Documente Academic
Documente Profesional
Documente Cultură
ACADEMIES
TAKE THE CCEP-I
®
CERTIFICATION
EXAM AFTER YOU
FROM THE SOCIETY OF CORPORATE COMPLIANCE & ETHICS
®
COMPLETE THIS
INTENSIVE TRAINING
SINGAPORE 9,800+
COMPLIANCE
REGISTER EARLY TO RESERVE YOUR PLACE PROFESSIONALS
LIMITED TO 75 FOR EACH ACADEMY HOLD A COMPLIANCE
CERTIFICATION BOARD
(CCB) CREDENTIAL
®
CLE APPROVED
corporatecompliance.org/academies
Questions: lizza.catalano@corporatecompliance.org
The ISACA® Journal
Journal
tiene por objeto mejorar el
nivel de competencia y la
ventaja competitiva de sus
lectores internacionales,
proporcionando orientación
4 32 técnica y de gestión de autores
Materias seguridad de la información: ¿El final Aseguramiento de la seguridad en el SDLC para
del principio? la internet de las cosas experimentados globales. Los
Steven J. Ross, CISA, CISSP, MBCP Sivarama Subramanian, CISA, and Balaji
Swaminathan M., CISA, CISSP artículos son revisados por
7 pares y se centran en temas
Auditoría básica de SI: Gestión de datos 43 críticos para los profesionales
maestros: Un resumen para los auditores Protección de aplicaciones móviles con un enfoque
Ed Gelbstein, Ph.D. de ciclo de vida seguro para el desarrollo que intervienen en auditoría
Sakthivel Rajendran, CISA, CRISC, CISM,
CEH, GMOB de TI, gobierno, seguridad y
12
La red cumplimiento.
Jane Whitgift, CISM, MBCS MAS
53
14 Fuente de ayuda
Los aspectos prácticos: Mitigación de los Sunil Bakshi, CISA, CRISC, CISM, CGEIT, ABCI,
factores de riesgo de fracaso de un proyecto AMIIB, BS 25999 LI, CEH, CISSP, ISO 27001 LA,
de TI MCA, PMP
Vasant Raval, DBA, CISA, ACMA, and Rajesh Sharma,
Ph.D., ITIL-F, Six Sigma Black Belt 56
Palabras cruzadas
Myles Mellor
ARTICULOS
57
19 CPE Prueba
Gestionar el riesgo de IoT Kamal Khan CISA, CISSP, CITP, MBCS
Indrajit Atluri, CRISC, CISM, CEH, CISSP, CSSLP,
HCISPP, ITILv3 59
(Também disponível em português) Estándares, guías, herramientas y técnicas
S1-S4
27 ISACA Bookstore Supplement
IoT necesita una mejor seguridad
Hemant Patel, CISM, ITIL, PMP, TOGAF
Lea más acerca
(Também disponível em português) de los autores del
Journal...
Aceptación
Hace varios años escribí en este mismo espacio
que la aceptación de la amenaza de ciber ataques,
por parte de la alta dirección y los consejos de
administración, era la clave para generar los
presupuestos para contrarrestar estas amenazas6.
Existe una pequeña duda en mi mente de que
esto se haya logrado. Numerosos informes de
noticias, estudios de investigación y publicaciones7
han hecho que la realidad de los incidentes de
seguridad cibernética sea clara para aquellos que
Steven J. Ross, CISA, CISSP, MBCP gestionan el problema.
Es director ejecutivo de Risk Masters International LLC. Ross ha
escrito una de las columnas más populares de la revista desde 1998. La comprensión no necesariamente conduce a la
Puede ser contactado en stross@riskmastersintl.com.
acción, pero creo que en este caso sí lo ha hecho.
ASK
how you can make more
connections locally and globally
with ISACA’s Member Advantage.
Members know that community ACCESS includes special opportunities that only
counts! ISACA’s Member members can receive:
Advantage helps connect you with • Insights from Global Conferences with thought leaders
over 150,000 professionals in more • Invitations to online career fairs—connect with hiring
than 180 countries. Network locally managers at top companies
through your chapter and meet • Professional networking through local and global
like-minded people who can enhance events—be sure to get your member discount!
your skills, connections, business • NEW Volunteer opportunities on the 2017 horizon
development efforts and future • Professional and Industry Advocacy
prospects for employment. And members have access to 72 FREE CPEs in 2017!
Notas Finales
1 Gelbstein, E., “The Domains of Data and
Information Audits,” ISACA® Journal, vol. 6,
2016, www.isaca.org/journal/archives
2 The Data Management Association, DAMA-Data
Management Body of Knowledge Framework,
6 March 2014, https://www.dama.org/sites/
default/files/download/DAMA-DMBOK2-
Framework-V2-20140317-FINAL.pdf
3 ISACA®, COBIT® 5: Enabling Information, USA,
2013, www.isaca.org/COBIT/Pages/COBIT-5-
Enabling-Information-product-page.aspx
Anatomía de un proyecto de
tecnologías de la información
Un proyecto de TI es la culminación de tres
subsistemas:
• Proceso (planificación y entrega del proyecto)
• Contexto (sistema a ser provisto)
• Contenido (sistema que entrega el servicio)
Vasant Raval, DBA, CISA, ACMA Rajesh Sharma, Ph.D., ITIL-F, Six Sigma
Es profesor de contabilidad en la Universidad Black Belt
de Creighton (Omaha, Nebraska, EE.UU.). Es una oficina de gestión de calidad (QMO) en
Coautor de dos libros sobre sistemas de los Servicios de Ingeniería de Software. Cuenta
información y seguridad, sus áreas de con más de 19 años de experiencia en el
enseñanza e investigación incluyen la establecimiento y gestión de una oficina de gestión
seguridad de la información y el gobierno de proyectos, un QMO, un programa de métricas
corporativo. Puede ser contactado en y como líder para proyectos independientes de
vraval@creighton.edu. verificación y validación (IV&V). Como líder de QMO
y IV&V, ha realizado auditorías de calidad, mejora
de procesos y evaluaciones de IV&V. Puede ser
contactado en rajsharmane@gmail.com.
