|
02/11/2006
Esta muy
buena la nueva versión del Newsletter esta mas rápido! y muy bueno
el tema del pdf, yo iba a sugerírtelo porque a mi me pasa que no
tengo tanto tiempo para leerlo en la pantalla y los contenidos están
tan buenos ya que lo ideal seria tener un pdf imprimible para leer
durante todo el mes, tipo revistita.
Emiliano
Pungitore.
Director –
ITPROS-ARGENTINA
www.itpros-argentina.com.ar
03/11/2006
Estimado
Christian:
Me gustó el
artículo que escribiste… sigamos “evangelizando” seguridad!!!
Saludos
cordiales.
José
Archondo Illanes
Auditor de
Sistemas
jarchondo@bancosol.com.bo
La Paz -
Bolivia
07/11/2006
Martín, creo
que las estadísticas o conclusiones a las que llegas son erróneas ya
que no estas considerando el Governance de IS adecuado, pensé lo
mismo cuando hiciste este comentario en el Info Security pero no
quise planteártelo en público.
El oficial de Seguridad tenga o no gente a cargo siempre trabaja con
otros estamentos de la empresa que tienen responsabilidades de
seguridad, como ser owners de procesos/aplicaciones, oficiales de
seguridad del área, desarrolladores de aplicaciones, administradores
de infraestructura, administradores de usuarios, proveedores, etc..
A todos estos debe gerenciar y asegurar que cumplan su
responsabilidad pero NO son tareas que haga él, las tareas propias
son de entrenamiento, asesoramiento, monitoreo, aseguramiento,
métricas y reportes a la gerencia. Si bien el primer año de
implementación es difícil luego adquiere cierta madurez y si se
cuenta con las metodologías y el empowerment adecuado las cosas
funcionan con una persona que sea organizada y se autogestione
eficientemente.
Entiendo que quizás tu "pensamiento" sea un tema de marketing
estratégico pero el eslogan "el oficial de Seguridad genera riesgos"
es totalmente inadecuado y puede generar reacciones negativas. Creo
que una situación ideal sería encontrar hoy UNA persona para esta
tarea.
El
assessment y reporte de aquellas cosas que no puede atender (si las
hubiere) es una práctica que tenemos los profesionales desde hace
mucho tiempo y no solo para Seguridad sino para tecnología y
auditoria en general.
best regards/saludos,
Ing. Cristina Ledesma, CISA, CISM (ISACA Comision Directiva)
Information Security and Continuity of Business Manager
Citibank NA sucursal Uruguay
www.citibank.com.uy
Contestación
de la carta de Cristina Ledesma:
Cristina,
muchas gracias por los comentarios y realmente coincido en todo con
vos. Creo que describes tal cual la función del Oficial de
Seguridad, que muchas veces no se comprende en una organización, ni
si quiera a veces, lo comprende el mismo responsable de seguridad.
A donde
apuntaba con el tema, es que muchas veces hay ciertos procesos (ej.
fraudes, ingeniería social, etc.) y tecnologías (ej. centrales
telefónicas, memorias móviles, rfid para productos, cámaras web,
etc.), que no están dentro del alcance del oficial de seguridad
(muchas veces por falta de tiempo, otras por falta de conocimiento,
otras por falta de compromiso), entonces sería bueno que este
Oficial de Seguridad diera el alerta a cada dueño de proceso o
responsable de la tecnología de que no pierda de vista esos riesgos
y no solamente se concentren en los temas más tradicionales.
A eso
apuntaba y decía que muchas veces al no dar esta señal de alerta, la
organización queda con esos RIESGOS sin que nadie los tenga en
cuenta.
Muchas gracias por el tiempo y dada tu experiencia y forma tan clara
de contar estos temas, me encantaría si pudieras escribir en el
Newsletter para todo el resto de la comunidad, en este o en algún
otro tema que te sientas cómoda.
Muchos
saludos.
Martín Vila
Business
Director
I-SEC
Information Security Inc.
martin.vila@i-sec.org
www.i-sec.org
|
