Lucio Augusto Molina Focazzio, CISA, CRISC, CISM, COBIT Assessor and Trainer, ITIL
Es un ingeniero en sistemas quien se especializa en auditoría de sistemas. Él cuenta con una amplia experiencia con empresas nacionales y multinacionales. Es un asesor certificado en COBIT y ha implementado y evaluado gobiernos de TI usando COBIT. Ha impartido cursos de COBIT 5 de Fundamentos, Implementación y de Asesoría, en Chile, Colombia, Costa Rica, República Dominicana, Ecuador, El Salvador, México, Panamá, Perú y Venezuela. Molina fue vicepresidente internacional de ISACA y del Instituto de Gobierno de TI y fue miembro del Comité de Gobierno de TI (IT Governance Committee), del Subcomité de Mejoras a la Prueba CISA (CISA Test Enhancement Committe), del Comité Financiero (Finance Committee) y del Directorio de Membresías. Él ganó el premio John Kuyers Best Speaker/Conference en 2004.
¿Cuál es el mayor desafío de seguridad que será enfrentado en 2018? ¿Cómo debiera ser enfrentado?
Identificar, contener y responder a ataques de información dirigidos, especialmente phishing y ransomware. Para responder, se debe incrementar la sensibilización de la administración, robustecer las regulaciones, entrenar al personal de la compañía en materia de seguridad de la información y fortalecer la infraestructura de seguridad de TI con herramientas predictivas e inteligencia artificial.
¿Cuáles son tus tres metas para 2018?
- Obtener la certificación de Fundamentos de Ciberseguridad.
- Triplicar el número de cursos que doy de Implementación y Asesor de COBIT.
- Hacer que mi granja comience a producir.
¿Cuál es tu blog favorito?
ITInsecurity (insecurityit.blogspot)
¿Qué está sobre tu escritorio en este momento?
- Mi nueva computadorar
- Libros de COBIT 5 (COBIT 5: Procesos Habilitadores, COBIT PAM: Usando COBIT 5, COBIT 5 para Aseguramiento)
- Un vaso de té
¿Cómo te han impactado los medios digitales sociales (social media)?
Estos medios son una excelente forma para compartir conocimiento y vender servicios. Yo saco provecho de las redes sociales para conocer personas alrededor del mundo con intereses similares. Puedo incrementar mi conocimiento y en algunas ocasiones puedo ayudar a personas respondiendo a diferentes tipos de inquietudes acerca de la profesión.
¿Cuál es tu consejo número uno para otros profesionales de auditoría de SI?
Estudiar, aprender y practicar, practicar, practicar continuamente. Nuestra profesión es como la médica, todo está constantemente cambiando y debe uno mantener el paso con el cambio.
¿Cuál es tu beneficio favorito de tu membresía de ISACA?
Poder acceder a la base de conocimiento para aprender, y el ISACA Journal
¿Qué haces cuando no estás en el trabajo?
Camino y juego con mi perro leopardo Catahoula.
¿Cómo piensas que está cambiando o ha cambiado el rol de auditor de Sistemas de Información (SI)?
A través del tiempo, el rol del profesional de auditoría de SI ha estado cambiando dados los avances en la tecnología y la sofisticación del riesgo y controles.
De evaluación de controles alrededor de las computadoras, el profesional de auditoría de SI pasó a evaluar las computadoras mismas. Ahora, a medida que la tecnología evoluciona, las auditorías se centran en evaluar los entornos computacionales tales como la nube, Inteligencia Artificial (IA), y temas especializados relacionados a ciberseguridad y seguridad de la información, incluyendo la evaluación de terceros (proveedores externos) dentro del alcance de las auditorías.
Esta evolución ha dado como resultado que el profesional de auditoría de SI tenga un mayor conocimiento y especialización conocimiento en la materia; deben en estándares de la industria (ej. ISO/IEC 27001 e ISO/IEC 22301), buenas prácticas (ej. ITIL) y marcos de trabajo referenciales tales como COBIT 5 y TOGAF, así como especialización en herramientas computacionales.
¿Cuáles sientes que son las habilidades de liderazgo críticas para que los profesionales sean exitosos en el campo de la auditoría de SI?