Vibración Análisis y
Servicios de descanso visualización
Humedad
Vaho
DB
Fluir Base de datos
Proximidad
Servidores de
Electricidad almacenamiento
Magnético Mensajería
Radio
Gestión de dispositivos
Químico Dispositivos IoT
comunicarse con
la nube
Actuadores Automatización de
procesos IoT
Hidráulico
Neumático
Eléctrico
Motor de reglas
Mecánico
1. Identificar información
Notas Finales
1 York, K.; “Dyn Statement on 10/21/2016
DDoS Attack,” Oracle, 22 October 2016,
http://dyn.com/blog/dyn-statement-on-
10212016-ddos-attack/
2 Ibid.
3 Martin, C.; “U.S. to Issue IoT Principles After
Internet Cyberattack,” MediaPost, 26 October
2016, www.mediapost.com/publications/
article/287614/us-to-issue-iot-principles-after-
internet-cybera.html
4 Atluri, I.; “The Rewards and Risks of Our
Smarter Future,” InfoSecurity Professional,
International Information Systems Security
Certification Consortium, Inc. November/ 12 CNBC, “New Cybersecurity Guidelines for
December 2014, www.isc2.org/uploadedfiles/ Medical Devices Tackle Evolving Threats,”
(isc)2_member_content/member_resources/ The Verge, 29 December 2016, www.cnbc.
infosecurity_professional_magazine/infosecurity- com/2016/12/29/new-cybersecurity-
professional-magazine-nov-dec-2014.pdf guidelines-for-medical-devices-tackle-evolving-
5 Op cit, Martin threats.html
6 Martin, C.; “U.S. Issues Guidelines for IoT 13 Food and Drug Administration, “Postmarket
Security,” MediaPost, 18 November 2016, Management of Cybersecurity in Medical
www.mediapost.com/publications/ Devices: Guidance for Industry and Food
article/289288/us-issues-guidelines-for-iot- and Drug Administration Staff,” USA,
security.html 28 December 2016, www.fda.gov/downloads/
7 Armerding, T.; “Feds Provide Legal Loophole MedicalDevices/DeviceRegulationandGuidance/
to Hacking IoT Devices,” CSO, 28 November GuidanceDocuments/UCM482022.pdf
2016, www.csoonline.com/article/3144648/ 14 Zurier, S.; “No Clear Policy,” SCMagazine,
internet-of-things/feds-provide-legal-loophole- March 2017, https://media.scmagazine.com/
to-hacking-iot-devices.html documents/287/0317_digital_edition_71636.pdf
8 Lawson, S.; “Industrial IoT Inches Toward 15 Sun, L.; “IoT Stocks: What to Watch in 2017,”
Consensus on Security,” ComputerWorld, The Motley Fool, 23 November 2016, www.fool.
19 September 2016, www.computerworld.com/ com/investing/2016/11/23/iot-stocks-what-to-
article/3122244/internet-of-things/industrial-iot- watch-in-2017.aspx
inches-toward-consensus-on-security.html 16 Microsoft Secure Blog Staff, “The Emerging Era
9 Federal Trade Commission, “FTC Announces of Cyber Defense and Cybercrime,” Microsoft
Internet of Things Challenge to Combat Secure Blog, 27 January 2016, http://blogs.
Security Vulnerabilities in Home Devices,” USA, microsoft.com/microsoftsecure/2016/01/27/
4 January 2017, www.ftc.gov/news-events/ the-emerging-era-of-cyber-defense-and-
press-releases/2017/01/ftc-announces-internet- cybercrime/
things-challenge-combat-security 17 Dickson, B.; “Why IoT Security Is So
10 Zurier, S.; “Z-Wave Alliance Ups IoT Critical,” TechCrunch, 24 October 2015,
Security,” SC MEDIA, 12 December 2016, https://techcrunch.com/2015/10/24/why-iot-
www.scmagazine.com/z-wave-alliance- security-is-so-critical/
ups-iot-security/article/578656/ 18 Moyle, E.; “Three Steps to Better Security in
11 Gross, G.; “US Lawmakers Balk at Call for IoT IoT Devices,” TechTarget, July 2016, http://
Security Regulations,” CSO, 16 November internetofthingsagenda.techtarget.com/tip/
2016, www.csoonline.com/article/3141920/ Three-steps-to-better-IoT-device-security-in-
security/us-lawmakers-balk-at-call-for-iot- the-enterprise
security-regulations.html
2017
2017 2017 AFRICA ASIA PACIFIC
CACS
AN ISACA EVENT
TM CACS
AN ISACA EVENT
TM
• Message Queuing Telemetry Transport debido a una violación de seguridad o por otras
(MQTT)—Un protocolo basado en TCP razones. Un mal funcionamiento puede provocar
que admite la autenticación del dispositivo, que un dispositivo vuelva a intentar acceder a los
encriptación SSL (Secure Sockets Layer), datos, y sin una configuración adecuada que limite
seguridad en la capa de transporte (TLS), encola el número de reintentos, puede haber un número
publica/suscribe capacidades infinito de reintentos. Cuando cada reintento envía
un mensaje de error al hub, el concentrador puede
• Constrained Application Protocol (CoAP)—
terminar recibiendo mensajes de error infinitos (similar
Protocolo de transporte basado en protocolo
a un ataque distribuido de denegación de servicio
de datagramas de usuario (UDP), soporta micro
[DDoS]) y el concentrador de IoT podría dejar de
dispositivos y tiene una huella mucho menor
operar debido a una carga excesiva, afectando así
que HTTP. Soporta cifrado Advanced Encryption
Disponibilidad del centro.
