by Web & Press | Dec 28, 2012 | IT
Frank Rosich, Director TI de Grupo Marta de Costa Rica, afirma que en el aspecto económico debe ayudar a identificar, planear e implementar proyectos estratégicos tecnológicos que diferencien y den ventajas competitivas a las empresas sobre sus competidores.
“Si el CIO se enfoca en disminuir los costos de proyectos de infraestructura (los que no dan ventaja competitiva) para destinar más recursos a los proyectos estratégicos, se notará un impacto directo en el “bottom line” de las empresas”, asevera Rosich.
Este ejecutivo considera que debe tener claro que los proyectos de tecnología tienen sentido mientras estén alineados con los objetivos y la estrategia de las empresas. Por eso uno de las estrategias es proveer las herramientas para estar un paso adelante de sus competidores, de tal forma que desarrolle un liderazgo natural dentro de la empresa.
Su función debe pasar de ser el “técnico” que soluciona los problemas que los administradores no comprenden, a convertirse en un participante proactivo, en el diseño de los planes estratégicos de las organizaciones que ayude a identificar e implementar los puntos donde la tecnología puede ser la diferencia con respecto a la competencia para obtener las ventajas competitivas que se requieren para que sea exitosa.
Para Mario Reynoso, gerente IT del Grupo Karims de Guatemala, es necesario considerar que debido a los cambios poco favorables de la economía mundial, y particular en los países de Centroamérica y El Caribe, son muchas las organizaciones en las cuales el presupuesto relacionado con TI permanece congelado o se ha reducido, y en algunos casos drásticamente. Por eso es importante, que la reducción de recursos afecte en lo mínimo el rendimiento del área dentro de la organización.
Sígue nuestras actualizaciones.
Diseño Web, desarrollo web y servicios de contenido web: creación, gestión y optimización de textos, gráficos, fotos y videos para sitios web en Los Angeles, California.
www.webypress.com
by Web & Press | Oct 25, 2012 | IT
Las empresas de Centroamérica optan por implementar normativas por las tendencias y exigencias a nivel mundial, y en particular para entrar a jugar en el mercado internacional ya que si cuentan con una de ellas en su organización hay más posibilidades de hacer negocios o atraer nuevos clientes.
Los expertos en TI consideran que las normativas más utilizadas en Centroamérica son ISO 9000, BSI 25999, ITIL y aquellas relacionadas con PMI.
Inti Grimaldi, gerente de soporte a ventas de PBS, destaca que muchas compañías implementan normativas para que ayuden a mejorar sus procesos internos y generen un marco de trabajo apropiado, que a nivel corporativo provea el respaldo suficiente para que se ofrezca el mismo nivel de servicio en las diferentes sedes que tienen en otros países, donde buscan se conserven la forma estándar de los mismos procedimientos.
Ricardo M. Herrera, gerente del centro de operaciones de seguridad de Ximark Technologies, afirma que las empresas se involucran con los estándares de gestión o planificación por tres motivos principales: exigencia del cliente, ventaja competitiva y mejorar la operación interna.
Marco Ulate, gerente de procesos de negocios de GBM, asevera que lo más importante es que las organizaciones tengan claro que las normativas que van implementar tengan sentido de negocio, no es raro encontrar firmas que adoptan alguna en particular porque es lo que está de moda, también advierte que deben considerar que poner alguna en uso requiere de un esfuerzo e inversión, así como evaluar cuál es el valor que va a agregar a su negocio.
Juan Francisco Martínez, director presidente de Grupo Consisa, señala que es importante que las organizaciones centroamericanas adopten normativas, porque les permite entrar en el juego mundial.
Él no visualiza a un país de la región sin mejores prácticas porque no le permitiría estar al nivel de otras naciones donde ellas han hecho que suban a niveles más transparentes, sean más objetivos, hagan una mejor utilización de la información y de forma más segura. Por eso considera prioritario adoptar los estándares para ser competitivos.
Manuel Arrieta, director miembro de la junta Directiva de Grupo Consisa, aclara que esto no significa que todos los éxitos se obtengan con implementar un estándar, porque para él lo importantes es ocupar las mejores prácticas, y las normativas son un compendio de estas.
Pero aclara que la decisión de elegir cuál implementar va depender del perfil de empresas o de las instituciones, así como de sus necesidades.
