La privacidad en COBIT 5
Por Antonio Ramos. CISA, CISM, CRISC. Presidente de ISACA Madrid Chapter
En este artículo el autor realiza un análisis del borrador recientemente publicado por ISACA de COBIT 5 , el cual incorpora cambios significativos respecto a la versión 4.1 precedente.
Antecedentes
El pasado 27 de junio, ISACA publicó el borrador de COBIT 5 para que la comunidad pueda realizar comentarios sobre esta nueva versión del marco de gestión más difundido y utilizado de ISACA1.
Dado que esta nueva versión de COBIT incorpora cambios significativos respecto a la versión 4.1 precedente, nos ha parecido interesante analizar cómo ha cambiado el papel de la privacidad.
Antes de seguir avanzando en el análisis, recalcar que este estudio se está realizando con los documentos liberados por ISACA para la realización de comentarios, por lo que las versiones finales pueden ser diferentes y parte de las conclusiones (o todas) podrían sufrir cambios.
Diferencias entre las versiones 4.1 y 5
Para analizar el cambio, comenzaremos por analizar cómo aparecía la privacidad en la versión 4.1. Si realizamos una búsqueda de la palabra ‘privacidad’ en dicha versión, vemos que aparece en cuatro ocasiones:
Es importante destacar que cuando el modelo habla de información, se refiere a toda la información relevante para la organización, no solo a la que se encuentra automatizada. Para ayudar a esta interpretación, COBIT 5 utiliza un ciclo de vida de la información según el cual los procesos de negocio generan y procesan datos, transformándolos en información y conocimiento para, finalmente, generar valor para la empresa.
Contenido completo en fuente original DatosPersonales.org
En este artículo el autor realiza un análisis del borrador recientemente publicado por ISACA de COBIT 5 , el cual incorpora cambios significativos respecto a la versión 4.1 precedente.
Antecedentes
El pasado 27 de junio, ISACA publicó el borrador de COBIT 5 para que la comunidad pueda realizar comentarios sobre esta nueva versión del marco de gestión más difundido y utilizado de ISACA1.
Dado que esta nueva versión de COBIT incorpora cambios significativos respecto a la versión 4.1 precedente, nos ha parecido interesante analizar cómo ha cambiado el papel de la privacidad.
Antes de seguir avanzando en el análisis, recalcar que este estudio se está realizando con los documentos liberados por ISACA para la realización de comentarios, por lo que las versiones finales pueden ser diferentes y parte de las conclusiones (o todas) podrían sufrir cambios.
Diferencias entre las versiones 4.1 y 5
Para analizar el cambio, comenzaremos por analizar cómo aparecía la privacidad en la versión 4.1. Si realizamos una búsqueda de la palabra ‘privacidad’ en dicha versión, vemos que aparece en cuatro ocasiones:
- Al analizar la necesidad de un marco para el Gobierno de las Tecnologías de la Información (TI) aparece en dos ocasiones. Por una parte, se mencionan las regulaciones en materia de privacidad como una de las causas para establecerlo y, por otra, se identifica a aquellos con responsabilidades sobre la privacidad como un grupo de interés a la hora de implantar un marco de gobierno de TI.
- Aparece también en el Objetivo de Control AI7 Instalar y Acreditar Soluciones y Cambios, concretamente en el AI7.4 Entorno de pruebas, ya que se reconoce la necesidad de que se tengan en cuenta los requerimientos en materia de privacidad.
- También se menciona a la hora de definir la madurez del proceso ME3 Asegurar el cumplimiento con requerimientos externos, ya que se exige cumplir con los requerimientos en materia de privacidad para alcanzar el nivel de madurez 2 (Repetible pero intuitivo) entre los 5 posibles.
- Al analizar los grupos de interés en el marco, ya que se identifica a los oficiales de seguridad como un grupo de interés interno de la organización. Este aspecto es importante, puesto que ahora todas las matrices RACI2 que se desarrollan en la guía de referencia incluyen al Oficial de Privacidad como un rol con sus propias responsabilidades.
- Aparece, al igual que en la versión anterior, en los objetivo de control BAI07.04 Establecer un entorno de pruebas y MEA03.01 Identificar requerimientos de cumplimiento externos.
- También se menciona la privacidad de la información de la compañía y la necesidad de concienciar a todos los usuarios sobre ella en el objetivo DSS08.02 Gestionar los roles, responsabilidades, privilegios de acceso y niveles de autoridad.
Es importante destacar que cuando el modelo habla de información, se refiere a toda la información relevante para la organización, no solo a la que se encuentra automatizada. Para ayudar a esta interpretación, COBIT 5 utiliza un ciclo de vida de la información según el cual los procesos de negocio generan y procesan datos, transformándolos en información y conocimiento para, finalmente, generar valor para la empresa.
Contenido completo en fuente original DatosPersonales.org
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!