Standard (AES )8.
Móvil
Dispositivo 1 aplicaciones
Dispositivo 2
Nodo de la Aplicaciones en
pasarela o del la nube y
Dispositivo 3 controlador data center
principal es construir la seguridad dentro del ciclo puede lograrse con un inventario adecuado de lo
de vida de estas aplicaciones desde el punto cero que se va a gestionar, como es:
que potencialmente y gradualmente reduce las fallas
• Categoría por tipo de desarrollo—La categoría
en seguridad, diseño, Implementación y despliegue.
por tipo de desarrollo depende de dónde se
El cumplimiento adecuado de estas mejores
desarrolló el software/API, por ejemplo, desarrollo
prácticas de aseguramiento dará lugar a aplicaciones
carentes de vulnerabilidades que pudieran haber interno, desarrollo de proveedores/socios,
sido introducidas accidental o intencionalmente en comercial/comercial empaquetado o de código
cualquier punto de tiempo en su ciclo de vida. abierto. Esto también es vital para derivar la
gobernanza de la seguridad y las políticas con las
Comienzo y requisitos que se adhieren para cada uno de estos tipos.
• Categoría por tipo de aplicación—La categoría
La gestión eficaz de la seguridad de los
según el tipo de aplicación depende de dónde
componentes involucrados es un área de enfoque
resida el software o la API, por ejemplo,
crítico porque un entorno IoT típico se difunde
dispositivo (nodos o pórticos), servidores de la
ampliamente, tanto físicamente (con numerosos
nube/data center, móviles o equipos de escritorio.
dispositivos) como lógicamente (con múltiples
Esto dictaría las guías de codificación seguras,
tecnologías y aplicaciones). Esta gestión eficaz sólo
listas de comprobación, configuración de
seguridad aplicable a cada uno de los tipos de
aplicación en consonancia con las políticas de
Las sesiones de concienciación seguridad.
todas las etapas del ciclo de vida. Dependiendo de los niveles de riesgo percibidos
para las aplicaciones, las puertas de control pueden
ser derivadas. Las implementaciones incrementales
Configuración de Ejecución
entorno de prueba Informes
de pruebas
4. Aplicación en la nube—Java/J2EE web y móvil Los siguientes son el número de defectos de seguridad
5. Aplicaciones móviles—Aplicaciones para enumerados en las respectivas etapas SDLC:
Android e iOS • Diseño: 41
Wired
Wi-Fi, 3G, 4G
GSM
REGISTRATION
IS OPEN!
11 – 12 SEPTEMBER | ACCRA, GHANA
The Africa CACS Conference is the premier
conference for Audit/Assurance, Compliance, Risk,
Security and Strategy/Governance professionals.
This year’s programme will include sessions on:
• IS Audit & Assurance
• Security & Cybersecurity
• Governance, Risk & Controls
• Compliance/Privacy
Embrace new knowledge and inspiration you can
apply immediately to any role in information systems,
or IT roles in business and government.
Join us at Africa CACS 2017 and earn up to 14
Continuing Professional Education (CPE) credits—for
a conference total of 29 CPEs—by attending either of
our invaluable Cybersecurity Fundamentals or COBIT® 5
Foundation two-day, pre-conference workshops.
www.isaca.org/africacacs-jv3
Problemas de seguridad de
aplicaciones móviles
Sakthivel Rajendran, CISA, CRISC, CISM, CEH, GMOB
Los problemas de seguridad no son diferentes Es un gestor de seguridad de la información en la India y trabaja con una
en el caso de aplicaciones móviles, en las que la importante empresa global de atención médica. Tiene más de una década
de experiencia en seguridad de TI. Su área de enfoque es la seguridad de las
aplicación se descarga desde Internet (por ejemplo,
tecnologías emergentes. Puede ser contactado en sakthiindian@gmail.com.
Apple Store o Google Play Store) e instalada en el
dispositivo del usuario. Al igual que las aplicaciones
Seguridad en el Desarrollo
Determinar el nivel de riesgo Requisito
de la aplicación Reunión
Incorporar requisitos de seguridad
Minimizar las fallas de seguridad
Modelo de amenaza Diseño
Análisis de la revisión de la arquitectura Y Codificación
Análisis estático
Garantía de seguridad
Análisis dinámico Prueba y
Lanzamiento
Monitoreo de seguridad
Vigilancia de la vulnerabilidadng Mantenimiento
Las siguientes secciones tienen como objetivo seguridad de las aplicaciones en la fase de diseño.
proporcionar orientación al personal de desarrollo La construcción de un diseño seguro minimiza la
y seguridad de aplicaciones para incorporar mayoría de los problemas de seguridad, ya que los
actividades específicas de seguridad de la problemas de nivel de código pueden identificarse
información en cada fase del SDLC. con análisis estáticos o revisión manual del código.
