Un modelo transformador que pueden adoptar las instituciones: Otilio Esteban Hernández Pérez, Director de Servicios Informáticos del Tribunal Electoral de la CDMX

Categorías relacionadas:

Otilio-Hernandez-Tribunal-Electoral-CDMX-CIO100-2018-710x434

CIO100 2018 Gobierno

PROYECTO: Creación de un Sistema de Gestión del Archivo Institucional, seguridad y cumplimiento regulatorio, además de administración del riesgo.

DESCRIPCIÓN: Este Tribunal necesitaba un sistema que ofreciera la administración del archivo y la seguridad de la información almacenada y que cumpliera con los lineamientos de las regulaciones sobre administración y almacenamiento de información, así como transparencia.

Leer más...



VIDEO: Empresas pierden 2.5 millones de pesos por ciberataques: Sophos

Categorías relacionadas:

Alejandra-Garcia-Sophos

Alejandra García, Directora General de Sophos México, conversó con CIO México sobre el ambiente de ciberamenazas que aquejan al sector empresarial en la actualidad, así como las nuevas amenazas a tener en cuenta.

Leer más...



Confirma HBO haber sufrido un ciberataque

Categorías relacionadas:

El canal de televisión HBO fue víctima, tal y como ha informado la propia cadena, de un ciberataque en el que sufrió el robo de 1.5 terabytes de datos en los que había información relativa a guiones y episodios inéditos de sus series, además de información personal, legal y financiera de la Vicepresidenta Ejecutiva de Asuntos Jurídicos de HBO, credenciales de acceso a sus redes sociales y otros servicios online.

Mediante un comunicado, HBO indicó que ya se está llevando a cabo una investigación y que trabajan tanto con la policía como con empresas de ciberseguridad.

“La protección de datos es una prioridad en HBO y tomamos muy seriamente nuestra responsabilidad para proteger la información que poseemos”. Tanto el FBI, como la empresa de seguridad Mandiant y HBO colaboran en la investigación del incidente.

Según afirma el sitio web HackRead, los hackers responsables del ataque habrían creado una web llamada WinterLeak donde alojarían toda la información sustraída, permitiendo que cualquiera pudiera descargarla. 

Según Entertainment Weekly, los episodios filtrados pertenecen a las series “Ballers” y “Room 104”, además de material que supuestamente corresponde al cuarto episodio de la séptima temporada de “Juego de Tronos”.

Este ataque se suma a los sufridos por plataformas como Netflix en abril, cuando se filtraron episodios de “Orange is the New Black”, o Disney, cuando en mayo un hacker aseguró haber robado la nueva entrega de “Piratas del Caribe”, aunque la compañía aseguró que se trató de una farsa. El mayor hackeo en este ámbito lo sufrió Sony en 2014.

Leer más...



¿Qué es GRC y por qué lo necesita?

Categorías relacionadas:

GRC-que-es

Gobernabilidad, Riesgo y Cumplimiento (GRC) se refiere a una estrategia para administrar el gobierno general de una organización, la administración de riesgos empresariales y el cumplimiento de las regulaciones. Piense en GRC como un enfoque estructurado para alinear el área de TI con los objetivos de negocio, al tiempo que gestiona eficazmente los riesgos y cumple con los requisitos de cumplimiento.

Una estrategia GRC bien planificada tiene muchos beneficios: mejora de la toma de decisiones, inversiones óptimas en TI, eliminación de silos y reducción de la fragmentación entre las divisiones y departamentos, por nombrar algunos.

Aquí hay respuestas a algunas preguntas comunes relacionadas con GRC.

¿Es “gobernabilidad, riesgo y cumplimiento” o “gobierno, riesgo y control”?

Según Joanna Grama, directora de ciberseguridad y programas IT GRC de EDUCAUSE, la “C” en GRC se refiere al cumplimiento, pero aprecia por qué algunas personas igualan el cumplimiento con el control. En el entorno de TI, GRC tiene tres componentes principales:

Gobernabilidad: es decir, garantizar que las actividades de la organización –como la gestión de las operaciones de TI– estén alineadas de manera que apoyen los objetivos empresariales de la organización.

