Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

¿Cómo alinea una evaluación de riesgos de TI con los controles de COBIT?

[One of our readers, compliance officer Ramon de Bruijn, wrote to the editors of SearchCompliance.com at [email protected] el mes pasado buscando algún consejo. Específicamente, preguntó «¿Cuál es la mejor manera de implementar una evaluación de riesgos en un departamento de TI que alinea los controles de COBIT con los riesgos?» En su primer puesto para Asesora de cumplimiento de TI, Sarah Cortes, PMP, CISA, responde a su pregunta. -Ed.]

Implementar una evaluación de riesgos que alinee el marco de control de COBIT con los riesgos es una empresa valiosa y una forma inteligente de abordar el desafío. Si se aborda con un conocimiento práctico de COBIT, no debería tomar más tiempo que cualquier otro enfoque de evaluación de riesgos.

A largo plazo, es probable que acorte el ciclo general:

Evaluación de riesgos -> Recomendación -> Implementación de la solución -> Auditoría

Esto se debe a que COBIT puede proporcionar una lista de verificación completa de las áreas de riesgo potencial que de otro modo podrían pasarse por alto, lo que requiere múltiples pases o un esfuerzo potencial desperdiciado en la implementación de soluciones para riesgos de menor prioridad, mientras se ignoran aquellos con una prioridad más alta.

Una cosa a tener en cuenta es que los controles de COBIT no están solo «en un departamento de TI». Incluyen controles para la interrupción del negocio y otros problemas comerciales que tradicionalmente ha correspondido a TI tratar, correcta o incorrectamente.

El primer paso es obtener una copia de los controles COBIT, que puede hacer desde ISACA.org u otras fuentes en la Web.

CONTENIDO RELACIONADO  Juguetes de Hasbro con un sistema global de gestión de activos digitales empresariales

El segundo paso es proveer educación, si necesario. Asegúrese de que las personas clave de su organización hayan oído hablar de COBIT y comprendan que es un estándar aceptado internacionalmente. No hay necesidad de preocuparse, nadie lo sabrá mejor que usted. Incluso los auditores y los profesionales de CISA pueden lograr solo un nivel moderado de memorización de todos los aspectos de COBIT. COBIT cambia todo el tiempo. La tecnología en algunas áreas va más allá en áreas. En general, COBIT es demasiado amplio para que incluso el profesional de TI más experimentado evite volver a leerlo y consultarlo con frecuencia cuando trabaja con él.

Después de obtener una copia y conseguir la compra, el tercer paso es guardarla. Debe preguntarse a sí mismo y a los demás dónde se encuentran los riesgos conocidos para la TI y el negocio. Este enfoque de abajo hacia arriba es fundamental para evitar «COBITAR en exceso», una aflicción común.

Una vez que haya escuchado atentamente a los profesionales de TI y a otros con respecto a las debilidades de control y los riesgos que realmente “los mantienen despiertos por la noche”, estará listo para sacar su marco de COBIT nuevamente. Revise un conjunto más completo de riesgos con esos mismos individuos. Vea si eso descubre riesgos que pudieron haber pasado por alto la primera vez. Este punto de control es uno de los beneficios de COBIT.

Finalmente, deberías documentar su evaluación de riesgost y anote las áreas enumeradas en COBIT que las personas de su organización no consideraron dignas de mención. Se debe cubrir cada área de COBIT. Si el riesgo incluido en COBIT no se prioriza en la evaluación de riesgos, se debe anotar una razón específica, junto con la persona que decidió asumir o descartar ese riesgo. Esto será útil más adelante, créame.

CONTENIDO RELACIONADO  Slack Technologies gana impulso empresarial

Si sigue estos pasos, estará más adelante que el 99% de los profesionales y departamentos de TI en su lugar. ¡Buena suerte y feliz documentación!

