principalmente para el riesgo, ITIL ayuda a agilizar el servicio y las operaciones. Aunque CMMI fue originalmente diseñado para la ingeniería de software, ahora involucra procesos en el desarrollo de hardware, entrega de servicios y compras. Como se mencionó anteriormente, FAIR es directamente para evaluar los riesgos operativos y de seguridad cibernética.

Cuando revise los marcos de trabajo, tenga en cuenta su cultura corporativa. ¿Parece que un marco o modelo en particular parece ser el adecuado para su organización? ¿Resuena con las partes interesadas? Ese marco es probablemente la mejor opción.

Pero no tiene que elegir sólo un marco de trabajo. Por ejemplo, COBIT e ITIL se complementan entre sí en el sentido de que COBIT a menudo explicó por qué se hace o se necesita algo donde ITIL proporciona el “cómo”. Algunas organizaciones han utilizado COBIT y COSO, junto con la norma ISO 27001 (para la gestión de la seguridad de la información).

7- ¿Cómo se asegura una implementación sin problemas y resultados positivos?
Uno de los caminos más importantes hacia el éxito es la participación de los ejecutivos. Calatayud recomendó la formación de un comité de gestión de riesgos con patrocinios de alto nivel y representación empresarial. “Para asegurar que sea un programa efectivo, necesita ser apoyado por un amplio grupo de líderes empresariales.” También aconsejó compartir los resultados con la junta o el comité de auditoría para “desarrollar una atención real cuando los temas comienzan a ser ignorados”.

Como con cualquier proyecto significativo, siempre debe mantener abiertas las líneas de comunicación entre las diferentes partes, medir y monitorear el progreso de la implementación y buscar ayuda externa si es necesario.

– Kim Lindros – CIO. com

Leer más...



Seis principales certificaciones de gobernanza, riesgo y cumplimiento

Categorías relacionadas:
Administración, Administración de proyectos, Administración del riesgo, Cómo hacerlo, Estrategia CIO, Lo más reciente, Lo más reciente, Mejores prácticas, Mejores prácticas, Principal, Tendencias, Tendencias

GRC-Cert

A raíz de varios escándalos corporativos hace como 15 años, tales como Enron y WorldCom solo por nombrar a dos, y con la aprobación de la Ley Sarbanes-Oxley en el 2002, las organizaciones que debían adherirse a las regulaciones de seguridad de datos, responsabilidad financiera y privacidad del consumidor, encontraron que no podían hacerlo sin alguien que les asegurara que los procesos internos se estaban llevando a cabo de manera adecuada. Introduzca la necesidad de profesionales competentes de gobernanza, riesgo y cumplimiento (GRC).

El objetivo de GRC, en general, es asegurar que se establezcan políticas y controles adecuados para reducir el riesgo, establecer un sistema de controles y balances para alertar al personal cuando se materialicen nuevos riesgos, y para gestionar los procesos de negocio de una manera más eficiente y proactiva. Los profesionales que tienen una certificación de GRC deben hacer un balance entre las expectativas de los interesados con los objetivos de negocio, y asegurar que los objetivos organizacionales se cumplan al tiempo que se cumplen los requisitos de cumplimiento. Esa es una cantidad increíble de responsabilidad y es absolutamente necesaria en el clima de negocios de hoy en día.

Todo tipo de roles de trabajo requieren o se benefician de una certificación de GRC, incluyendo los CIOs, los analistas de seguridad de TI, los ingenieros o arquitectos de seguridad, los gerentes de los programas de aseguramiento de la información y los auditores senior de TI, entre otros.

Siga leyendo para conocer nuestras seis mejores selecciones para certificaciones de GRC, así como links a los recursos más relevantes.

Certificado en Control de Riesgos y Sistemas de Información (CRISC)
Una de las certificaciones de GRC más solicitadas por los candidatos y empleadores es la CRISC de ISACA, que identifica que los profesionales de TI son responsables de gestionar los riesgos de TI y de la empresa, y garantizar que se cumplan los objetivos de gestión. A menudo, la CRISC se ocupa de supervisar el desarrollo, la implementación y el mantenimiento de los controles del sistema de información (IS, por sus siglas en inglés) diseñados para asegurar los sistemas y gestionar el riesgo. Desde el año 2010, ISACA ha emitido más de 20 mil credenciales de CRISC -un número relativamente alto en el campo de certificación de GRC.

