Normas y Mejores

Alineamiento con Normas y Mejores Prácticas para Gestión de Riesgos y Cumplimiento

Para las empresas que aún no han comenzado a preparar estrategias de defensa, un buen punto de partida es la adopción de los procedimientos recomendados, como el de Security Requirements for Data Management (Requerimientos de seguridad para la gestión de datos), descrito en la sección de Entrega y soporte (DS, Deliver and Support) 11.6 de COBIT (Objetivos de control para la TI y tecnologías afines), junto con los procedimientos indicados en la correspondiente sección de la guía de aseguramiento IT Assurance Guide: Using COBIT.Estas publicaciones resumen el objetivo de control y los factores determinantes de valor y de riesgo, e incluyen una lista de pruebas recomendadas para el diseño del control.

ISACA también publicó una serie de documentos que establecen correspondencias entre las normas sobre seguridad de la información y COBIT 4.1, y que resultan sumamente valiosos para profesionales y auditores. Además, se ha publicado recientemente en COBIT Focus un excelente artículo que establece una correspondencia entre la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS, Payment Card Industry Data Security Standard) v2.0 y COBIT 4.1.

Desde la perspectiva del cumplimiento normativo, existe un marco legislativo cada vez más amplio que asigna a las organizaciones la responsabilidad de garantizar la integridad de los datos y del aseguramiento de la información (information assurance o IA). En los EE. UU. se han aprobado las siguientes leyes, que imponen severas sanciones en caso de incumplimiento: Data Quality Act (Ley de Calidad de los Datos), Sarbanes-Oxley Act (Ley Sarbanes- Oxley), Gramm-Leach-Bliley Act (Ley Gramm-Leach-Bliley), Health Insurance Portability and Accountability Act (Ley de Transferibilidad y Responsabilidad de los Seguros de Salud) y Fair Credit Reporting Act (Ley de Garantía de Equidad Crediticia).