Mario Padilla, director ejecutivo de la Cámara Salvadoreña de Tecnologías de Información y Comunicaciones (CASATIC), menciona la importancia que las organizaciones centroamericanas cuenten con normativas porque estas herramientas son de renombre internacional y son válidas a nivel mundial.
“De manera que el hecho que las empresas o instituciones de Centroamérica las apliquen le dan un estatus y una imagen de que tienen capacidad y están al mismo nivel de las de cualquier otro país que las tenga, además que a nivel de la región les da cierta posición de ventaja con sus competidoras vecinas centroamericanas que nos las implementan”, asevera Padilla.
El director ejecutivo de la Cámara Salvadoreña de Tecnologías de Información y Comunicaciones (CASATIC) destaca que las normativas pueden ayudar a motivar la inversión extranjera, porque las organizaciones se rigen por estándares que tienen valides en todo el mundo.
|
Estándares y guías para Gobierno IT
ITIL : (Biblioteca de Infraestructura de Tecnologías de la Información) El marco de mejores prácticas en la Gestión de Servicios TI representa un conjunto completo de organizaciones, herramientas, servicios de educación y consultoría, marcos de trabajo relacionados, y publicaciones.
ANSI TIA 942: Creado por miembros de la industria, consultores y usuarios, que intenta estandarizar el proceso de diseño de los centros de datos. Unifica criterios en el diseño de áreas de tecnología y comunicaciones. Se basa en una serie de especificaciones para comunicaciones y cableado estructurado, así como subsistemas de infraestructura.
EIA942: La norma describe, resumidamente, los distintos tiers. Algunos de los aspectos que determina es la infraestructura de soporte de un datacenter, entre otros.
IEEE 1471-2000: determina la organización fundamental de un sistema, representada por sus componentes, sus relaciones entre ellos y con su entorno, y los principios que gobiernan su diseño y evolución.
ISO 27001: establece principios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming. Proporciona una metodología para la implementación de la seguridad de la información en una organización
ISO27005: determina el conjunto de guías y lineamientos para el manejo y control de los riesgos en la seguridad de la información.
ISO 38500: proporciona un marco de principios para que la dirección de las organizaciones los utilicen al evaluar, dirigir y monitorizar el uso de las tecnologías de la información.
VAIIT: marco de trabajo para las inversiones en IT, trae principios y procesos para la administración del portafolio de TI.
RISKIT: brinda lineamientos que permiten visualizar los riesgos de IT en un negocio asociado con el uso, propiedad, operación, involucramiento, influencia y adopción de la TI dentro de la empresa. Este riesgo consiste en los eventos relacionados con la TI que pueden potencialmente impactar al negocio. Cada evento puede ser visto como riesgo y oportunidad.
ISO/IEC 20000: define los requisitos que tiene que cumplir una organización para proporcionar servicios gestionados de una calidad aceptable a los clientes, es considerado código de procedimiento para procesos de gestión de servicios y proporciona orientación sobre la definición del alcance, la aplicabilidad y la demostración de la conformidad de los proveedores de servicios.
eTOM: (enhanced Telecom Operations Map) Modelo de administración de redes, creados por la organización Telemanagement Forum (TMF) que pertenece a la ITU, para remplazar el modelo Telecommunications Management Network (TMN) y traer un marco de procesos para la industria de las telecomunicaciones.
PMI (Project Management Institute) con su PMBok: La guía del PMBOK es un estándar en la administración de proyectos desarrollado por el Project Management Institute (PMI).Permite controlar requerimientos, incidencias técnicas y riesgos en los negocios.
COBIT 5: (Control Objectives for Information and related Technology) es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. Utilizado para implementar el gobierno de IT y mejorar los controles de IT.
PRINCE2: (Projects IN Controlled Environment) es un método estructurado de gestión de proyectos. Considera la administración, control y organización de un proyecto.
CMMI for services: Provee una guía para ayudar a las empresas prestadoras de servicios a reducir costos, y mejorar la calidad de los servicios que prestan.
CMMI for Acquisition: Suministrar prácticas efectivas que soporten el mejoramiento del proceso de adquisición. También, permite entender las expectativas del cliente. Este modelo abarca la adquisición de soluciones técnicas.
