Upload File

tat 66 february 2014 - iia - seguridad cibernetica

  • Home
  • Documents
  • TaT 66 February 2014 - IIA - Seguridad Cibernetica
4
Seguridad cibernética: Manteniendo la Propiedad Intelectual bajo llave La valiosa propiedad intelectual (PI) de su empresa — sus secretos comerciales, patentes, y lista de clientes — está más susceptible a ataques por Internet hoy de lo que estaban ayer. Y estarán aún más vulnerable mañana. De hecho, un estudio reciente realizado por el Instituto Ponemon encontró que el número de ataques cibernéticos exitosos en empresas se ha más que duplicado en los últimos dos años y que el impacto financiero resultante se incrementó en aproximadamente un 40 por ciento. La tecnología está cambiando muy rápidamente, como así mismo los medios por los cuales los perpe- tradores de los delitos cibernéticos están llevando a cabo sus nefastas actividades. Un incremento de la conectividad global y una mayor dependencia de las organizaciones en terceras partes también aumentan el riesgo de exposición de propiedad intelectual. Esta edición de Tone at the Top ex- plica cómo los comités de auditoría, la administración, y los auditores internos pueden trabajar para reducir la exposición de riesgos de PI y proteger a sus organizaciones de los paralizantes ataques cibernéticos. Activos Valiosos Propiedad intelectual es un término bastante genéri- co que abarca la mayoría de los datos relacionados con los productos - y servicios - importantes de una empresa, los activos intangibles que dan a la com- pañía su ventaja. Una base de datos confidencial de clientes es un buen ejemplo, al igual que los planes de marketing, información de las transacciones de los clientes, y los resultados de pruebas beta. La lista continúa. Hubo un tiempo en que este tipo de información se almacenaba literalmente bajo llave. Sin em- bargo, hoy en día el ambiente de negocios de alta tecnología requiere el almacenamiento digital, accesibi- lidad remota y transferencia rápida y sencilla de datos. Mantener la propiedad intelectual segura es cada vez más difícil porque las empresas se han movido al mundo digital y también lo han hecho los delin- cuentes. ¨Desde el punto de vista de los vectores de amenazas, tu celular es probablemente tu riesgo más grande¨, dice Jeff Spivey, presidente de Security Risk Management Inc. y vicepresidente de ISACA, que establece las normas internacio- nales para la auditoría y control en tecnología informática. ¨Hay aplicaciones que permiten a los hackers utilizar tu teléfono móvil para monitorear tu correo electrónico, acceder a tus contraseñas, propiedad intelectual e incluso operar de forma remota la cá- mara de tu teléfono¨ dice Spivey, quien hablará sobre cyber seguridad en la conferencia General Audit Management del IIA en Marzo. TOP TONE at the Proporcionando información concisa en asuntos de gobernabilidad a la alta dirección, consejos de administración y comités de auditoría. Edición 66 | Febrero 2014 TONE AT THE TOP | Febrero 2014 1

Upload: armando-lindermann

Post on 07-Nov-2015

217 views

Category:

Documents


1 download

Report

DESCRIPTION

TaT 66 February 2014 - IIA - Seguridad Cibernetica ISACA

TRANSCRIPT

  • Seguridad ciberntica: Manteniendo la Propiedad Intelectual bajo llaveLa valiosa propiedad intelectual (PI) de su empresa sus secretos comerciales, patentes, y lista de clientes est ms susceptible a ataques por Internet hoy de lo que estaban ayer. Y estarn an ms vulnerable maana. De hecho, un estudio reciente realizado por el Instituto Ponemon encontr que el nmero de ataques cibernticos exitosos en empresas se ha ms que duplicado en los ltimos dos aos y que el impacto financiero resultante se increment en aproximadamente un 40 por ciento.

    La tecnologa est cambiando muy rpidamente, como as mismo los medios por los cuales los perpe-tradores de los delitos cibernticos estn llevando a cabo sus nefastas actividades. Un incremento de la conectividad global y una mayor dependencia de las organizaciones en terceras partes tambin aumentan el riesgo de exposicin de propiedad intelectual.

    Esta edicin de Tone at the Top ex-plica cmo los comits de auditora, la administracin, y los auditores internos pueden trabajar para reducir la exposicin de riesgos de PI y proteger a sus organizaciones de los paralizantes ataques cibernticos.