Para obtener el CRISC debe aprobar un examen que cubre cuatro dominios: Identificación de Riesgos de TI (Dominio 1), Evaluación de Riesgos de TI (Dominio 2), Respuesta y Mitigación de Riesgo (Dominio 3) y Monitoreo y Reporte de Riesgo y Control (Dominio 4). El examen consta de 150 preguntas, dura cuatro horas y cuesta 575 dólares para los miembros de ISACA, o 760 dólares para los que no son miembros.

Asimismo, debe probar un mínimo de tres años de experiencia laboral acumulativa en riesgo de TI y sistemas de información asociado con al menos dos de los cuatro dominios, adherirse al Código de Ética Profesional de ISACA y cumplir con la Política de Educación Continua de CRISC.

Certificado de la Gobernanza de la TI Empresarial (CGEIT)
El certificado de CGEIT dado por ISACA, reconoce a los profesionales de TI como unos con un profundo conocimiento de los principios y las prácticas de gobernanza de la TI empresarial, así como la capacidad de aumentar el valor de la organización a través de medidas de gobernanza y optimización de riesgo, y alinear TI con las estrategias y las metas de negocio. Desde que el programa comenzó, más de siete mil individuos han logrado obtener la credencial de CGEIT a través de ISACA.

Para obtener la credencial CGEIT necesita pasar un examen (150 preguntas, cuatro horas) que cubre cinco dominios: Marco para la Gobernanza de la TI Empresarial (Dominio 1), Gestión Estratégica (Dominio 2), Realización de Beneficios (Dominio 3), Optimización de Riesgos (Dominio 4) y Optimización de Recursos (Dominio 5). El examen cuesta 525 dólares para los miembros de ISACA, o 760 dólares para los que no son miembros.

Para obtener el CGEIT debe probar al menos cinco años de experiencia laboral acumulativa en el campo de la gobernanza corporativa, incluyendo por lo menos un año definiendo, implementando y gestionando un marco de gobernanza. Los candidatos también se deben adherir al Código Profesional de Ética de ISACA y cumplir con la Política de Educación Continua de CGEIT.

Project Management Institute – Profesional de Gestión de Riesgos (PMI-RMP)
Cualquier persona que haya seguido una certificación de gestión de proyectos es familiar con el Project Management Institute (PMI), ya sea a través de la investigación o por obtener el codiciado credencial de Profesional de Gestión de Proyectos (PMP). Sin embargo, PMI también ofrece la certificación del Profesional de Gestión de Riesgos (PMI-RMP), así como varias otras que se enfocan en la gestión de negocios, el análisis de negocios, la agilidad y la programación.

El PMI-RMP identifica a los profesionales de TI involucrados con grandes proyectos o trabajando en entornos complejos que evalúan e identifican los riesgos basados en el proyecto. También son competentes en diseñar e implementar planes de mitigación que contrarrestan los riesgos de las vulnerabilidades del sistema, desastres naturales y similares.

El examen PMI-RMP cubre cinco dominios de conocimiento: Estrategia y Planificación de Riesgo (Dominio 1), Participación de las Partes Interesadas (Dominio 2), Facilitación del Proceso de Riesgo (Dominio 3), Monitoreo y Reportes de Riesgo (Dominio 4) y Realización de Análisis Especializados de Riesgo (Dominio 5). El examen consta de 170 preguntas de opción múltiple, y cuesta 520 dólares para los miembros de PMI o 670 dólares para los que no son miembros.

También debe cumplir con los requisitos de experiencia y educación. Una opción es tener un título secundario (diploma de secundaria, grado de asociado o algún equivalente global) y por lo menos 4.500 horas de experiencia en gestión de riesgo de proyectos. La segunda opción es un título de cuatro años (licenciatura o el equivalente global), al menos tres mil horas de experiencia en gestión de riesgo de proyectos y 30 horas de educación en gestión de riesgo de proyectos.

Experto de ITIL
Las certificaciones de Biblioteca de Infraestructura de Tecnologías de Información (ITIL) están vinculadas al marco/infraestructura de ITIL, que describe las mejores prácticas para diseñar, implementar y gestionar una gran variedad de proyectos de servicios de TI. En el lenguaje ITIL, las certificaciones se denominan “calificaciones”, que crean una escalera clásica de certificación, comenzando con la Fundación de ITIL de nivel básico y terminando con el Master de ITIL. Un peldaño por debajo del nivel Master se encuentra el popular Experto de ITIL.