PCI DSS elemental: El estándar tiene 6 dominios, en los que se definen 12 requisitos para construir una infraestructura confiable para el procesado de transacciones mediante tarjetas de pago.
BSI 25999: permite la gestión de continuidad de negocio. Orientación sobre los aspectos humanos de la continuidad del negocio. Esta guía apoya la continuidad del negocio como se explica en la norma BS 25999 y proporciona información adicional que los clientes han estado pidiendo.
COMTIA A+: es una certificación A+ como técnico de computadoras. Se requiere superar una prueba de hardware y una con sistemas operativos, el último se enfoca en sistemas Microsoft Windows, aunque existen certificaciones para Linux.
|
Sígue nuestras actualizaciones.
Diseño Web, desarrollo web y servicios de contenido web: creación, gestión y optimización de textos, gráficos, fotos y videos para sitios web en Los Angeles, California.
www.webypress.com
by Web & Press | Oct 24, 2012 | IT
Para Ricardo Elena, gerente de desarrollado de Negocios de Easy Solutions, generalmente la respuesta se encuentra al analizar los análisis de riesgo y las auditorías, que deben considerar primero el objetivo que tiene la empresa y el diseño las políticas y los controles acorde al análisis de riesgo realizado y los hallazgos encontrados en cada uno de los elementos de IT involucrados. 
Desde su percepción existen dos variables que deben ser consideradas a la hora de que las organizaciones hagan la implementación de estándares de seguridad:
la seguridad pensada en forma holística. Porque si bien un firewall puede mejorar la postura de seguridad de una empresa al ubicarla de forma estratégica en su red, también se debe pensar que es necesario su correcta configuración.
También considerar que debe existir el personal idóneo para su operación, un plan de capacitación para los operarios de esta herramienta, y tomar en cuenta que tener este equipo implica planes de mantenimiento y actualización, costos por ejemplo en licencias de software, entre otros.
“Lo anterior demuestra que para realizar una correcta implementación de estos estándares, es fundamental crear una adecuada planeación estratégica de estos proyectos, debido a que muy seguramente impactarán muchos temas de la operación de IT, costos y recursos”, concluye Elena.
Según Elena, el momento donde es más fácil identificar una falla
en la implementación de estos estándares es cuando se hace una verificación de conocimiento e implementación de políticas y procedimientos de seguridad, y se evidencia que no todos los empleados conocen las políticas y procedimientos, o sólo las conocen parcialmente, por ejemplo desconocen que saben qué hacer en el caso de un incidente de seguridad, situaciones que muestran que no hubo una adecuada socialización de políticas, controles y procedimientos.
En el caso de los estándares de seguridad el sentido de la gran mayoría de estos reposa en un plan de mejora continua como el ciclo de Deming o simplemente el ciclo PHVA (Planificar, Hacer, Verificar, Actuar, por sus siglas en español).
Pero el problema surge cuando se implementa el estándar pero no se cierra el ciclo en la fase de hacer las verificaciones periódicas del caso y no actuar para hacer las mejoras, los ajustes y las correcciones necesarias.
Elena agrega que en temas de implementación de nuevos proyectos de IT y seguridad de la información, una constante en cualquier organización es la presencia de escasez de recurso, por lo tanto recomienda no buscar con énfasis una solución de tecnología para cumplir con las exigencias de la norma, sino primero realizar un análisis de tecnología existente en la compañía, de esa manera reutilizar recursos con procesos y configuración que apoyen al cumplimiento de la norma.
Sígue nuestras actualizaciones.
Diseño Web, desarrollo web y servicios de contenido web: creación, gestión y optimización de textos, gráficos, fotos y videos para sitios web en Los Angeles, California.
www.webypress.com
by Web & Press | May 31, 2012 | IT, Uncategorized
Los empleados considerados “el activo más importante” para las empresas son también la principal amenaza para el resguardo de sus datos, según diversos estudios de Trend Micro, TerreMark, Imperva, McAfee y Symantec, entre otros.
Las investigaciones han determinado que entre un 50% y 60% por ciento de los ataques sufridos por una organización, donde hubo incluso fuga de información confidencial, fueron causados por un mal proceder de los usuarios que tienen privilegios para el acceso de la información.
En algunos de estos ataques los empleados crearon una brecha de seguridad de forma accidental y en otros lo hicieron con el propósito de dañar la empresa.