Riesgo: asegurarse que cualquier riesgo (u oportunidad) asociado con las actividades de la organización se identifica y se aborda de una manera que apoya los objetivos de negocio de la organización. En el contexto de TI, esto significa tener un proceso integral de gestión de riesgos de TI que se convierta en la función de gestión de riesgos empresariales de una organización.

Cumplimiento: asegurarse que las actividades de la organización funcionen de manera que cumpla con las leyes y reglamentos que afectan a esos sistemas. En el contexto de TI, esto significa asegurarse que los sistemas informáticos, y los datos contenidos en esos sistemas, se utilizan y se aseguran correctamente.

Cumplimiento implica controles de TI, así como la auditoría de los controles para asegurarse que están funcionando como se pretende. Las organizaciones también utilizan controles para manejar los riesgos identificados. De hecho, el término “GRC” surgió a principios de los años 2000 después de muchos desastres financieros corporativos altamente divulgados, lo que dio lugar a empresas que luchaban por mejorar sus procesos de control interno y gobernanza (Gartner, 2016).

¿Cómo funciona GRC?

Grama dice que las organizaciones desarrollan un marco de GRC para el liderazgo, organización y operación de las áreas de TI de la organización para asegurar que apoyan y permiten los objetivos estratégicos de la organización. El marco especifica medidas claramente definidas que brindan una luz sobre la eficacia de los esfuerzos GRC de una organización.

Aunque hay muchas opciones de software disponibles para ayudar a agilizar las operaciones de GRC, éste es más que un conjunto de herramientas de software.

Muchas organizaciones consultan un marco de orientación para desarrollar y refinar sus funciones GRC en lugar de crear una desde cero. Los marcos y las normas proporcionan elementos básicos que las organizaciones pueden adaptar a su entorno. Según Grama, COBIT, COSO e ITIL son los grandes actores en muchas industrias diferentes.

¿Cuál es la clave para una implementación GRC exitosa?

Las funciones de toma de decisiones, gestión de recursos y cartera, gestión de riesgos y cumplimiento normativo incluidas en un marco GRC no serán efectivas a menos que el liderazgo ejecutivo de la organización realmente apoye el cambio cultural.

“La implementación de un marco nunca será exitosa a menos que la cultura de la organización evolucione para apoyar las actividades de GRC”, dice Grama.

¿Quién emplea GRC?

GRC puede ser implementado por cualquier organización –sea pública o privada, grande o pequeña– que quiera alinear sus actividades de TI con sus objetivos de negocio, gestionar el riesgo de manera efectiva y mantenerse al día con el cumplimiento.

¿Cuáles son las principales certificaciones de GRC?

Los profesionales con una certificación de GRC deben hacer malabares con las expectativas de las partes interesadas con los objetivos de negocio y asegurar que los objetivos de la organización se cumplan al tiempo que cumplen con los requisitos de cumplimiento. Esa es una cantidad increíble de responsabilidad, y es absolutamente necesaria en el clima de negocios de hoy.

Todo tipo de roles de trabajo requieren o se benefician de una certificación de GRC, incluyendo al CIO, al analista de seguridad de TI, al ingeniero de seguridad o arquitecto, al gerente de programa de aseguramiento de la información y al auditor senior de TI, entre otros.

Algunas de las mejores selecciones para las certificaciones de GRC son:

  • Certificado en Control de Riesgos y Sistemas de Información (CRISC).
  • Certificado en el Gobierno de la Empresa de TI (CGEIT).
  • Project Management Institute – Profesional de Gestión de Riesgos (PMI-RMP).
  • Experto de 
  • Certificación en Gestión de Riesgos (CRMA).
  • GRC Profesional (GRCP).

¿Qué es una herramienta / solución de GRC y qué hace?

Una solución de IT GRC le permite crear y coordinar políticas y controles y asignarlos a los requisitos normativos y de cumplimiento interno.

Estas soluciones, generalmente basadas en la nube, introducen la automatización para muchos procesos, lo que aumenta la eficiencia y reduce la complejidad. Hay muchas soluciones de GRC en el mercado. IBM OpenPages GRC Platform, MetricStream y Enterprise GRC de Rsam son algunos ejemplos de soluciones altamente calificadas, aunque vienen con etiquetas de precio alto. Hay soluciones más económicas a precios razonables (e incluso gratuitas), pero que pueden carecer de los conjuntos de características más amplias de los competidores de mayor precio.