Un profesional con la calificación de Experto de ITIL tiene una profunda comprensión de las mejores prácticas del servicio de ITIL a medida que aplican a través de un entorno de TI, no solo a un área de servicio. En otras palabras, el Experto es capaz de apoyar a una organización vinculando/acoplando las etapas del ciclo de vida del servicio viendo el panorama general como la suma de las partes.

Para lograr la calificación de Experto de ITIL, debe primero obtener el certificado de Fundación de ITIL o un equivalente de calificación Bridge, y luego adquirir por lo menos 17 créditos por el Sistema de Crédito de ITIL. Finalmente, deberá tomar un curso de capacitación aprobado y pasar el examen de Managing Across the Lifecycle (MALC). Los precios de la capacitación varían entre vendedores, pero espere pagar entre 1.800 (online) y 5.000 (presencial) dólares, que incluye el entrenamiento y el examen.

Certificación en Aseguramiento de Gestión de Riesgos (CRMA)
El Instituto de Auditores Internos (IIA) es una asociación profesional global que proporciona información, oportunidades de interconexión y educación para los auditores en negocios, gobernanza e industria de servicios financieros. Una de las certificaciones del IIA es la CRMA, que reconoce a los individuos que están involucrados en la gestión y aseguramiento del riesgo, asícomo en la gobernanza, el aseguramiento de la calidad y el control de la auto evaluación. Un CRMA es considerado un asesor de confianza para la alta dirección y para los miembros de los comités de auditoría en las grandes organizaciones.

Para obtener la credencial de CRMA necesita pasar un examen de opción múltiple (100 preguntas en dos horas), a través de Pearson VUE. El examen cuesta 380 dólares para los miembros del IIA, o 495 dólares para los que no son miembros.

Asimismo, debe tener un título postsecundario (o mayor) de tres o cuatro años. Las alternativas a la licenciatura son dos años de educación postsecundaria y cinco años de experiencia en auditoría interna (o el equivalente), o siete años de experiencia en auditoría interna. El IIA también requiere alguna prueba de al menos dos años de experiencia en auditoría, o experiencia en negocios relacionados con el control en la gestión de riesgos o aseguramiento de la calidad. Finalmente, necesita proporcionar una referencia de carácter firmada por una persona que posea una certificación del IIA o un supervisor, proporcionar una prueba de identificación y aceptar acatar el Código de Ética establecido por el IIA.

Profesional de GRC (GRCP)
OCEG es una organización global dirigida por los miembros y dedicada a proporcionar información, educación y certificación en GRC a sus miembros y a la comunidad en general. Con solo unas pocas, pero muy respetadas certificaciones en su programa, el GRCP es una sólida credencial dirigida a una amplia gala de industrias y prácticas.

El único examen cubre términos y conceptos básicos, principios de GRC y, componentes y prácticas fundamentales, así como la relación de GRC con otras disciplinas. El GRCP es necesario para la certificación de GRC Audit de nivel superior. El examen contiene 100 preguntas y demora dos horas en ser completado. OCEG ofrece un All Access Pass por 395 dólares (renovación automática) o 495 dólares (sin renovación), que proporciona todo lo que necesita para prepararse para el examen y tomarlo. Esto incluye todos los seminarios web archivados y en vivo, los Estándares de OCEG, las Guías y Recursos, el programa de eLearning y el examen.
Recursos para la comunidad GRC

Hay muchos recursos incipientes de interés en la web y profesionales de GRC de largo plazo, y algunos pueden ser útiles para lograr una certificación de GRC. Aquí les dejamos algunos sitios web para añadir a su kit de herramientas de GRC:

* ComplianceWeek: Este sitio web es una excelente fuente de recursos para la comunidad de GRC. Aquí podrá encontrar noticias, documentos oficiales, informes de GRC, materiales de conferencias, oportunidades de negocio y mucho más. El sitio también ofrece webcasts de una hora gratuitos la mayoría de las semanas, que están disponibles a pedido después de cada evento, y muchos son elegibles para créditos de educación y profesional permanente (CPE).