Sarah Cortes es gerente de tecnología senior con amplia experiencia en todos los aspectos de la entrega de sistemas y servicios de tecnología de la información a firmas de Fortune 500 en la industria de servicios financieros, así como biotecnología, medios y educación superior. Sarah Cortes ha gestionado numerosas interrupciones importantes del sistema y del negocio de Code Red, incluida la conmutación por error del 11 de septiembre de los sistemas comerciales, contables y de negocios críticos durante el colapso del centro de datos del WTC de Marsh McLennan. Puede obtener más información sobre su trabajo en InmanTechnologyIT.
Rebloguear esta publicación [with Zemanta]
¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

La biometría basada en IAM en seguridad requiere ajustes

Cuando el ejecutivo de seguridad Chris Dimitriadis buscó fortalecer el perfil de ciberseguridad de su equipo, agregó elementos biométricos a su programa de administración de identidad y acceso. Los empleados que necesitan acceso a los

Infor CloudSuite ofrece un sistema ERP modular en la nube

Infor CloudSuite es el software ERP en la nube de Infor diseñado específicamente para industrias seleccionadas. Infor implementa CloudSuite principalmente como una nube pública, pero ofrece a las industrias con requisitos de cumplimiento la opción

¿Qué es un lector de tarjetas móvil?

Un lector de tarjetas móviles es un pequeño dispositivo de hardware que se conecta a una tableta o teléfono inteligente para aceptar pagos con tarjetas de débito o crédito, lo que básicamente convierte el dispositivo

Microsoft potencia las aplicaciones de regreso al trabajo

Microsoft está utilizando su Power Platform para ayudar a las empresas a administrar sus respuestas COVID-19, con cuatro nuevas aplicaciones de regreso al trabajo. Las aplicaciones prediseñadas, que se anunciaron en la conferencia de socios

Un resumen curioso del evento del socio de canal

La Conferencia Mundial de Socios de Microsoft 2016 finalizó su carrera de cuatro días el 14 de julio en Toronto. El evento anual atrajo a una multitud internacional que llenó el Air Canada Centre y

Integrar BI dentro de los procesos comerciales

CHICAGO – Cuando notó que la costa se alejaba y las olas se hundían hasta convertirse en un estofado espumoso, Tilly Smith, de 10 años, que estaba de vacaciones con sus padres en Tailandia en

10 pasos para desarrollar una estrategia de contratación

La contratación es una función necesaria de cualquier organización, independientemente de su modelo de negocio o industria. Para garantizar que una organización tenga un proceso de contratación eficaz y eficiente para encontrar los candidatos adecuados,

Uso de servidores y sistemas de alta disponibilidad

Cuando se implementan correctamente, los servidores y sistemas de alta disponibilidad agregan la redundancia y la protección de datos que tanto se necesitan en un entorno virtual. La importancia de las tecnologías de alta disponibilidad

¿Qué es el marketing basado en cuentas (ABM)?

El marketing basado en cuentas (ABM) es una estrategia de empresa a empresa (B2B) que centra los recursos de ventas y marketing en cuentas objetivo dentro de un mercado específico. En lugar de campañas de

¿Qué es la privacidad equivalente por cable (WEP)?

¿Qué es la privacidad equivalente por cable (WEP)? La privacidad equivalente por cable (WEP) es un protocolo de seguridad, especificado en el estándar IEEE Wireless Fidelity (Wi-Fi), 802.11b. Ese estándar está diseñado para proporcionar una

La videovigilancia inteligente ofrece información útil

Las cámaras de seguridad representan un gran mercado global impulsado principalmente por la mayor adopción de sistemas de videovigilancia para inteligencia empresarial o del sector público, así como por las crecientes amenazas asociadas con la

¿Cuál es la diferencia entre SIT y UAT?