Además, las herramientas automatizadas no pueden
Recolección de requisitos identificar inconsistencias de diseño a menos que
se realicen esfuerzos para realizar una revisión de
La incorporación de seguridad en el desarrollo de modelo y arquitectura de amenazas16. La estricta
aplicaciones comienza en la fase de recopilación de observancia de los principios de diseño seguro
requisitos. Aparte de los requisitos funcionales del mejora en gran medida la seguridad.
software, determine:
1. Requisitos de seguridad específicos del usuario Reconociendo la importancia del diseño en la
esperados en la aplicación. Esto puede incluir seguridad de las aplicaciones, el Instituto de
confidencialidad, integridad, disponibilidad y Ingenieros Eléctricos y Electrónicos (IEEE) lanzó la
autenticación. iniciativa del Centro para el Diseño Seguro (CSD).
CSD identificó las 10 principales fallas de diseño y las
2. Importancia de los datos manejados por la maneras de evitarlas17. La recomendación de la CSD
aplicación y requisitos de seguridad para proteger puede proporcionar valiosa guía para considerar en el
los datos diseño de una aplicación.
3. Cumplimiento y mandatos reglamentarios
aplicables a los usuarios, la región donde se Realizar el modelado de amenazas y el análisis de
utilizará la aplicación y la información manejada riesgo de la arquitectura del diseño da una medida
por la aplicación de lo probable es que el software será atacado y la
extensión del daño que un ataque podría causar.
4. Uso y mal uso de los casos desde una perspectiva Iniciar el análisis mediante la elaboración de una
de seguridad visión general de alto nivel del sistema propuesto;
5. Matriz de trazabilidad de requerimientos para luego, analizar el diseño desde la perspectiva de un
mapear requerimientos con riesgo de seguridad atacante, es decir, encontrar maneras de explotar la
aplicación.
Diseño
Codificación
En la fase de diseño de la aplicación, los requisitos
Durante la fase de codificación, los requisitos de
funcionales se convierten en arquitectura. Es
empresa/cliente/producto se convierten en una
importante incorporar controles de seguridad para la
aplicación. La entrada para esta fase proviene
Conclusión
La seguridad de las aplicaciones Las aplicaciones móviles y web que tratan con
información sensible, privada u otra en riesgo
es una tarea continua; sigue requieren un ciclo de vida de desarrollo seguro.
siendo importante incluso cuando Las aplicaciones sin consideraciones de seguridad
pueden presentar una vulnerabilidad inesperada
la aplicación se libera para uso a la privacidad. Para tratar los problemas de
seguridad de las aplicaciones, se anima a los
público. desarrolladores a comprender el riesgo potencial
de cada función de negocio, cambio de código
y uso de marcos y API de terceros, mientras
que los equipos de seguridad pueden ayudar a 3 TrustedSec, “CHS Hacked via Heartbleed
mejorar la seguridad de las aplicaciones a través Vulnerability,” TrustedSec Update,
del entrenamiento, compromiso proactivo con 19 August 2014, www.trustedsec.com/
los desarrolladores. Incorporar la seguridad en august-2014/chs-hacked-heartbleed-
todas las fases de SDLC en lugar de incorporar la exclusive-trustedsec/
seguridad justo antes de la liberación del software 4 Mumsnet Limited, “The Heartbleed Security
no sólo beneficia a la organización desde una Breed—And What To Do,” mumsnet,
perspectiva económica y de eficiencia, sino que www.mumsnet.com/info/the-heartbleed-
también asegura que los servicios empresariales security-breach-to-do
estén habilitados de forma segura. 5 Paganini, P.; “Vulnerabilities in Alibaba
Threatens Security of Million Users,”
Nota del Autor Security Affairs, 11 December 2014, http://
securityaffairs.co/wordpress/31028/hacking/
Las opiniones expresadas en este artículo son del vulnerabilities-in-alibaba.html
autor y de ninguna manera representan la postura 6 Mai-Duc, C.; “Alibaba Security Flaws Exposed
de su empleador. Data on Millions of Users, Analysts Say,” The
Los Angeles Times, 10 December 2014,
Notas Finales www.latimes.com/business/technology/la-
fi-tn-alibaba-security-breach-20141210
1 2014 Research Into Internet Systems LLC,
story.html
“Top 10 Mobile Security Risks,” Decompiling
7 Whittaker, Z.; “Kindle Security Vulnerability Can
Android, 2014, www.decompilingandroid.com/
‘Compromise’ Amazon Accounts,” ZDNet,
mobile-app-security/top-10-mobile-security-
16 September 2014, www.zdnet.com/article/
risks/?_sm_au_=iHVjTnqfJSv0F6Nj
kindle-security-vulnerability-can-compromise-
2 Tung, L.; “Hackers Access 800,000 Orange
amazon-accounts/
Customers’ Data,” ZDNet, 3 February 2014,
www.zdnet.com/article/hackers-access-
800000-orange-customers-data/
A
Hasta ahora, las consideraciones de seguridad
de la información están bien establecidas.
