Comisiones de Trabajo 

 

Tras el éxito -en participación y resultados- cosechado, en los últimos años, por nuestra 'Comisión para el estudio y el desarrollo del Buen Gobierno Corporativo de las TIC, dentro de las organizaciones (GOB)’, es intención de esta Junta Directiva reforzar el área de investigación del Capítulo, ampliando, para ello, el espectro de actividades realizadas y dando cabida, de ese modo, a nuevos participantes.

De manera particular, se pretende profundizar en el análisis y divulgación del resto de disciplinas objeto de interés para nuestro colectivo, motivo por el cual se ha habilitado, recientemente, la creación de nuevas comisiones de estudio e investigación orientadas a: la Seguridad de la Información (SEG), la Auditoría de los Sistemas de Información (AUD) y el Control de las Tecnologías de la Información y la mitigación de sus riesgos asociados (CON).

Asimismo, se han puesto en marcha, también, dos iniciativas específicas: una nueva comisión de Publicaciones (PUB) y un grupo de trabajo conjunto ISACA Madrid-itSMF España (GTC) que abordará el común análisis de los modelos de referencia de ambas entidades (COBIT 5 e ITIL 2011).

Sirva el presente mensaje como invitación a la participación en las mismas. A este fin, se recuerda que:

- las solicitudes habrán de ser canalizadas a través de los servicios administrativos de ISACA Madrid, en la dirección electrónica [email protected];

- el solicitante deberá indicar su campo de interés (AUD | CON | GOB | SEG | PUB | GTC); y,

- las plazas son limitadas, por lo que se priorizará la participación de aquellos asociados que desarrollen su labor profesional, específicamente, en los ámbitos de referencia. Cada solicitud deberá ir acompañada de un breve resumen que describa la motivación del candidato para formar parte de las comisiones, así como de una pequeña referencia a su bagaje laboral/académico.

Finalmente, se insta a los futuros integrantes de las comisiones, a ofrecer una participación comprometida, y activa, de modo que quede garantizado el adecuado progreso de los trabajos abordados.


Comisiones

AUD: Auditoría de los Sistemas de Información

Esta Comisión tiene como objetivo la investigación y el desarrollo en aspectos relacionados con la Auditoría de los Sistemas de Información. Los productos previstos más próximos son documentos que puedan ser de utilidad principalmente a los miembros de ISACA de los distintos países, especialmente en España e Hispanoamérica, y que desempeñen diferentes funciones y dentro de entidades de distintos sectores, así como a administraciones públicas.

Existen actualmente tres subcomités (SC), que se han venido reuniendo por separado para definir las líneas de trabajo y comentar acerca del avance en su área respectiva y revisar las sucesivas versiones del documento producido en cada uno.

Dichos subcomités son:

  1. SC1 Cloud (Nube), que ha elaborado el documento: “Aspectos a considerar en el paso a entornos en la nube (cloud computing). Guía para la toma de decisión, evaluación, control y auditoría”, cuya versión casi final, de 48 páginas, está en las últimas revisiones por parte del Director de Investigación del Capítulo.
  2. SC2 Forense, que ha elaborado el documento: “Auditoría de Capacidad Forense. Programa de Aseguramiento”, cuya versión actual, ya muy avanzada, de 42 páginas, está siendo revisada por el Director de Investigación del Capítulo.
  3. SC3 Auditoría Continua, que está elaborando el documento: “Auditoría Continua sobre entorno GRC (Governance, Risk & Compliance)”, por la novedad que entraña y en la idea de poder hacer una aportación a la comunidad.

No existen más subcomités actualmente pero cuando se finalicen al menos dos de los tres documentos en curso se pueden abordar otros temas de interés, para lo que se contará con quienes han integrado los subcomités existentes, y pueden ser bienvenidos otros miembros, así como los temas que propongan, tanto si van a estar como miembros de los equipos de trabajo como si no tienen disponibilidad.

CON: Control de las Tecnologías de la Información y Gestión de Riesgos
La Comisión de Riesgo y Control está orientada a desarrollar estudios, artículos, y aportaciones en general alineados con los contenidos de la certificación CRISC de ISACA.