WavebreakmediaMicro – Fotolia No todos los tipos de pruebas de software son iguales. Algunos escenarios de prueba incluso requieren diferentes perspectivas para medir … si el software ha cumplido con la marca. Tal es el

Cómo probar software con requisitos dinámicos

Soy un ingeniero de pruebas que trabaja en aplicaciones de Windows. Hago pruebas manuales. En el mundo ágil, cuando las cosas cambian de vez en cuando, es difícil obtener especificaciones de requisitos bien definidas por

Cómo los casos de uso de requisitos facilitan el SDLC

políticas … regulaciones Teniendo estas cosas en mente, ¿qué preguntas deben hacerse para facilitar el descubrimiento de lo que se necesita? ¿Qué implementarán realmente los desarrolladores?Cualquier técnica que describa lo que el sistema tiene que

Crónica de las noticias sobre la fusión Dell-EMC

Nota del editor Desde que se anunció la fusión Dell-EMC en octubre de 2015, ha surgido un flujo constante de noticias. Esa noticia ha alternado entre informes que arrojan dudas sobre si las empresas pueden

Cómo examinar e implementar nueva tecnología WMS

El mercado de sistemas de gestión de almacenes (WMS) ha cambiado rápidamente en los últimos años y ha incorporado muchas tecnologías, características y funciones nuevas. Este artículo destacará varias áreas en las que la tecnología

La plataforma Microsoft Azure genera ofertas de socios

Con la duplicación de los ingresos de la plataforma Microsoft Azure, los socios de canal están implementando servicios y productos para impulsar una mayor adopción y consumo del entorno de nube pública. Varias ofertas de

Particionamiento del servidor y VMware

Tengo una pregunta sobre el particionamiento de VMware. Si tengo un servidor que va a tener máquinas virtuales instaladas, ¿cómo se debe particionar el servidor real? Además, ¿cuál es un buen método de partición para

3 pasos para bloquear la seguridad de VDI

Es un mito común que VDI es intrínsecamente más seguro que los entornos de escritorio tradicionales, pero la realidad es que los escritorios virtuales aún son susceptibles a ataques y problemas de seguridad. Los administradores

¿Qué nueva técnica utiliza el troyano bancario Osiris?

Recientemente se descubrió una nueva forma del troyano bancario Kronos llamado Osiris utilizando una técnica de evasión avanzada conocida como suplantación de procesos. ¿Cómo utiliza Osiris la suplantación de identidad de procesos y qué amenazas

Supere estos 5 desafíos de DevOps

A medida que DevOps madura en su segunda década, más organizaciones de TI ven sus beneficios. Pero el viaje de los flujos de trabajo de TI tradicionales y en silos a canales de colaboración más

Los beneficios de una estrategia basada en la IA

Más empresas están implementando modelos de aprendizaje automático que nunca a medida que las herramientas y los datos de IA se vuelven más baratos y fáciles de usar. Estos modelos pueden ayudar a las empresas

XenApp frente a ThinApp frente a App-V

Cuando se trata de infraestructura de escritorio virtual, los administradores tienen muchas opciones. Es posible que se haya preguntado acerca de las diferencias entre las opciones de software VDI, los protocolos de visualización remota o

MicroStrategy 10 promueve la analítica de autoservicio

La plataforma de análisis empresarial y BI de MicroStrategy 10 permite a las organizaciones crear e implementar aplicaciones analíticas, incluidos informes personalizados, paneles de control en tiempo real y aplicaciones móviles. Se puede acceder a

¿Cómo habilita el registro centralizado de vCenter?

Para retener y centralizar los archivos de registro de vCenter, aproveche vRealize Log Insight y configure vSphere para capturar tareas y eventos antes de enviarlos a un dispositivo central. VCenter eliminará los eventos y las

Sin Win10 significa que no hay Office 2019

Hay un desarrollo interesante en el panorama de Windows. También es quizás una «razón decisiva» para las actualizaciones de Win10. Aquí está: MS ha confirmado que Office 2019 solo estará disponible en dispositivos con Windows

Deja un comentario