Iniciativas para centrarse en la seguridad cibernética
• El costo de los dispositivos puede aumentar
debido a la seguridad que debe implementarse.
journal), encuentra el
artículo y hace click
en el link Comments
debido a nuevas amenazas como la denegación • La interoperabilidad de los dispositivos es una para compartir tus
de servicio distribuida (DDoS), las amenazas preocupación ya que hay muchas entidades a las pensamientos.
persistentes avanzadas Y los ataques dirigidos ya que los dispositivos necesitan ser conectados.
están siendo implementados por las organizaciones. Estos pueden ser otro dispositivo de otro
La implementación de IOT presenta nuevos desafíos fabricante, proveedor de servicios de pórticos,
de seguridad, especialmente a medida que esta proveedor de servicios de plataforma y usuarios de
tecnología se vuelve más penetrante e integrada datos.
en nuestra vida cotidiana. Esas preocupaciones
• Actualización de dispositivos o parchear
incluyen:
dispositivos para abordar la vulnerabilidad
• ¿Pueden dispositivos conectados a través de identificada después del despliegue. Los usuarios
Internet ser sujetos a ataques de malware? no pueden seguir el proceso de actualización
necesario debido a inconvenientes.
• ¿Pueden estos dispositivos ser usados para
lanzar DDoS ataques? • Corrección de vulnerabilidades después de la
implementación puede ser difícil y más costoso.
• ¿Los dispositivos mal asegurados servirán como
puntos de entrada para los ciberataques? • Los dispositivos desplegados no se pueden
mantener debido a la falta de disponibilidad del
• ¿Se aprovechará la transmisión de datos de
fabricante/contrato de mantenimiento, etc.
estos dispositivos, dando como resultado fugas
de datos y problemas relacionados con la • Las cuestiones regulatorias y legales
privacidad? transfronterizas pueden hacer más difícil
garantizar la seguridad de los dispositivos IoT.
Abordar estos retos para asegurar que los productos
y servicios de IOT tengan controles para mitigar el Para abordar estas preocupaciones, es necesario
riesgo debe ser considerado antes de implementar adoptar un enfoque de colaboración para la
estos servicios y productos. Las preocupaciones seguridad. El enfoque clásico para la recopilación
se intensifican aún más debido a la complejidad de información y la seguridad cibernética ayudará
involucrada en el despliegue de productos y servicios a proporcionar una seguridad razonable a los
de IoT. Otras consideraciones, como el despliegue usuarios. Se pueden considerar los siguientes
masivo, los canales de comunicación de dispositivos puntos:
a dispositivos, la colocación de estos dispositivos
en entornos no seguros y otras vulnerabilidades
presentes en entornos back-end que generalmente Sunil Bakshi, CISA, CRISC, CISM, CGEIT, ABCI, AMIIB, BS 25999 LI,
se implementan utilizando la tecnología de la nube CEH, CISSP, ISO 27001 LA, MCA, PMP
contribuyen a esta complejidad. Los dispositivos IoT Ha trabajado en TI, gobierno de TI, auditoría de SI, seguridad de la información
se despliegan en muchos lugares como hogares, y gestión de riesgos de TI. Tiene 40 años de experiencia en diversos cargos en
oficinas, tiendas, edificios, hospitales, fábricas, diferentes industrias. Actualmente, es consultor independiente y miembro del
lugares de trabajo, áreas de la ciudad. profesorado visitante en el Instituto Nacional de Gestión de Bancos, India.
Q
Por ejemplo, un refrigerador desprotegido o un
televisor infectado con malware puede enviar Todavía estoy luchando con la auditoría del
miles de correos electrónicos nocivos de spam entorno de la nube. También conozco recursos
a los destinatarios de todo el mundo mediante la como el Cloud Security Alliance Security Trust y
conexión a Internet Wi-Fi del propietario1. Assurance Registry (CSA STAR) y Cloud Controls
Matrix (CCM) y el cuestionario de la Iniciativa de
Los dispositivos IoT adoptan múltiples modelos Evaluación de Consenso (CAIQ). También aprovecho
de comunicación2: otros artefactos como el PCI DSS) (Por ejemplo, Ro’s,
A
Cualquier auditoría se planifica en función del
alcance de la auditoría. Ahora, ¿cuál es
el alcance de su auditoría? Supongo que está
En el caso de la segunda opción, el proveedor de
servicios en la nube tiene muchos clientes y, por lo
auditando una organización que está utilizando tanto, puede no estar de acuerdo en ser auditado por
un proveedor de servicios de la nube (cloud) para cada cliente. En este escenario, asegúrese de que
la tecnología de la información. Puede ser sólo el informe del auditor independiente esté disponible.
para infraestructura (IaaS); o plataformas (PaaS), Anteriormente, el informe de auditoría SAS70 era
incluyendo sistemas operativos, bases de datos, el más común, el cual ahora ha sido sustituido por
middleware excepto la aplicación; o puede utilizar SSAE16/SAE 34025. Tiene tres tipos de informes:
aplicaciones alojadas en la nube (SaaS). Los
objetivos de la auditoría cambiarán dependiendo del • El SOC 1 se centra en los controles pertinentes
tipo de servicio. sobre la información financiera.