* El GRC Bluebook: Se auto describe como “la base de conocimiento en línea de GRC”, y en él encontrará excelentes reseñas sobre las herramientas de GRC (¡y hay un montón!), noticias, prácticas de riesgo, eventos industriales y mucho más.

* CareersInfoSecurity: Como el sitio web indica, encontrará una sección de portal de empleo. Sin embargo, CareersInfoSecurity va mucho más allá de eso con una biblioteca de capacitación, noticias y otro tipo de contenido dirigido a la seguridad de la información, gestión de riesgos y, profesionales de privacidad y fraude. Usando la herramienta de búsqueda del sitio, ingrese “grc” para concentrarse en los recursos relacionados.

* Security Management: La revista en línea de libre acceso ASIS International cubre diferentes tipos de seguridad: la nacional, la física, la cibernética y la estratégica. Ahí encontrará artículos sobre gestión de riesgos empresariales en la sección de Seguridad Estratégica, así como acceso a podcasts y seminarios web.

* LinkedIn: Busque “grupo grc”, regístrese en los que se vean más interesantes, y luego inicie la interconexión. Un buen grupo general es el de Gobernanza, Riesgo y Cumplimiento (GRC). Esta población de expertos de GRC han pasado por el proceso de certificación, y estarán dispuestos a ofrecerles asesoramiento y respuestas a sus preguntas de certificación. LinkedIn también tiene un portal de trabajo que se está convirtiendo en uno de los mejores.

¡Buena suerte con sus actividades de formación y certificación de GRC!

-Kim Lindros, CIO.com

Leer más...



Ocho mejores prácticas tecnológicas para garantizar la satisfacción del cliente

Categorías relacionadas:
Administración, Administración de proyectos, Administración del riesgo, Cómo hacerlo, Lo más reciente, Lo más reciente, Mejores prácticas, Principal, Tendencias

consultoria-certificacion

Un importante número de proyectos de tecnología se autorizan sin tener un caso de negocio bien armado, lo cual es muy preocupante. Acorde con BP Gurus, estas son las mejores prácticas para gestionar Servicios de TI. 

Certificaciones. Hoy día, varias compañías prefieren no obtener certificaciones, por un tema de costos. Por eso la capacitación tiene que ser un facility. BP Gurus destaca por asesorar a las empresas sobre cómo sacar el máximo provecho de sus áreas, sin gastar de más.

Procesos. Este término es sinónimo de burocracia. Las compañías deben optimizar sus procesos para que sean eficientes. A veces tres pasos son mejores que 100, siempre y cuando cada uno de ellos aporte valor y mejoría.   

Radiografía. Para detectar los déficits en una organización hay que hacer una especie de radiografía, esto es, identificar dónde estás ahora, para luego definir hacia dónde quieres ir, con base en objetivos puntuales. 

Caso de negocio. Datos de BP Gurus indican que un alto porcentaje de las empresas no tienen un caso de negocio para introducir un nuevo servicio. Esto es un gran error, pues no se puede avanzar si la empresa no tiene identificada la demanda de ese nuevo servicio, el monto a invertir y el ROI.

Plan de acción. Para habilitar servicios tecnológicos que creen valor a su empresa, el principal plan de acción es aprovechar el talento de su gente, desarrollar una metodología para eficientar los procesos y estar consciente de la tecnología con la que cuenta (infraestructura).

Seguimiento. Las empresas se preocupan por vender el servicio, pero ¿quién se preocupa por la posventa? También hay mejores prácticas para atender de una manera adecuada a todos los consumidores que tienen una necesidad.

Transparencia. Si no hay una transparencia financiera de las áreas tecnológicas hacia la organización, entonces hay cierto temor en la parte de la inversión. Uno de los principales inhibidores de la inversión en la parte tecnológica recae en la falta de capacidad de dirección de TI para justificar sus proyectos.

Ciberseguridad. Hay estándares que nos ayudan a crear la práctica de seguridad de la información de la organización (ISOMEC 27000 y 38500, éste para gobierno). Pero de nada servirá cualquier iniciativa corporativa si no hay un cuidado con la información.

“Si una compañía hoy por hoy no innova está destinada a morir. Las empresas deben preguntarse cómo van a garantizar la experiencia del cliente si no saben exactamente en qué punto las TI están habilitando ciertos procesos de negocio”, opinó Alfonso Figueroa, socio fundador de BP Gurus.

 

 

Leer más...