Tabla de Ideas y Discusión
Integrantes Grupo 1:
- CLAUDIA MARCELA LADINO HERRERA Cód. Estudiante 815996
- JONEDER OSPINA REINA Cod. Estudiante 815973
Integrantes Grupo 2:
- ALEXANDER SERRANO CASTAÑEDA
- JOSÉ OTAVO RIOS
- LIGEL ESTRADA ALVARADO
Cuadro comparativo: Gobierno, Riesgo y Cumplimiento
| Componente | Grupo1 | Grupo2 |
|---|---|---|
| GOBIERNO | El Gobierno hace referencia al conjunto de políticas, reglas o marcos que una organización utiliza para alcanzar los objetivos organizacionales. Define las responsabilidades de los principales stakeholders como la junta directiva y la alta dirección. Por ejemplo, una adecuada gobernanza corporativa contribuye para que un equipo pueda incorporar una política de responsabilidad social de la organización en los planes. Se relaciona con la toma de decisiones clave en la organización, para alcanzar objetivos comerciales, de TI, de Recursos Humanos y todos aquellos en general, que sean necesarios para la operación del negocio. Es claro que el gobierno es una competencia de la Alta Dirección, y, de manera transversal, de los directores de área y ejecutivos de nivel medio. Para lograr un gobernanza eficaz, se basa en la toma de decisiones apoyada en información de calidad, confiable y oportuna, por supuesto, observando las mejores prácticas éticas. Los altos ejecutivos toman mejores decisiones basados en información proveniente de auditorías internas, informes de incidentes, evaluaciones de riesgos y resultados del monitoreo y seguimiento a diferentes sistemas de gestión; Para la implementación del gobierno en una organización, en lo relacionado con la gestión de los riesgos, podremos hacerlo mediante el marco COBIT 2019 (ISACA,2019) que es un marco de trabajo (framework) para el gobierno y la gestión de las tecnologías de la información (TI) empresariales y dirigido a toda la empresa donde se realiza una serie de actividades como son: Alineamiento estratégica, Estructura y efectividad, organizacional, Definir roles y responsabilidades, reducir o eliminar silos; Identificar procesos claves que soportan el cumplimiento de objetivos estratégicos y la adecuada gestión de riesgos estratégicos; identificación de dueños de procesos (riesgos, controles), Procesos GRC viables y útiles (pruebas, Autoevaluaciones). | El gobierno corresponde a la alineación de los objetivos empresariales y la gestión de una organización a través de la definición y ejecución de estrategias, políticas, procedimientos y controles. En el gobierno es importante comprender el contexto organizacional como también de la concienciación del personal para una cultura basada en la integridad y en la gestión de los riesgos. Para la implementación del gobierno en una organización, en lo relacionado con la gestión de los riesgos, podremos aplicar COBIT 2019 como una de las mejores prácticas existentes, puntualmente el objetivo/proceso Asegurar la optimización del riesgo del dominio de gobierno Evaluar, Dirigir y Monitorizar, que consiste en “Asegurar que el riesgo de negocio relacionado con I&T no exceda el apetito y tolerancia al riesgo de la empresa. Gestionar los riesgos para que no exista impacto” (ISACA, 2019). Para el presente caso de estudio, Phishing, una organización se puede apalancar en el estándar ISO27001 para la implementación de las siguientes políticas, procedimientos y/o controles (ICONTEC, 2006): A. Acuerdos sobre confidencialidad “Se deben identificar y revisar con regularidad los requisitos de confidencialidad o los acuerdos de no-divulgación que reflejan las necesidades de la organización para la protección de la información”. B. Educación, formación y concientización sobre la seguridad de la información “Todos los empleados de la organización y, cuando sea pertinente, los contratistas y los usuarios de terceras partes deben recibir formación adecuada en concientización y actualizaciones regulares sobre las políticas y los procedimientos de la organización, según sea pertinente para sus funciones laborales”. C. Proceso disciplinario “Debe existir un proceso disciplinario formal para los empleados que hayan cometido alguna violación de la seguridad”. D. Uso de contraseñas “Se debe exigir a los usuarios el cumplimiento de buenas prácticas de seguridad en la selección y el uso de las contraseñas.” E. Controles contra códigos maliciosos “Se deben implementar controles de detección, prevención y recuperación para proteger contra códigos maliciosos, así