Actualmente, existen 4 subcomités que están desarrollando trabajos en las siguientes temáticas:

  1. SC1 Apetito del riesgo, de definición de conceptos básicos. ¿Qué es? ¿Cómo se define? ¿Cómo se comunica?
  2. SC2 Normativas, de identificación de las normativas de obligado cumplimiento, incluyendo las sectoriales, que son de aplicación en España.
  3. SC3 PAM, de elaboración de materiales que ayuden a la utilización del modelo de madurez de COBIT5, incluyendo el desarrollo de herramientas a tal efecto.
  4. SC4 Escenarios de riesgos, de definición de qué son. Metodología de elaboración. Inventario de escenarios de riesgo por sector, tamaños, etc.

Cada uno de los cuatro grupos mencionados anteriormente, ha identificado distintos objetivos, algunos de ellos, en diferentes plazos:

  • Apetito del riesgo. Se realizará un primer documento breve para contribuir a la definición, comunicación e implantación del apetito del riesgo tecnológico en organizaciones. A posteriori, se desarrollará un artículo sobre esta materia para difundirlo con carácter general.
  • Normativas. A corto plazo, se va a realizar una encuesta que se distribuirá entre los asociados para facilitar la identificación de normativas y la elaboración de un inventario que, posteriormente, será compartido entre los asociados.
  • PAM. Este grupo cuenta ya con una primera herramienta sencilla para soportar la evaluación de la madurez de los procesos y está trabajando en el desarrollo de un artículo sobre la misma. Se presentará la herramienta a la mayor brevedad posible y se distribuirá entre los asociados.
  • Escenarios de riesgo. Dada la magnitud del objetivo general, este grupo va a comenzar con el desarrollo de un documento ilustrativo sobre escenarios de riesgos en la cadena de suministro (incluyendo el concepto de computación en la nube).

Como resumen de lo mencionado anteriormente, prevemos la publicación de los siguientes documentos:

  • White paper sobre apetito de riesgo tecnológico
  • Artículo sobre apetito de riesgo tecnológico Inventario de normativas aplicables en España
  • Artículo sobre la herramienta de evaluación PAM
  • White paper sobre escenarios de riesgo en la cadena de suministro

SEG: Seguridad de la Información
La Comisión de Seguridad tiene como objetivo contribuir al desarrollo de la disciplina de ciberseguridad, tanto entre la comunidad de asociados de ISACA Madrid, como entre el resto de individuos y organizaciones, públicas y  privadas, del mercado. Para ello se desarrolló una encuesta sobre los temas de mayor interés en la comunidad y se definieron unos subcomités y líneas de actividad que en la actualidad son los siguientes:

  • SC1 Ciberseguridad y Protección de Infraestructuras Críticas, en el que se está trabajando en la línea de análisis de las estrategias de ciberseguridad nacionales existentes en distintos ámbitos, así como en la disciplina de Protección de Infraestructuras Críticas y su regulación asociada.  En estos momentos se está desarrollando un documento análisis de cómo a bordar la “Ciberestrategia" de una organización.
  • SC2 Ciberseguridad Industrialeste grupo desarrolla la actividad analizando el ámbito de la Ciberseguridad en el proceso industrial y en las infraestructuras industriales y está en proceso de desarrollo de una "Guía de Auditoría de Ciberseguridad Industrial".
  • SC3 Cloud Computing, dedicado al análisis de la seguridad y los riesgos asociados a la computación en la nube, este grupo se ha marcado como objetivo desarrollar el documento “Riesgos inherentes en el Cloud Computing”, que estará disponible en fechas próximas.
  • SC4 BYOD. La llegada de los dispositivos móviles personales a las organizaciones, su adecuado control y gestión de los riesgos asociados es el tema central de este subcomité que ha decidido desarrollar el documento “Riesgos inherentes al uso de Dispositivos Móviles”.
En general, todos los grupos de trabajo han identificado una serie de entregables que fuesen novedosos y pudiesen aportar una perspectiva distinta y complementaria a la comunidad.

La Comisión de Seguridad se reúne presencialmente con una periodicidad bimestral, momento en el que se realiza un seguimiento de los avances de los distintos grupos. En estas reuniones además, se ha lanzado la iniciativa “Compartir Experiencias”, por la que en cada encuentro uno de los miembros del grupo, hace una presentación al resto sobre un tema de interés y actualidad, eminentemente práctico, para a continuación pasar a desarrollar animados debates sobre el mismo.
 

GOB: Gobierno corporativo de las tecnologías de la información

PUB: Publicaciones

GTC: Grupo de Trabajo Conjunto ISACA Madrid - itSMF España