Adriana García, directora regional de ventas para México y Centroamérica de Imperva, detalla que es importante que las empresas identifiquen qué es lo más sensible de la información, y con base a esos datos auditen y protejan.
“Las empresas pocas veces consideran situaciones que los hacker o los empleados pueden realizar, porque solo se interesan en proteger el área perimetral pero no consideran mantener una protección activa constante”, asevera García.
García menciona que en las empresas es común la fuga de información ya sea de forma maliciosa o no maliciosa, en la primera el empleado vende la información y en la segunda es cuando los colaboradores se van de la organización y se llevan datos importantes.
Carlos Rivera, director de ingeniería de seguridad de Terremark, afirma que muchas veces el empleado que no está contento con la empresa sustrae información confidencial y la vende. Ya sea porque considera que no tiene un salario que se merece o porque le despidieron.
Una brecha de seguridad
Los estudios también han revelado que el 50% de los empleados tienen más información de la empresa de la que necesita en su laptop y sus dispositivos móviles.
Los expertos mencionan que es común que los empleados pierdan ordenadores portátiles, celulares, USB y tabletas. Incluso se da el caso que los roban estos dispositivos de manera que también se roban información de la compañía.
Situaciones por lo cual lo ideal, según García y Rivera, es que las organizaciones deben de implementar políticas de encriptación interna para sus datos y para los dispositivos móviles de forma que si son robados la compañía pueda bloquear el acceso a esa información.
Los expertos de Terremark e Imperva aconsejan que las entidades privadas y gubernamentales hagan auditorías en las empresas, tengan políticas de privacidad, resguardo de datos y de uso de tecnologías en el ambiente corporativo.
Otro dolor de cabeza para los encargados de seguridad de la información, es el peligro que representa el uso de las redes sociales y herramientas Web 2.0 al interior de las compañías, porque han venido a propiciar que el empleado también se convierta en una amenaza para la seguridad de los datos de las empresas.
Para Rivera la mayoría de ellos tiene cero cultura de seguridad de la información, lo cual propicia que los hacker aprovechen para crear ataques por medio de la llamada ingeniería social.
Rivera es de la idea que las empresas restrinjan o prohíban el uso de las redes sociales y herramientas Web 2.0 en las jornadas de trabajo, porque son un riesgo para la seguridad e incluso afecta la productividad de la empresa.
“En promedio una persona dedica de tres a cinco horas las redes sociales por día cuando tienen acceso desde su empresa, y cuando han bloqueado su uso se ha visto que la productividad se ha incrementado hasta en un 50 por ciento”, afirma Rivera.
El director de ingeniería seguridad de Terremark añade que se ha utilizado Facebook como un medio para obtener información y hacer que ingresen malware al interior de las empresas.
El Informe Global sobre Fraude de Kroll 2011 reveló que la mitad de las compañías tienen vulnerabilidades para propiciar el robo de datos corporativos.El estudio detalla que son los ejecutivos de alto nivel los autores del 29% de los robos y 8% de los ejecutivos menores.
Sígue nuestras actualizaciones.
Diseño Web, desarrollo web y servicios de contenido web: creación, gestión y optimización de textos, gráficos, fotos y videos para sitios web en Los Angeles, California.
www.webypress.com
by Web & Press | Apr 20, 2012 | IT, Uncategorized
El Gerente Regional de Centro America-Caribe-Colombia y Especialista en Virtualización de Trend Micro, Ruddy Simons-LLauger,menciona que una de las lecciones que debemos aprender de los ataques de 2011 es que aunque las empresas trabajaron en proteger a sus activos digitales como software y hardware con diversas herramientas y mecanismos como Firewalls y DMZ su seguridad fue traspasada.
Los hacker traspasaron los muros de seguridad de las organizaciones con métodos pocos convencionales.
Entre los tipos de ataques sufridos por las empresas figuran DDoS, inyección SQL, red de bots, spear phising, generación de algoritmo de los MS Points y técnicas de ingeniería social, entre otros.
Según Simons las empresas se han protegido “bien” contra los piratas informáticos tradicionales y contra los ataques desde el exterior, pero lo que no consideraron es lo siguiente: ¿qué pasa si alguien obtiene acceso a recursos dentro de la organización y usa al servidor o la red de desktop interna para enviar información afuera a través de HTTP cifrado para no ser detectado?