como procedimientos apropiados de concientización de los usuarios”. F. Controles contra códigos móviles “Cuando se autoriza la utilización de códigos móviles, la configuración debe asegurar que dichos códigos operan de acuerdo con la política de seguridad claramente definida, y se debe evitar la ejecución de los códigos móviles no autorizados”. G. Política de escritorio despejado y de pantalla despejada “Se debe adoptar una política de escritorio despejado para reportes y medios de almacenamiento removibles y una política de pantalla despejada para los servicios de procesamiento de información”. Para las entidades públicas, la aplicación se realiza a través del Modelo de Seguridad y Privacidad de la Información – MSPI de MINTIC, que integra la norma ISO27001, la ley de protección de datos personales, la ley de transparencia y acceso a la información pública, el modelo integrado de planeación y gestión, la guía para la administración del riesgo y el diseño controles en entidades públicas y el marco de referencia de arquitectura empresarial (MINTIC, 2010). Para la implementación del MSPI las entidades se deben orientar a través de diferentes guías (MINTIC, 2010), para el caso de gobierno consideramos que se pueden aplicar principalmente las siguientes: Guía 2 – Que relaciona las políticas referentes a seguridad de la información. Guía 3 – Que relaciona los procedimientos referentes a seguridad de la información. Guía 8 – Que relaciona los controles referentes a seguridad de la información. Guía 4 – Que relaciona la definición de los roles y responsabilidades de seguridad y privacidad de información dentro de las entidades públicas. Guía 14 – Que relaciona el diseño del plan de comunicación, sensibilización, capacitación. |
| RIESGO | Las organizaciones en ejecución de sus actividades deben enfrentar diferentes tipos de riesgos como los financieros, estratégicos, legales y de seguridad, etc. Mediante una adecuada gestión de riesgos se hace posible identificar los riesgos y hallar formas de mitigarlos o corregirlos. Las organizaciones pueden implementar un programa de gestión de riesgos empresariales para predecir posibles problemas y minimizar las pérdidas. Por ejemplo, aplicar una evaluación de riesgos para detectar brechas de seguridad en sus sistemas de información y emplear las acciones requeridas para solucionarlo. Es un proceso continuo para abordar riesgos y mitigarlos mediante controles, así como para garantizar que se gestionen de acuerdo con las políticas establecidas. Incluye la medición, la evaluación, la contención, la supervisión y la identificación de los riesgos. La herramienta y estrategia tradicional para identificar y evaluar la gestión riesgos se realiza con la implementación de la ISO 31000:2018 (ISO 31000:2018, n.d.)con ella se realiza Proceso sistemático de identificar y evaluar riesgos, se administran y monitorear los riesgos del negocio, se prueba y administran controles, se realiza la priorizar y racionalizar riesgos y controles y por último se realiza la segregación funcional de riesgos. La valoración de los Riesgos facilita la identificación y el análisis de los riesgos que enfrenta una organización para la obtención de los objetivos planteados, tanto de fuentes internas como externas relevantes. | El riesgo corresponde a la identificación de los activos críticos, sus amenazas y vulnerabilidades, la clasificación de los riesgos y la definición de los planes para su tratamiento. Para la implementación del riesgo en una organización podremos aplicar COBIT 2019, puntualmente el objetivo/proceso: Gestionar el riesgo del dominio de gestión: Alinear, Planear y Organizar, que consiste en “Integrar la gestión del riesgo empresarial relacionado con la I&T con la gestión del riesgo empresarial global (ERM): Evaluar los riesgos” (ISACA, 2019); dicho framework nos sugiere las metodologías para aplicar al caso de estudio Phishing con los siguientes estándares (ISACA, 2019): A. CMMI Data Management Maturity Model. B. ISO/IEC 27005. C. COSO Enterprise Risk Management. Para la implementación del MSPI en lo referente a riesgo consideramos que se pueden aplicar principalmente las siguientes guías (MINTIC, 2010): Guía 5 – Que relaciona la metodología para la identificación u clasificación de los activos de información. Guía 7 – Que relaciona la metodología para la gestión de Riesgos. Guía 8 – Que relaciona los controles referentes a seguridad de la información. |