ACROSS 1 2 3 4 5 6 7 8 9 10
24 Business degree
DOWN 26 Discovery of a cyberattack, as it occurs
27 Function
1 Multimedia file distribution 28 Computer brand
2 Added data 29 Wipe clean
3 Compete 31 Capital city
4 Means inside at the beginning of a word 34 French for and
5 Do perfectly 36 Providers of this storage service have a vested
6 Aim interest in having excellent security
7 Word before negotiable or partisan 37 Green goal, for many
9 Communication area subject to phishing attacks 38 Memory unit
10 Attempt to get financial information illegally, 39 This type of data is a storage vendor’s dream
____ phishing 40 Hook (up)
14 Prefix meaning new 41 Tom Clancy subject, for short
15 Imitate 42 Computer capacity, for short
16 Spur into action 44 Serpentine shape
17 Compass point 45 Top Gun star initials
21 Time before 46 13th Greek letter
22 Frequently used access criteria, 2 words 49 Airline, for short
Answers on page 58
VERDADERO O FALSO
ARTICULO ZONGO estén en conocimiento del comportamiento
1. De acuerdo a Bank of America Merrill Lynch de los ataques de phishing y sus categorías.
Research, la adopción de sistemas de ARTICULO PAL AND MUKHOPADHYAY
CPE
quiz
inteligencia artificial (IA) se esperara que se 9. L a telemedicina es un componente de la
mantenga estática durante los siguientes e-salud, que utiliza las comunicaciones y
años. tecnologías de la información (ICT) para
2. Tres preocupaciones relacionadas al riesgo proveer servicios de salud y cuidados
enfrentan los lideres cuando adoptan IA dentro superando las barreras de distancia,
de sus empresas, estos son: (1) decisiones conectando al proveedor de salud con el
críticas para el negocio basadas en errados o paciente. Preparado por
mal utilizados algoritmos de IA, (2) resistencia 10. El mercado de la telemedicina está creciendo Kamal Khan
cultural por parte de empleados cuyos roles globalmente en una tasa de crecimiento anual CISA, CISSP,
son susceptibles a ser automatizados, y (3) se compuesta (CAGR) del 14.3 por ciento y, entre CITP, MBCS
ve aumentado el campo de acción de el 2014 y el 2020, se espera que alcance los
las cyber amenazas en la medida que IA US $36.3 trillones.
reemplaza funciones más vitales del negocio
11. El servicio de despacho o entrega de
3. En el 2012, la empresa basada en EEUU telemedicina no es adecuado o viable para
Knight Capital Group perdió más de $440 India, porque tiene regiones muy extensiones
USD en 30 minutos, debido a un cambio en vastas de montañas así como regiones de
un algoritmo que no fue probado previamente. tribus, e islas. En las cuales el 2 por ciento
4. Para garantizar una resistencia a las cyber- de los doctores de desempeña en regiones
amenazas para los sistemas de IA, un urbanas, 14 por ciento en áreas semi-urbanas
mecanismo disponible para los gerentes y solo el 23 por ciento en áreas rurales, donde
es utilizar los estándares aceptados por la la gran mayoría de las personas habita.
industria, ya existentes, tales como: (1) Open ARTICULO ACOSTA
Web Application Security Project (OWASP)
Top 10, (2) Marco de trabajo para la Cyber 12. Restarle valor a la información pobremente
seguridad del Instituto Nacional de Estándares escrita de políticas de seguridad, puede ser
y Tecnología de EEUU (NIST) , o (3) COBIT® 5 relativamente fácil ya que la gran parte de
para la Seguridad de la Información estos documentos están basados en plantillas
genéricas, y rara vez son revisadas, no son Take the quiz online
ARTICULO BISWAS AND MUKHOPADHYAY
adaptadas a la realidad y actualidad del
5. Los ataques de phishing son dirigidos negocio de la organización, o adaptadas al
a usuarios ingenuos, para instarlos que actual estados de su sistema de información,
divulguen involuntariamente información y generalmente no incluyen procedimientos
critica para manejar excepciones.
6. El modelo hibrido de phishing consiste en 3 13. Un control compensatorio de define como
módulos: (1) Analisys de riesgo para calcular un tipo de control interno o mecanismo
la probabilidad de que una URL pueda entendido para encontrar problemas dentro
conducir a un eventual ataque de phishing, (2) de los procesos de una compañía.
calculo de Perdida, que consiste en determinar 14. Una vez que la política de seguridad es
la perdida estimada para los dueños, después desarrollada y aprobada, no hay necesidad
del ataque de phishing, (3) mitigación de de revisar o actualizarla, y esto debiese ser
riesgo ofreciendo recomendaciones técnicas estipulado en la misma.
y sociales para minimizar las perdidas
ARTICULO MOYLE
resultantes de un ataque de este tipo.
7. Las tres etapas de un ataque de phishing son: 15. Cuando se trata de gobernabilidad en
(1) los usuarios leen, el o los correos, (2) los tecnología, (gobernabilidad de empresa
usuarios hacen click en una URL legítima, y TI [GEIT]), existe una gran variedad de
(3) los usuarios comparten sus credenciales a herramientas que pueden ayudar al
travez de esta URL legítima. encargado.
8. Si se cuenta mecanismos de reducción de 16. La administración de activos es un desafío
riesgo tales como herramientas tecnológicas, de realizar a cabalidad, por consiguiente,
ayuda a la alta gerencia y además con un ayudarse con herramientas que apalanque
equipo de respuesta a incidentes (CERT), y ayuden a la administración de activos,
entonces no hay necesidad de proveer puede tener un beneficio de largo alcance en
entrenamiento a los usuarios para que estos distintas áreas.
ISACA JOURNAL VOL 3 57
CPE
quiz#172
Formulario de respuestas
Basado en Volume 1, 2017
Verdadero o falso
ARTICULO ZONGO ARTICULO PAL AND Nombre
MUKHOPADHYAY PLEASE PRINT OR TYPE
1.
9.
2.
10. Dirección
3.
11.
4.
ARTICULO ACOSTA
ARTICULO BISWAS AND CISA, CRISC, CISM or CGEIT #
MUKHOPADHYAY 12.
5.
13.
6. Answers: Crossword by Myles Mellor
14.
See page 56 for the puzzle.
7.