Para muestra está lo sucedido en el ataque a la red de Play Station de Sony, donde un servidor estaba comprometido para tomar esta información y enviarla. Luego el ataque se perpetró desde un servidor alquilado en Amazon.
En los otros casos de ataques durante el año pasado, algunos usuarios de forma inocente hicieron un clic en un archivo adjunto de algún correo electrónico con lo cual le abrieron las puertas a los atacantes.
Un riesgo que se ha vuelto más latente con el uso de las redes sociales, ¿la razón? a los atacantes les es fácil identificar a las víctimas que ocupan puestos claves en las empresas, así que les envian un mensaje, un archivo adjunto malicioso o enlace malicioso.
Evaluaciones de Trend Micro han encontrado que más de 90% de las redes de las empresas contienen malware malicioso que está activo. Por lo cual el especialista recomienda evaluar cuáles son las políticas corporativas en relación a la seguridad y educar a los miembros de la empresa con respecto a la protección de datos para minimizar los riesgo.
Por ejemplo estudiar el uso de las redes sociales debido a que los usuarios comparten demasiada información por medio de ellas, lo que cual propicia ataques de “ingeniería social”, ¿cuál es la razón de uso? determinar qué informaciónla empresa compartirá, evaluar si alguna vez se ha llevado al interior de las organización una campaña social de sensibilización acerca de las amenazas para educar al personal acerca de los efectos negativos de revelar información o acerca de la comprobación via clip de facebook.
De acuerdo a Simons, se debe reconsiderar y evaluar el modelo de seguridad, porque los casos demuestran que el pensamiento tradicional de protección con un perímetro de defensa ya no funciona más.
Sígue nuestras actualizaciones.
Diseño Web, desarrollo web y servicios de contenido web: creación, gestión y optimización de textos, gráficos, fotos y videos para sitios web en Los Angeles, California.
www.webypress.com
by Web & Press | Apr 19, 2012 | IT
Los hackers traspasaron en 2011 las fronteras de seguridad informática de prestigiosas empresas e instituciones de Gobierno que pregonaban con orgullo sus sistemas que en teoría eran impenetrables y difíciles de burlar. Sin embargo, la realidad mostró una rostro diferente, hasta noviembre se habían perpetrado 67 ataques.
Una vez los hacker adentro de los sitios Web y redes han hecho los que les plació. S in embargo, aún con las puertas abiertas los ataques hubieran sido de mayores proporciones y heredado múltiples dolores de cabeza a las organizaciones si los hackers si lo hubieran propuesto.
Los representantes de las empresas han tenido que agachar la cabeza y aceptar las fallas en sus sistemas de seguridad, en el grupo de organizaciones que fueron violados sus sistemas de seguridad han desfilado de todos los tipos y rubros.
Las hay desde las famosas por el entretenimiento como Sony hasta las que en teoría tendrían los estándares de seguridad más altos como el Pentágono, la CIA, el Ministerio de Defensa de Estados Unidos y la firma de seguridad Black & Berg Cybersecurity Consulting, incluso este último había dispuesto un premio de 10 mil dólares a quién lograra atacar su “infranqueable” Web.
Según la ingeniera Rosario Ortiz, profesora de la cátedra de Seguridad Informática de la Universidad de El Salvador, aún con las medidas implementadas para resguardar los datos el error ha estado en violaciones a la seguridad perimetral y en menor medida la seguridad lógica y la seguridad física.
En los ataques se han utilizado técnicas sofisticadas que jamás, por lo visto, pasaron por la cabeza de los encargados de la seguridad de la información de las organizaciones. Por ejemplo, para el ataque a la red de Play Station de Sony alquilaron servicios en la nube desde Amazon. Un servidor estaba comprometido para tomar esta información y enviarla.
Entre los tipos de ataques sufridos por las empresas e instituciones de Gobierno figuran DDoS, inyección SQL, red de bots, spear phising, generación de algoritmo de los MS Points y técnicas de ingeniería social, entre otros.
Sígue nuestras actualizaciones.
Diseño Web, desarrollo web y servicios de contenido web: creación, gestión y optimización de textos, gráficos, fotos y videos para sitios web en Los Angeles, California.
www.webypress.com