    Activos ValiososPropiedad intelectual es un trmino bastante genri-co que abarca la mayora de los datos relacionados con los productos - y servicios - importantes de una

    empresa, los activos intangibles que dan a la com-paa su ventaja. Una base de datos confidencial de clientes es un buen ejemplo, al igual que los planes de marketing, informacin de las transacciones de los clientes, y los resultados de pruebas beta. La lista

    contina.

    Hubo un tiempo en que este tipo de informacin se almacenaba literalmente bajo llave. Sin em-bargo, hoy en da el ambiente de negocios de alta tecnologa requiere el almacenamiento digital, accesibi-lidad remota y transferencia rpida y sencilla de datos. Mantener la propiedad intelectual segura es cada vez ms difcil porque las empresas se han movido al mundo digital y tambin lo han hecho los delin-cuentes.

    Desde el punto de vista de los vectores de amenazas, tu celular es probablemente tu riesgo ms grande, dice Jeff Spivey, presidente de Security Risk Management Inc. y vicepresidente de ISACA, que establece las normas internacio-nales para la auditora y control en tecnologa informtica.

    Hay aplicaciones que permiten a los hackers utilizar tu telfono mvil para monitorear tu correo electrnico, acceder a tus contraseas, propiedad intelectual e incluso operar de forma remota la c-mara de tu telfono dice Spivey, quien hablar sobre cyber seguridad en la conferencia General Audit Management del IIA en Marzo.

    TOPTONEat theProporcionando informacin concisa en asuntos de gobernabilidad

    a la alta direccin, consejos de administracin y comits de auditora.Edicin 66 | Febrero 2014

    TONE AT THE TOP | Febrero 2014

    1

  • TONE AT THE TOP | Febrero 2014

    Amenaza Invisible

    El primer paso para impulsar la seguridad cibern-tica consiste en identificar la amenaza. Los cuatro tipos principales son: hackers fastidiosos, hackers apoyados por el estado, atacantes criminales y hacktivistas, que pueden estar buscando temas relacionados con el medio ambiente o los derechos humanos.

    Los modos de ataque ms comunes incluyen la in-troduccin de un programa malicioso como Troyano, gusano, virus o software espa; phishing (obtencin va engao) de contraseas; y ataques de negacin de servicio destinados a bloquear los sitios web. Los resultados pueden ser devastadores, incluyendo prdidas financieras, robo de propiedad intelectual, dao reputacional, fraude y exposicin legal.

    Lo ms insidioso son los ataques llamados da cero en los que los hackers se infiltran en una base de datos, copian o modifican datos y luego salen sin ser detectados, dice Marc Vael, director ejecutivo de auditora de Smals, que proporciona la infraestruc-tura de TI para los sistemas de servicios sociales y atencin de salud de Blgica. Bajo este tipo de ataques, pueden transcurrir meses o incluso aos antes de que se detecten, mucho despus de que el dao se ha producido.

    Esfuerzo HolsticoMantener la propiedad intelectual a salvo de los criminales requiere que las tres lneas de defensa gerencia de tecnologa de informacin, gestin de riesgos y auditora interna estn al da en lo correspondiente a tecnologa y compartan los cono-cimientos para evitar puntos ciegos y silos. David Brand, gerente a cargo de auditora de TI de la firma consultora Protiviti, advierte en contra de poner de-masiada responsabilidad en los administradores de TI. La seguridad ciberntica, dice l, debera ser una preocupacin mayor de la gestin de riesgos y una parte habitual de los planes de auditora interna.

    Hay una tendencia en las organizaciones a pensar que la seguridad ciberntica es un asunto de TI, pero realmente depende de la direccin ejecutiva para decirle a TI qu necesita estar protegido, dnde reside la propiedad intelectual y quin debera tener acceso a ella, dice Brand. El riesgo de seguridad ciberntica es el mismo que cualquier otro tipo de riesgo. Es slo que el activo es de tipo electrnico en lugar de fsico. Usted necesita un buen sistema de control interno. Las responsabilidades del comit de auditora pue-den incluir el establecimiento de expectativas y responsabilidad para la administracin, la evaluacin de la suficiencia de los recursos, financiamiento, y el enfoque en las actividades de seguridad ciberntica. Es importante que los comits de auditora comuni-quen las expectativas con respecto a la seguridad y la mitigacin de riesgos.

