Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

ISACA publica un nuevo marco de gestión de riesgos de TI basado en COBIT

A medida que la gestión de riesgos gana una nueva prominencia después de la aprobación de un proyecto de ley de reforma regulatoria financiera histórica en la Cámara de Representantes de los Estados Unidos la semana pasada, los oficiales de cumplimiento están buscando mejores herramientas de evaluación de riesgos para la infraestructura de TI.

El crecimiento y la maduración de la gobernanza de TI como disciplina en los departamentos de TI de las empresas ha sido impulsado por las demandas de los requisitos de cumplimiento normativo de la Ley Sarbanes-Oxley y Basilea II, junto con los efectos del aumento del alcance endémico de los proyectos de TI.

Los Objetivos de Control para la Información y Tecnología Relacionada (COBIT) proporcionan un marco de referencia para el control y la seguridad de los datos sensibles. Esos controles se pueden aplicar para mitigar el riesgo de TI, pero medirlo es otra cosa. Ahora ISACA ha lanzado Risk IT, un marco para ayudar a los oficiales de cumplimiento empresarial a identificar, gobernar y administrar los riesgos de TI.

ISACA, una asociación sin fines de lucro de más de 86,000 profesionales de TI, desarrolló Risk IT en respuesta a la demanda de los miembros y la industria. El marco de gestión de riesgos y la documentación de respaldo son el resultado de miles de horas de trabajo de un equipo de TI, expertos comerciales y revisores de todo el mundo.

«RiskIT proporciona un marco unificado que puede utilizar en toda la empresa», dijo Brian Barnier, director de ValueBridge Advisors, que formó parte del grupo de trabajo que desarrolló Risk IT. «Otros marcos de gestión de riesgos son muy técnicos. La TI de riesgos se desarrolló con el propósito de intentar resolver problemas prácticos». En su opinión, este marco de gestión de riesgos de TI hace dos cosas:

  • Proporciona los medios para unir marcos específicos de silos;
  • Luego, lo utiliza para aplicar los marcos existentes en toda la empresa.
CONTENIDO RELACIONADO  Vincular el centro de contacto y la TI para una sólida gestión de la experiencia del cliente

«Hemos recibido muchas preguntas sobre qué hacer si no hay un marco empresarial existente en uso», dijo Barnier. «Eso está bien. Risk IT no requiere que los usuarios tengan COBIT en su lugar».

Risk IT está destinado a proporcionar un medio para que los profesionales de TI mapeen fácilmente el riesgo a los temas, permitiéndoles resolver problemas prácticos. ISACA también proporciona un glosario gratuito de 100 páginas y una Guía para profesionales de TI de riesgos para ayudar a los usuarios a abrirse camino a través del marco de gestión de riesgos.

«Las organizaciones tienden a omitir la fase de evaluación de riesgos y van directamente a ‘cómo solucionarlo'», dijo Ted Ritter, analista de investigación senior de The Nemertes Research Group Inc. «Si está familiarizado con COBIT, este marco de gestión de riesgos utiliza la misma terminología y hará referencia a los controles que existen «.

Tanto la Organización Internacional de Normalización (ISO) como el Instituto Nacional de Normas y Tecnología (NIST) también describen los controles que se pueden utilizar para gestionar el riesgo, como explicó Ritter. ley de protección de datos, que pasó a un marco de gestión de riesgos en su versión final.

¿Qué hace que Risk IT sea diferente para la gestión de riesgos de TI?

La estrecha relación entre el gobierno de TI, la gestión de riesgos y el cumplimiento es precisamente la razón por la que el concepto de software GRC se ha presentado con tanta fuerza como una panacea para la empresa en los últimos años. Sin embargo, como informó la escritora senior Linda Tucci a principios de este mes, el gasto de GRC no se centra en la tecnología. Incluso si el gobierno de TI es clave y el cumplimiento es obligatorio, sin embargo, aplicar marcos para medir el riesgo asociado con TI no ha sido fácil para los profesionales de TI.

Los mismos problemas que impulsan la continuidad del negocio y los problemas de seguridad pueden vincularse, lo que permite al oficial de cumplimiento ver las causas fundamentales de varios problemas.

Brian Barnier, director de ValueBridge Advisors

El problema, como Barnier dijo que lo ve, es que muchos oficiales de cumplimiento no pueden medir el riesgo de TI fuera de los silos individuales. «Desde la perspectiva del oficial de cumplimiento, considere la posibilidad de conciliar varios informes», dijo. «Tendrá una gran cantidad de información similar para los diferentes informes. No ayuda a llegar a los riesgos reales. Los mismos problemas que impulsan la continuidad del negocio y los problemas de seguridad pueden vincularse, lo que permite al oficial de cumplimiento ver las causas fundamentales de varios problemas . «

CONTENIDO RELACIONADO  Noticias, ayuda e investigación de las industrias y los mercados verticales de AWS

El trasfondo del valor de este marco de gestión de riesgos se encuentra en el ADN de ISACA (antes conocido como la Asociación de Control y Auditoría de Sistemas de Información) en sí mismo, explicó Barnier. «Cuando asisto a una reunión de ISACA, no son solo líderes de pensamiento puros», dijo. «Está impulsado por los profesionales. Recibimos más de 1.600 comentarios cuando creamos este marco de gestión de riesgos. El resultado es muy sensible a lo que los miembros estaban pidiendo para hacer su trabajo».

Barnier señaló que estarán disponibles 27 secciones para la actualización de NIST a su marco de gestión de riesgos y 37 para ISO 27001. «Todo el mundo nada en estas cosas», dijo. «Cuando preguntamos cuántos marcos de gestión de riesgos está utilizando, la mayor parte de las salas dijeron en general alrededor de cinco o seis».