| CUMPLIMIENTO | El cumplimiento consiste en seguir las reglas, las leyes y las regulaciones. Se aplica a los requisitos legales y regulatorios establecidos por los organismos del sector y también a las políticas corporativas internas. Bajo un enfoque de Gobierno, Riesgo y Cumplimiento (GRC), el cumplimiento implica la aplicación de procedimientos que garanticen que las actividades empresariales cumplen con las regulaciones correspondientes, para ellos las empresas utilizan el modelo de las tres líneas de defensa del Instituto de Auditores internos (IIA), para mejorar la gestión de riesgos y fomentar una mayor colaboración entre las funciones empresariales.[3] El World Business Council for Sustainable Development (WBCSD) y el Institute of Internal Auditor (IIA), reconocen al modelo de tres líneas del IIA como un recurso crítico en el éxito de la gobernanza, ya que ayuda a las organizaciones a identificar estructuras y procesos para gestionar mejor los riesgos y lograr objetivos, incluyendo los riesgos relacionados con la sostenibilidad. Este modelo establece los tres roles que definen la gobernanza en su forma más básica: responsabilidad, acciones, y aseguramiento. De igual forma permite identificar los tres actores esenciales en la gobernabilidad: el órgano de gobierno, dirección, y auditoría interna. Las responsabilidades de primera línea contemplan el suministro de productos y servicios a los clientes, incluyendo los servicios de soporte (como recursos humanos, administración y servicios generales). La segunda línea provee supervisión, asesoramiento, evalúa y ejecuta las actividades de gestión de riesgo, desafiando a la primera línea donde sea necesario. Estos roles y responsabilidades son los elementos fundamentales de la gobernanza, apoyada por un órgano de gobierno que es el verdadero garante de las acciones que encargó a la Dirección para su cumplimiento. Este Órgano de Gobierno debe tener una fuente aseguramiento objetivo y autónomo que le permita aumentar su seguridad de que lo que ha sido pedido se ha cumplido. Sin este aseguramiento, no hay gobernanza. El modelo identifica a la Auditoría Interna cómo el departamento obligatorio para obtener este aseguramiento objetivo, e independiente de la Dirección. | El cumplimiento corresponde a que las actividades descritas en las políticas y procedimientos cumplan con las leyes y regulaciones que le apliquen a la organización. Para la implementación del cumplimiento en una organización podremos aplicar COBIT 2019, puntualmente el objetivo/proceso: Gestionar el cumplimiento de los requisitos externos del dominio de gestión: Monitorizar, Evaluar y Valorar, que consiste en “Cumplir los requisitos externos o leyes aplicables de acuerdo con el sector de la empresa” (ISACA, 2019); dicho framework nos sugiere las metodologías para aplicar al caso de estudio Phishing con los siguientes estándares (ISACA, 2019): A. CMMI Cybermaturity Platform B. CMMI Data Management Maturity Model C. ISO/IEC 27002 D. HITRUST CSF E. ISF, The Standard of Good Practice for Information Security. Igualmente, una organización se puede apalancar en el estándar ISO27001 para la implementación de las siguientes políticas, procedimientos y/o controles (ICONTEC, 2006): A. Identificación de la legislación aplicable “Todos los requisitos estatutarios, reglamentarios y contractuales pertinentes, así como el enfoque de la organización para cumplir estos requisitos se deben definir explícitamente, documentar y mantener actualizados para cada sistema de información y para la organización”. B. Derechos de propiedad intelectual (DPI) “Se deben implementar procedimientos apropiados para asegurar el cumplimiento de los requisitos legales, reglamentarios y contractuales sobre el uso del material con respecto al cual pueden existir derechos de propiedad intelectual y sobre el uso de productos de software patentados”. C. Protección de los registros de la organización “Los registros importantes se deben proteger contra pérdida, destrucción y falsificación, de acuerdo con los requisitos estatutarios, reglamentarios, contractuales y del negocio”. D. Protección de los datos y privacidad de la información personal “Se debe garantizar la protección de los datos y la privacidad, de acuerdo con la legislación y los reglamentos pertinentes y, si se aplica, con las cláusulas del contrato”. E. Prevención del uso inadecuado de los servicios de procesamiento de información “Se debe disuadir a los usuarios de utilizar los servicios de procesamiento de información para propósitos no autorizados”. F. Reglamentación de los controles criptográficos “Se deben utilizar controles criptográficos que cumplan todos los acuerdos, las leyes y los reglamentos pertinentes”. Con la implementación del MSPI implícitamente se da cumplimiento a las leyes y regulaciones de gobierno colombiano. |