    El punto ms dbilNo todas las amenazas son externas. Como cualquier esfuerzo de mitigacin de riesgos, las personas son el punto ms dbil. Vael recomienda entrenamiento regular de los empleados desde la base hasta el nivel superior de la organizacin. El mayor problema es el entendimiento, dice Vael. Explqueme, en mi idioma, los riesgos involucrados, qu se espera y lo que eso implica.

    Como parte de la auditora de TI, Vael recomienda una evaluacin anual de la habilidad de la orga-

    2

    Seis Pasos para Proteger la PI

    Robert Smallwood, consultor de Seguridad de Tecnologa de Informacin y autor del libro Safe-guarding Critical e-documents, recomienda los siguientes seis pasos para proteger la propiedad intelectual.

    1. Identifique los documentos electrnicos confidenciales (tipos de documentos y categoras).

    2. Determine dnde son creados, quin necesita tener acceso a ellos y cundo.

    3. Desarrolle polticas de gobierno de la informacin para administrar y controlar el acceso a documentos sensibles.

    4. Aplique las polticas de gobierno de la informacin con tecnologas de Seguri- dad de Documentos Electrnicos (EDS- Electronic Document Security), que pueden incluir la administracin de de- rechos sobre informacin, prevencin de prdida de datos, tecnologas de firmas digitales sobre documentos o cifrado.

    5. Pruebe y audite su programa de gobier- no de la informacin. 6. Perfeccione las polticas y contine evaluando la implementacin de nuevas tecnologas de seguridad ciberntica y EDS.

  • TONE AT THE TOP | Febrero 2014

    nizacin para mantener y asegurar sus aplicaciones, activos e infraestructura de TI algo que l llama competencias electrnicas.

    Finalmente, a medida que ms organizaciones exter-nalizan las funciones de TI o trasladan la infra-estructura y aplicaciones a la nube, Vael exhorta a los directores y ejecutivos para mantener en las gerencias la responsabilidad para realizar la debida diligencia de los proveedores contratados a fin de asegurar que cumplan con las polticas, prcticas y la cultura de la organizacin, cuando se trata de la pro-teccin de la propiedad intelectual y de la seguridad ciberntica.

    La gente tiende a centrarse en las cosas tangibles procesos y procedimientos, estructura organizacio-nal, dice Vael. Lo que est faltando es el compo-nente cultural.

    Los auditores internos tambin deben verificar que la compaa actualice los programas de entrenamien-to de los empleados segn sea necesario de manera que incluyan los requisitos para la proteccin y la eliminacin segura de material confidencial, y ase-gurar que nuevos empleados tengan entrenamiento adecuado, que incorpore una cuidadosa explicacin de la poltica de seguridad de la informacin y del cdigo de conducta.

    De hecho, son los empleados quienes desafortunada-mente representan el vnculo ms dbil en la cadena de cyber proteccin. Las organizaciones tienen un largo camino que recorrer hacia la proteccin de su cyber- propiedad intelectual haciendo todo lo posible para eliminar esta amenaza desde adentro.

    Comunicaciones de la Junta DirectivaLos datos generados por la junta directiva son tan vulnerables a los ciberataques como cualquier propiedad intelectual de la orga-nizacin. De hecho, segn la Encuesta de Gobierno a Juntas directivas de Thomson Reuters 2013, ms del 75 por ciento de las organizaciones utiliza cuentas personalesno seguras de correo electrnico para distribuir documentos de la Junta, y casi el 50 por ciento no garantiza que las comu-nicaciones de la Junta estn cifradas. Pero el 52 por ciento de las organizaciones ahora utiliza un portal de la Junta directiva para compartir informacin sensible de la misma.

    3

    Pregunta para la Encuesta rpidaQu tan seguro est usted de que los con-troles de su organizacin pueden prevenir una amenaza de seguridad ciberntica significativa?

    Visite www.theiia.org/goto/quickpoll para responder esta pregunta y ver lo que otros estn respondiendo.

    Preguntas que los Directorios deberan hacer.