Antes de estudiar cualquier solución de software, debe preparar su entorno primero. Eso significa evaluar el riesgo de su organización y examinar los controles. ¿Tiene controles adecuados en su lugar? ¿Funcionan los controles existentes? Agregue controles donde sea necesario y corrija aquellos que no están entregando como se pretendió. También necesita crear un marco de GRC.

Aunque GRC tiende a centrarse en TI, la implementación de una estrategia involucra a toda una organización y requiere una mirada dura hacia todas las personas y procesos que serán afectados.

Kim Lindros, CIO EEUU

Leer más...



El 95% de los mexicanos han utilizado una red WiFi abierta poniendo en riesgo su seguridad

Categorías relacionadas:

Los usuarios mexicanos no pueden resistirse a una red Wi-Fi fuerte y gratuita por lo que sus comportamientos en línea pueden poner en riesgo su información personal, de acuerdo con el Reporte de Riesgo Wi-Fi 2017 de Norton by Symantec.

Fran Rosch, vicepresidente ejecutivo de la unidad de negocio del consumidor de Symantec, destacó, “lo que alguien cree que es privado en su dispositivo personal puede ser de fácil acceso para los ciberdelincuentes a través de conexiones Wi-Fi no seguras o incluso aplicaciones que cuenten con privacidad vulnerable”.

El Reporte de Riesgo Wi-Fi de Norton encuestó a más de 15,000 consumidores de 15 países para aprender sobre sus prácticas y percepciones públicas sobre Wi-Fi. Muchos de los hallazgos globales muestran que las personas son conscientes de los riesgos que presenta conectarse a una red de Wi-Fi pública, pero no necesariamente modifican sus comportamientos. En México destacan los siguientes comportamientos:

Consumidores dispuestos a sacrificar la seguridad por Wi-Fi gratuito

La dependencia de los consumidores a una conexión rápida y gratuita a través de una red Wi-Fi pública podría poner en riesgo la información personal:

  • El 42% de los mexicanos no usa una red virtual privada (VPN) para asegurar sus conexiones de Wi-Fi, aunque es considerada como una mejor manera de proteger la información personal
  • Entre las principales razones para utilizar conexiones Wi-Fi públicas, los usuarios de distintas generaciones consideran importante asegurar que alguien importante pueda ponerse en contacto (57% generación Z (18-20 años), 56% generación X (38-52) y 53% generación Y (21-37)) y evitar drenar su plan de datos (31% de la generación Z, el 45% de la generación X y el 43% de la generación Y)

Comportamientos cuestionables al utilizar Wi-Fi

En el caso de utilizar una conexión Wi-Fi pública para asuntos más privados, conectarse a una red no segura podría revelar más información privada o hábitos de una persona de lo considerado:

  • El 22% de los encuestados admitió haber visto contenido para adultos en Wi-Fi públicas o De esas personas, el 44% admitió haberlo hecho en un hotel y el 33% restante en casa de un amigo.
  • El 28% ha accedido a una red Wi-Fi sin el permiso del propietario; el 26% ha accedido a una red Wi-Fi abierta perteneciente a una persona o negocio cercano.
  • El 95% de los mexicanos ha actuado de manera riesgosa en línea al usar una red de Wi-Fi pública al ingresar a redes sociales y cuentas de correo electrónico, pero el 42% informó que se sentiría horrorizado si sus datos financieros fueran robados y publicados en línea por hackers.

El acceso a Wi-Fi como una necesidad al viajar

Los mexicanos son incapaces de resistir el acceso a una red fuerte y gratuita de Wi-Fi a pesar de los riesgos. Esto se vuelve más irresistible al momento de viajar, los mexicanos dicen que el acceso a una red Wi-Fi fuerte es un factor decisivo al elegir un hotel (84%), un lugar para comer (62%), el transporte (61%) o al elegir la aerolínea (59%). Finalmente, la forma señala que el 64% de los mexicanos harán o intercambiarán algo por obtener una fuerte señal de Wi-Fi, por ejemplo, el 45% de ellos preferirían ver un anuncio de 3 minutos.

Nota de Prensa Symantec

Leer más...