Академический Документы
Профессиональный Документы
Культура Документы
El resultado de la investigacin revela que para el 81 % de las compaas encuestadas la mayor amenaza de
fraude proviene de sus reas internas, perpetrado por algn miembro de la propia organizacin. Este hecho
representa un importante incremento frente al 72 % registrado en la encuesta anterior.
Las empresas encuestadas representan a una amplia gama de industrias, incluyendo Servicios Financieros y
Servicios Profesionales, Comercio, Tecnologa de la Informacin, Telecomunicaciones, Salud, Farmacuticos y
Biotecnologa, Transporte, Ocio y Turismo, Bienes de Consumo, Construccin, Ingeniera e Infraestructura,
Recursos Naturales y Manufactura, lo que indica que esta problemtica no es privativa de una industria o pocas
empresas.
Cuando hablamos de fraude la primera relacin que hacemos est asociada a la estafa o robo econmico, pero
tambin debemos incluir aspectos relacionados con el robo a travs de la prdida de confidencialidad y privacidad
de la informacin, y la coincidencia entre ambos aspectos es la necesidad de proporcionar directrices para la
seleccin y especificacin de controles de seguridad relacionados con el factor humano que sirvan para ser
aplicados a cualquier proceso y sistema de informacin que deseemos sean ms seguros y con una gestin de
riesgos efectiva a travs de facilitar un enfoque ms coherente, comparable y repetible para la seleccin y
especificacin de los controles de seguridad de los sistemas y organizaciones de informacin y proporcionar un
Tal como lo sabemos, cada uno de los estndares aplicables a los sistemas de gestin contemplan el factor
humano, tanto en aspectos relacionados con su capacitacin y aptitudes tcnicas como en su propia gestin del
entorno de trabajo y sus responsabilidades en el cumplimiento legal y regulatorio. Las pautas determinantes para
conseguirlo son la formacin continua y la motivacin del personal, que son elementos esenciales para conseguir
1
Seguridad de la Informacin Auditora de Sistemas
Es precisamente a partir de esta concepcin que una gestin adecuada de los riesgos
ayudar a modelar una metodologa para detectar cules son los aspectos esenciales
en los que la mejora es ms necesaria u oportuna sobre aquellos aspectos que
pueden tener serias implicaciones en el xito de una estrategia empresarial basada
en las personas. La NTP mencionada puede ser tomada como gua para analizar la
problemtica que planteamos en este artculo, ya que establece que deben ser
evaluados seis aspectos relevantes, que desde mi punto de vista pueden despertar
potenciales riesgos a la organizacin, al igual que cualquier otro aspecto tecnolgico o funcional:
LIDERAZGO Y ESTRATEGIA, evaluado como factor clave para el potenciamiento y apoyo al desarrollo de
competencias; revisin del mtodo en la delegacin de tareas, responsabilidades y autoridad; revisin de
la definicin de intereses estratgicos para la organizacin en prevencin de riesgos.
COOPERACIN, evaluando el desempeo del trabajo en equipo y la integracin de los objetivos de grupo
en los objetivos generales; as como la participacin activa a todos los niveles y la facilidad en las
relaciones funcionales e interdepartamentales.
COMUNICACIN, revisando cada uno de sus canales (vertical bidireccional y horizontal), sus formas y la
oportunidad de aplicacin de nuevas tecnologas; evaluar los medios de transmisin de la informacin,
sus tiempos y actualizacin.
Las definiciones antes expuestas, y la problemtica entorno a los riesgos del factor humano, nos indican que el
2016 profundiza el desplazamiento en el enfoque adoptado por las diferentes regulaciones y estndares,
cambiando su estrategia de revisin haciendo centro en la evaluacin de la cultura de cumplimiento de las
empresas y no simplemente en la evaluacin tcnica o funcional disociada de la gestin de sus recursos humanos.
Las entidades regulatorias han puesto sus ojos en la cultura corporativa y su relacin con las prcticas de
cumplimiento ampliando su enfoque en reas tales como los controles internos y la gestin de riesgos evaluando
entre otras cosas, qu tan bien las empresas han implementado procedimientos adecuados para minimiza los
riesgos relacionados con toda gestin llevada a cabo por su personal.
2
Seguridad de la Informacin Auditora de Sistemas
Para todos los casos y ante cualquier situacin, el riesgo del factor humano est siempre presente, por ello es
necesario establecer una metodologa cuantitativa en funcin de datos que representen el nivel de cumplimiento
interno, representados en un proceso de medicin que refleje en forma peridica el alineamiento a las polticas
internas de la organizacin y sus desvos. Tambin puede hacerse mediante encuestas internas a usuarios finales,
con preguntas referentes a puntos vitales de las normas, para evaluar el nivel de conocimiento como instancia
previa a evaluar el cumplimiento en los procesos. Con respecto a los
indicadores, los mismos deben ser dinmicos en funcin de nuevas
regulaciones o cambios en los procesos (lo que los hacen variables en el
tiempo); adems que tambin puedo establecer distintos niveles de
indicadores en funcin del nivel de madurez de la organizacin, lo que
tambin hace que puedan variar en el tiempo teniendo en cuenta el
crecimiento futuro en el nivel de cumplimiento de la misma.
Como conclusin, no importa para que proceso usted est implementando una gestin de riesgos. Lo importante
es tener en cuenta en ella a las personas y sus funciones dentro del proceso, con el fin de determinar en forma
temprana los controles y la metodologa en que los va a llevar adelante y medirlos.
Gerente de Servicios y Soluciones en el rea de Gobierno, Riesgo y Cumplimiento (GRC) en Cybsec Security
Fabin Descalzo Systems S.A., con amplia experiencia en la implementacin y cumplimiento de Leyes y Normativas
fabiandescalzo@yahoo.com.ar Nacionales e Internacionales en compaas de primer nivel de diferentes reas de negocio en la
optimizacin y cumplimiento de la seguridad en sistemas de informacin, Gobierno de TI y Gobierno de
Seguridad de la Informacin.
Miembro del Comit Acadmico E-GISART 2016 de ISACA Buenos Aires Chapter, Miembro del Comit
Directivo del Cyber Security for Critical Assets LATAM Summit para Qatalys Global seccin
Infraestructura Crtica (Gobiernos y empresas de Amrica Latina en el sector de la energa, qumica,
petrleo y gas), Miembro del Comit Cientfico ARGENCON del IEEE (Institute of Electrical and Electronics
Engineers), Miembro del Comit Organizador CYBER 2015 de ISACA Buenos Aires Chapter, certificado en
Profesor del mdulo 27001 del curso de IT Governance, Uso eficiente de Frameworks, y de la
Diplomatura en Gobierno y Gestin de Servicios de IT del Instituto Tecnolgico Buenos Aires (ITBA) y
Profesor en Sistemas de Gestin IT y Seguridad de la Informacin en entidades certificadoras.