    Cules son los activos de informacin ms crticos, y cul es el valor en juego en un evento de violacin de seguridad?

    La junta directiva / comit de auditora trabaj suficiente tiempo para compren-der los riesgos y controles clave necesa-rios para proteger a la organizacin del ataque ciberntico?

    Se ha efectuado un inventario de Propiedad Intelectual, incluyendo dnde reside y quin tiene acceso a ella?

    Tiene la organizacin destinados re-cursos y financiamiento suficientes para ejecutar seguridad ciberntica?

    La proteccin de la propiedad intelec-tual ha sido incluida en la evaluacin de riesgos en toda la compaa?

    Existen procedimientos formales que deben seguirse en caso de violaciones y se han probado estos procedimientos?

    Cul es la evaluacin de la auditora interna respecto de la capacidad de la organizacin para asegurar su propiedad intelectual?

    ? ?

  • Sobre El IIAEl Instituto de Auditores Internos Inc. (IIA) es una asociacin profesional mundial con 180.000 miem-bros en 190 pases. El IIA sirve como defensor de la profesin de auditora interna, pionero de las normas internacionales y principal investigador y educador. www.globaliia.org

    Suscripciones a disposicinVisite www.globaliia.org/Tone-at-the-Top o llame al: +1-407-937-1111 para solicitar su suscripcin gratuita.

    Comentarios de los LectoresEnve sus preguntas / comentarios a [email protected].

    Contenido del Consejo ConsultivoCon dcadas de experiencia en la alta direccin y consejo de administracin, los siguientes apreciados profesionales proporcionan orientacin sobre el con-tenido de esta publicacin:

    Martin M. Coyne II Nancy A. Eckl Michele J. Hooper Kenton J. Sicchitano

    TOPTONEat the

    02/140485 TONE AT THE TOP | Febrero 2014

    555-555-5555

    52%Adecuado

    11%Excepcional

    37%Pobre o Ausente

    Resultados de la Encuesta rpida:

    Qu tan bien los ejecutivos financieros, auditores internos, auditores externos y los miembros del consejo de su organi-zacin se comunican entre s?

    *Basado en 501 respuestas. Los encuestados slo podan elegir una respuesta.

    *Based on 501 responses. Respondents could only choose a single response.

    Derechos de autor 2013 por The Institute of Internal Auditors, Inc., (El IIA) estrictamente reservados. Toda reproduccin del nombre o del logo del IIA llevar el smbolo de registro de la marca registrada federal de los EE. UU. . Ninguna parte de este material podr reproducirse de ninguna forma sin el permiso escrito del IIA.

    El permiso se ha obtenido del titular del derecho de autor, The Institute of Internal Auditors, Inc., 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, U.S.A., para publicar esta traduccin, que es la misma en todos los aspectos ma-teriales, como el original, a menos que se apruebe como fue modificado. Ninguna parte del presente documento puede ser reproducida, guardada en ningn sistema de recuperacin o transmitida en forma alguna ni por ningn medio, sea electrnico, mecnico, fotocopia, grabacin, o cualquier otro, sin obtener previamente el permiso por escrito del IIA.

    El presente documento fue traducido por el IIA ECUADOR el 12/02/2014.


Bateson Cibernetica

Cibernetica segundo orden

Transposicion Cibernetica (Completo)

Cibernetica y Sistemas

Delincuencia cibernetica

L'ipotesi cibernetica

TIQQUN, L'ipotesi cibernetica

Guerra Cibernetica

jus cibernetica

Cibernetica Social

Informe Cibernetica Organizacional

Lectura Guerra Cibernetica

Psico Cibernetica

Practica CIBERNETICA

Teorias cibernetica compensar

Subiecte examen cibernetica

Cibernetica de La Cibernetica

Curs Cibernetica

travesias cibernetica

CIBERNETICA PEDAGOGICA I

Cibernetica Wiener

Geopolitica Cibernetica

Libro Transposicion Cibernetica

Defensa Cibernetica

Cibernetica Von Foerster

La cibernetica continuacion

Delincuencia cibernetica

Cibernetica Buena (7)

Autopoiesis y cibernetica

Cibernetica pedagogica

Revista Cibernetica

proiect cibernetica

La Cibernetica rh

Organizacion y cibernetica

metodologia cibernetica