1 2 3 4 5 6 7 8 9 10
8. ARTICULO MOYLE P R
11
E V E N T I O N K I T S
O N I N A N O N P
15.
12 13 14 15 16
D A T E I N T A N G I B L E
17
C E S L E E P A O A
16.
18 19 20 21
A G R E E O N E L A X E R
22
S E R T V V
23 24 25 26
T D M B O K G U A R D E D
27
B L U N E
28 29 30 31
M E T A E S C R I P T E D
32 33 34
A R B E E Z E C
Please confirm with other designation-granting professional bodies for their CPE qualification acceptance criteria. 35 36 37
Quizzes may be submitted for grading only by current Journal subscribers. An electronic version of the quiz is C A T C H A T P E A C E
available at www.isaca.org/cpequiz; it is graded online and is available to all interested parties. If choosing to submit S L S
38
B A T
39
D
using this print copy, please email, fax or mail your answers for grading. Return your answers and contact information 40 41 42 43 44 45 46
by email to info@isaca.org or by fax to +1.847.253.1755. If you prefer to mail your quiz, in the US, send your CPE R E C O V E R Y R E T I N A
Quiz along with a stamped, self-addressed envelope, to ISACA International Headquarters, 3701 Algonquin Rd., I
47
I U
48
D A T
49
A
50
S C O U R
#1010, Rolling Meadows, IL 60008 USA. Outside the US, ISACA will pay the postage to return your graded quiz. You 51 52
need only to include an envelope with your address. You will be responsible for submitting your credit hours at year- G R A D E M E A N S N K
end for CPE credits. A passing score of 75 percent will earn one hour of CISA, CRISC, CISM or CGEIT CPE credit.
Get Noticed!
Advertise in the ISACA® Journal
Journal
For more information, contact media@isaca.org
websites
advertisers/
Information Systems Control
Journal, is published by the
Information Systems Audit and
Control Association® (ISACA®),
a nonprofit organization
created for the public in 1969.
Membership in the association,
a voluntary organization Tronixss www.rcap.online Back Cover
serving IT governance
professionals, entitles one to Hiscox hiscox.com/impossible 3
receive an annual subscription
to the ISACA Journal. SCCE corporatecompliance.org/academies 1
Opinions expressed in the
ISACA Journal represent
the views of the authors and
supporters
advertisers. They may differ
from policies and official
statements of ISACA and/or
the IT Governance Institute
leaders and
and their committees, and from
opinions endorsed by authors,
employers or the editors of the
Journal. ISACA Journal does
Editor Tushar Gokhale, CISA, CISM, CISSP, Smita Totade, Ph.D., CISA, CRISC,
not attest to the originality of
ISO 27001 LA CISM, CGEIT
authors’ content. Jennifer Hajigeorgiou Tanja Grivicic Jose Urbaez, CISA, CISM, CSXF, ITIL
publication@isaca.org Manish Gupta, Ph.D., CISA, CRISC, Ilija Vadjon, CISA
© 2017 ISACA. All rights CISM, CISSP Sadir Vanderloot Sr., CISA, CISM, CCNA,
reserved. Managing Editor Mike Hansen, CISA, CFE CCSA, NCSA
Jeffrey Hare, CISA, CPA, CIA Manoj Wadhwa, CISA, CISM, CISSP,
Maurita Jasper
Instructors are permitted to Sherry G. Holland ISO 27000, SABSA
Jocelyn Howard, CISA, CISMP, CISSP Anthony Wallis, CISA, CRISC, CBCP, CIA
photocopy isolated articles for Contributing Editors Francisco Igual, CISA, CGEIT, CISSP Kevin Wegryn, PMP, Security+, PfMP
noncommercial classroom use
Sunil Bakshi, CISA, CRISC, CISM, CGEIT, Jennifer Inserro, CISA, CISSP Tashi Williamson
without fee. For other copying, Khawaja Faisal Javed, CISA, CRISC, CBCP, Ellis Wong, CISA, CRISC, CFE, CISSP
ABCI, AMIIB, BS 25999 LI, CEH,
reprint or republication, CISSP, ISO 27001 LA, MCA, PMP ISMS LA
permission must be obtained Sally Chan, CGEIT, CPA, CMA Mohammed Khan, CISA, CRISC, CIPM ISACA Board of Directors
in writing from the association. Ed Gelbstein, Ph.D. Farzan Kolini, GIAC (2016–2017)
Where necessary, permission Kamal Khan, CISA, CISSP, CITP, MBCS Abbas Kudrati, CISA, CISM, CGEIT, CEH,
Vasant Raval, DBA, CISA CHFI, EDRP, ISMS Chair
is granted by the copyright
Steven J. Ross, CISA, CBCP, CISSP Shruti Kulkarni, CISA, CRISC, CCSK, ITIL Christos Dimitriadis, Ph.D., CISA, CRISC