| RETOS ADMINISTRATIVOS QUE PLANTEA | Se pueden listar como retos administrativos que plantea la GRC los siguientes: 1. Determinar las personas clave y sus funciones dentro de proceso de desarrollo GCR. 2.La comunicación es la clave hay que concientizar a todos los miembros de la empresa sobre la implementación del programa GCR. 3.La utilización de marcos y directrices como COSO, COBIT, NIST, ITIL, UCF, etc., pueden proporcionar un gran punto de partida, así como un fuerte punto de contacto a lo largo de su proceso de maduración para asegurarse de que está considerando todos los aspectos de un programa de GRC. 4. Realizar alianzas con red de colegas en su campo de experiencia e industria para conocer para conocer las mejores prácticas, los retos, los cambios, la orientación, etc. Esta es la forma más tangible de obtener la seguridad de que el proceso de GRC que está construyendo está considerando todos los aspectos que deben ser considerados. 5.Comprender los procesos, los datos, los equipos, etc. que ya existen en su organización. Por ejemplo, Auditoría Interna,GRC de TI y otras tienen procesos empresariales de datos definidas que pueden hacer que un programa de GRC. (Amazon Web Services., 2022) | Consideramos que uno de los principales retos del Gobierno, Riesgo y Cumplimiento – GRC es la concientización de todos los empleados de una organización en lo relacionado con el código de ética/ integridad, la seguridad de la información y la gestión del riesgo con el fin de que actúen en primera instancia con integridad. Un reto crucial, no solo para la implementación sino para el mantenimiento y mejoramiento a través del tiempo del GRC corresponde a lograr una comunicación que sea realmente oportuna, asertiva y, sobre todo, transparente entre los empleados, las partes interesadas, los socios y los directivos (Amazon Web Services, 2022). Otro reto importante es lograr la integración entre las actividades propias de la organización con los componentes del GRC a través de la articulación de las mejores prácticas, normas y estándares existentes en el mercado logrando establecer claramente un proceso de adopción y así aumentar la probabilidad de éxito (Amazon Web Services, 2022). En lo relacionado con el caso de estudio, Phishing, el reto que se plantea a cualquier organización es la educación, formación y concientización a todos los empleados de la organización sobre el modo de operación de esta técnica y como evitarla, adicionalmente, la implementación de herramientas tecnológicas para la detección, prevención, eliminación, bloqueo y recuperación para proteger la información contra códigos maliciosos. |
⌂Inicio
REFERENCIAS GRUPO 1:
Amazon Web Services. (2022). ¿En qué consiste el enfoque de gobernanza, riesgo y cumplimiento? - Explicación sobre GRC - AWS. https://aws.amazon.com/es/what-is/grc/
el Instituto de Auditores Internos (IIA). (2020). Análisis: Comparación del nuevo “Modelo de tres líneas” del IIA con el anterior | Artículo | Semana de Cumplimiento.
https://www.complianceweek.com/risk-management/analysis-comparing-the-iias-new-three-lines-model-to-the-old-one/29252.article
ISACA. (2019). COBIT | Objetivos de Control para Tecnologías de la Información | ISACA. https://www.isaca.org/resources/cobit
ISO 31000:2018. (n.d.). ISO 31000:2018(es), Gestión del riesgo — Directrices. Retrieved November 9, 2022, from https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es
BIBLIOGRAFÍA GRUPO 2:
Amazon Web Services. (2022). ¿Qué es la gobernanza, el riesgo y el cumplimiento (GRC)? https://aws.amazon.com/es/what-is/grc/
ICONTEC. (2006). NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA 27001 - TÉCNICAS DE SEGURIDAD. SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI). http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma. NTC-ISO-IEC 27001.pdf
ISACA. (2019). Framework COBIT 2019 Governance and management objectives.
MINTIC. (2010). Modelo Integrado de Planeación y Gestión (MIPG). https://mintic.gov.co/gestion-ti/Seguridad-TI/Modelo-de-Seguridad/