El software GRC por sí solo no romperá los silos de gestión de riesgos. Tampoco lo hará el uso de COBIT y Risk IT. Sin embargo, con una estrategia, medición y gestión eficaces, los profesionales de cumplimiento de TI tendrán un mejor conjunto de herramientas para gestionar tanto la TI como el riesgo en 2010.

Escuche un podcast sobre gestión de riesgos

Háganos saber lo que piensa sobre la historia; Email [email protected].

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

¿Qué es la provisión espesa ansiosa puesta a cero?

El aprovisionamiento grueso ansiosamente puesto a cero es un formato de aprovisionamiento de VMware que crea un disco de máquina virtual (VM) en un formato grueso predeterminado. La descripción «provisión amplia» simplemente significa que todo

HyperV puede generar conflictos de direcciones MAC

No sabía esto, pero aparentemente HyperV tiene un algoritmo para generar nuevas direcciones MAC por host, ¡pero no verifica si esta dirección MAC es única para dos HyperV en la misma subred! Robert Larson en

¿Qué es SAP Project System (PS)?

SAP Project System (PS) es una herramienta de software de gestión de proyectos que se integra con otros componentes del sistema SAP Enterprise Resource Planning (SAP ERP). La herramienta es un módulo funcional local, o

¿Qué son las pruebas A / B (pruebas divididas)?

Las pruebas A / B, a veces llamadas pruebas divididas, son una herramienta de evaluación para identificar qué versión de algo ayuda a una persona u organización a alcanzar un objetivo comercial de manera más

Cobertura de la reunión de seguridad principal

Artículo Resultado final de la Conferencia RSA 2019: Las personas son el activo más fuerte de la seguridad Las personas en la comunidad de seguridad y más allá son más importantes e influyentes que las

¿Qué es 80? – Definición de Krypton Solid

Si ocasionalmente ve un misterioso «80» en el nombre de un servidor web que está manejando su solicitud de páginas web, esto es un poco de información técnica que se muestra cuando tal vez no

Recursos e información de Windows 10

Windows 10 Noticias Windows 10 Empezar Ponte al día con nuestro contenido introductorio autómata celular (CA) Un autómata celular (CA) es una colección de celdas dispuestas en una cuadrícula de forma específica, de modo que

Piense prácticamente en la modernización del software

Algunas empresas inician proyectos de modernización de software para agregar funciones sofisticadas, como inteligencia artificial y movilidad, pero eso puede ser similar a poner la guinda de un pastel mohoso. Los equipos de software pueden

Guiso de base de datos futuro para incluir NoSQL

Una larga carrera que ha tocado los datos en muchas formas ha preparado a Mike Bowers para navegar por el panorama actual de datos NoSQL y Hadoop. Hablamos con Bowers, arquitecto principal de la Iglesia

¿Qué es la teoría de la ventana rota?

La teoría de la ventana rota es el concepto de que cada problema que no se atiende en un entorno determinado afecta la actitud de las personas hacia ese entorno y conduce a más problemas.

¿Qué es la máquina virtual basada en kernel (KVM)?

La máquina virtual basada en kernel (KVM) es una arquitectura de virtualización de código abierto y gratuita para distribuciones de Linux. La virtualización KVM, que es compatible con Red Hat Inc. y Canonical Ltd., utiliza

Guía de virtualización de aplicaciones

Las empresas de hoy requieren más aplicaciones que funcionen juntas sin problemas, pero con el tiempo estos sistemas han evolucionado hacia entornos más complejos y frágiles. Las implementaciones de software se han vuelto cada vez

IA de Azure

Acceda a esta página para descubrir cómo la informática de alto rendimiento (HPC) de Azure es un conjunto completo de recursos informáticos, de redes y de almacenamiento integrados con los servicios de organización de cargas

Comprender NTUser.dat en Windows 10

Vi una pregunta fascinante en TenForums esta mañana, mientras hacía mi «recorrido matutino» a través de los nuevos hilos allí. Apareció en un hilo llamado «ntuser.dat» y decía «¿Por qué tengo tantos archivos ntuser.dat?» Siendo

Visualizar el texto de subtipo de un infotipo

Estoy haciendo un informe de RR.HH. en ABAP en el que necesito mostrar los textos de subtipo para el infotipo 0045. ¿Cómo encuentro la tabla donde puedo obtener este campo de texto? La tabla principal

¿Cómo funciona el fuzzing como servicio de Microsoft?

Microsoft introdujo recientemente un fuzzing como servicio opción en Azure. ¿Cómo funciona esto como un servicio en la nube y en qué se diferencia de los escáneres de vulnerabilidades? Microsoft lanzó una iniciativa llamada Proyecto

¿Cómo funciona Windows AppLocker?

Dmitri Stalnuhhin – Fotolia Windows AppLocker es una colección de características de directiva de grupo que puede usar para controlar qué aplicaciones pueden ejecutarse en un sistema. Introducido por primera vez con Windows 7, AppLocker

¿En qué se diferencian las ediciones de VMware ROBO?

VMware vSphere Remote Office Branch Office (ROBO) está disponible en las ediciones estándar y avanzada. Tanto VMware ROBO… Las ediciones proporcionan el hipervisor de vSphere y comparten un núcleo común de características. Estos incluyen alta

¿Qué tan vulnerable es la seguridad de Silverlight?

Me preocupa el reciente aumento de los ataques de Microsoft Silverlight. ¿Cuánta amenaza representa Silverlight … ose? Las aplicaciones sin parches en los escritorios son uno de los desafíos más importantes para proteger los sistemas

¿Qué es la integración continua (CI)?

La integración continua (CI) es una práctica de ingeniería de software en la que los cambios frecuentes y aislados se prueban de inmediato y se informa sobre ellos cuando se agregan a una base de

Deja un comentario