owners for those registered CISM, ISO 20000 LA
Smita Totade, Ph.D., CISA, CRISC, CISM, Bhanu Kumar
with the Copyright Clearance Hiu Sing (Vincent) Lam, CISA, CPIT(BA),
CGEIT Vice-chair
Center (CCC) (www.copyright. ITIL, PMP Theresa Grafenstine, CISA, CRISC, CGEIT,
com), 27 Congress St., Salem, Edward A. Lane, CISA, CCP, PMP
Advertising CGAP, CGMA, CIA, CPA
MA 01970, to photocopy Romulo Lomparte, CISA, CRISC, CISM,
media@isaca.org CGEIT, CRMA, ISO 27002, IRCA Director
articles owned by ISACA,
Juan Macias, CISA, CRISC Zubin Chagpar, CISA, CISM, PMP
for a flat fee of US $2.50 per
article plus 25¢ per page. Media Relations Larry Marks, CISA, CRISC, CGEIT Director
Norman Marks Rob Clyde, CISM
Send payment to the CCC news@isaca.org
Tamer Marzouk, CISA, ABCP, CBAP Director
stating the ISSN (1944-1967), Krysten McCabe, CISA
date, volume, and first and Reviewers Leonard Ong, CISA, CRISC, CISM, CGEIT,
Brian McLaughlin, CISA, CRISC, CISM, COBIT 5 Implementer and Assessor,
last page number of each Matt Altman, CISA, CRISC, CISM, CGEIT CIA, CISSP, CPA CFE, CFP, CGFA, CIPM, CIPT, CISSP
article. Copying for other Sanjiv Agarwala, CISA, CISM, CGEIT, Brian McSweeney ISSMP-ISSAA, CITBCM, CPP, CSSLP,
than personal use or internal CISSP, ITIL, MBCI Irina Medvinskaya, CISM, FINRA, Series 99 GCIA, GCIH, GSNA, PMP
reference, or of articles or Vikrant Arora, CISM, CISSP David Earl Mills, CISA, CRISC, CGEIT,
Cheolin Bae, CISA, CCIE MCSE Director
columns not owned by the Andre Pitkowski, CRISC, CGEIT,
Sunil Bakshi, CISA, CRISC, CISM, CGEIT, Robert Moeller, CISA, CISSP, CPA, CSQE
association without express David Moffatt, CISA, PCI-P COBIT 5 Foundation, CRMA, ISO
ABCI, AMIIB, BS 25999 LI, CEH,
permission of the association
CISSP, ISO 27001 LA, MCA, PMP Ramu Muthiah, CISM, CRVPM, GSLC, 27kLA, ISO 31000 kLA
or the copyright owner is Brian Barnier, CRISC, CGEIT ITIL, PMP Director
expressly prohibited. Pascal A. Bizarro, CISA Ezekiel Demetrio J. Navarro, CPA R.V. Raghu, CISA, CRISC
Jerome Capirossi, CISA Jonathan Neel, CISA
Nnamdi Nwosu, CISA, CRISC, CISM, Director
ISSN 1944-1967 Anand Choksi, CISA, CCSK, CISSP, PMP Edward Schwartz, CISA, CISM, CAP,
Joyce Chua, CISA, CISM, PMP, ITILv3 CGEIT, PfMP, PMP
Anas Olateju Oyewole, CISA, CRISC, CISM, CISSP, ISSEP, NSA-IAM, PMP, SSCP
Ashwin K. Chaudary, CISA, CRISC, CISM,
CGEIT CISSP, CSOE, ITIL Director
Burhan Cimen, CISA, COBIT Foundation, David Paula, CISA, CRISC, CISSP, PMP Jeff Spivey, CRISC
ISO 27001 LA, ITIL, PRINCE2 Pak Lok Poon, Ph.D., CISA, CSQA, MIEEE Director
Ian Cooke, CISA, CRISC, CGEIT, COBIT John Pouey, CISA, CRISC, CISM, CIA Jo Stewart-Rattray, CISA, CRISC,
Foundation, CFE, CPTS, DipFM, ITIL Steve Primost, CISM CISM, CGEIT
Foundation, Six Sigma Green Belt Parvathi Ramesh, CISA, CA
Ken Doughty, CISA, CRISC, CBCP Antonio Ramos Garcia, CISA, CRISC, CISM, Director
Nikesh L. Dubey, CISA, CRISC, CDPP, ITIL Tichaona Zororo, CISA, CRISC, CISM,
CISM, CISSP Michael Ratemo, CISA, CRISC, CISM, CGEIT, COBIT Assessor and Trainer,
Subscription Rates: CSXF, ACDA, CIA, CISSP, CRMA CIA, CRMA
Ross Dworman, CISM, GSLC
Robert Findlay Ron Roy, CISA, CRP Director and Chief Executive Officer
US: John Flowers Louisa Saunier, CISSP, PMP, Six Sigma Matthew S. Loeb, CGEIT, CAE, FASAE
one year (6 issues) $75.00 Jack Freund, CISA, CRISC, CISM, Green Belt
Daniel Schindler, CISA, CIA Director and Past Chair
CIPP, CISSP, PMP Robert E Stroud, CRISC, CGEIT
All international orders: Sailesh Gadia, CISA Nrupak D. Shah, CISM, CCSK, CEH,
one year (6 issues) $90.00. Amgad Gamal, CISA, COBIT Foundation, ECSA ITIL Director and Past Chair
CEH, CHFI, CISSP, ECSA, ISO 2000 Shaharyak Shaikh Tony Hayes, CGEIT, AFCHSE, CHE, FACS,
LA/LP, ISO 27000 LA, MCDBA, MCITP, Sandeep Sharma FCPA, FIIA
Remittance must be made
MCP, MCSE, MCT, PRINCE2 Catherine Stevens, ITIL Director and Past Chair
in US funds. Johannes Tekle, CISA, CFSA, CIA
Robin Generous, CISA, CPA Greg Grocholski, CISA
Anuj Goel, Ph.D., CISA, CRISC, Robert W. Theriot Jr., CISA, CRISC
CGEIT, CISSP Nancy Thompson, CISA, CISM,
CGEIT, PMP