Ellos deberían ser consejeros del nivel ejecutivo, proveyendo una forma de pensar y análisis críticos. Adicionalmente a sus habilidades de detección e identificación de riesgos, los profesionales de auditoría de SI deben ser capaces de motivar a sus clientes de improvisar su cultura a través de controles. Ellos deben ser buenos comunicadores, deben ser capaces de escribir reportes de auditoría y saber “venderlos”.También deben tener la habilidad de analizar y resolver problemas para entregar recomendaciones que provean valor a la organización, recordando la necesidad de reinventarse e innovarse ellos mismos continuamente.
¿Cuál es la mejor manera para que alguien desarrolle esas habilidades?
Ser un líder no es dar órdenes; es enseñar con el ejemplo. Los líderes siempre hacen más de lo que se les pide y guían a sus subordinados al éxito. El liderazgo se aprende a través de la práctica; y tener un coach lo hace mejor. La actitud es muy importante también. Los líderes deben ser capaces de detectar debilidades y fortalezas en sus equipos para superar las debilidades y tomar ventaja de las fortaleza.
¿Qué consejo tienes para los auditores de SI, con relación a la generación de su plan de carrera y con miras al futuro de la seguridad de la información?
En este mundo digital, los profesionales modernos de auditoría de SI tienen la evaluación de la ciberseguridad y la seguridad de la información entre sus actividades principales. Para realizar esto, ellos deben fortalecer su conocer los estándares de seguridad de la información y los riesgos y vulnerabilidades de la información y las plataformas en las que reside la información. Al usar este conocimiento en el desarrollo de las auditorías les permitirá aplicar conocimiento global acerca del riesgo de seguridad de la información del negocio y, al mismo tiempo, un mayor conocimiento detallado de las áreas relacionadas a la seguridad de la información. Yo aconsejaría a los profesionales de auditoría de SI a que obtengan la certificación CISA dado que es reconocida globalmente. Además, es altamente deseable para los profesionales de SI quienes busquen desenvolverse en un nivel gerencial que obtengan la certificación CISM. Aquellos quienes prefieren una perspectiva más técnica deberían perseguir la certificación CISSP.
¿Cómo es que las certificaciones que has obtenido te han ayudado a avanzar o potenciar tu carrera profesional? ¿Cuáles son las certificaciones que buscas cuando reclutas a un nuevo miembro de tu equipo?
Mis certificaciones de ISACA® han cambiado mi vida. Éstas abrieron un muy amplio campo profesional para mí. Tan pronto como obtuve mi certificación CISA, fui promovido en la organización para la que trabajaba. Cuando agregué las certificaciones CISM y CRISC™ fui capaz de ser más competitivo en el campo de la consultoría dado que las organizaciones buscan profesionales certificados. Las certificaciones muestran que la persona tiene la experiencia y el conocimiento requerido para desempeñar la función requerida. Las compañías privadas y el gobierno normalmente entregan puntos adicionales en sus licitaciones cuando el equipo que comité por la asignación tiene certificaciones internacionales. En el ambiente que trabajo, las certificaciones de ISACA son altamente deseadas, por lo tanto, siempre espero que los recursos que contrato hayan profesionales de ISACA y que también estén certificados en COBIT 5, preferentemente como implementadores o asesores.
¿Cómo visualizas que los roles de auditoría de SI, gobierno y cumplimiento cambien en el largo plazo?
Cada día, nuevas regulaciones parecen forzar a las organizaciones a evaluar su riesgo y mejorar sus controles. Adicionalmente, el gobierno de TI en las organizaciones está incrementando su demanda. Por lo tanto, creo que el rol de un auditor de SI relacionado al gobierno y cumplimiento, aumentará su importancia y los auditores de SI deberán evolucionar hacia un espectro de auditoría expandido mediante el apoyo hacia sus organizaciones para lograr la implementación y el mantenimiento del gobierno de TI y cumplimiento de las leyes y regulaciones locales, así como aquellas de otros países (tales como la ley Sarbanes-Oxley de Estados Unidos).
¿Cuál ha sido el mayor desafío de tu lugar de trabajo o de carrera profesional y cómo lo enfrentaste?
Mi vida laboral ha estado repleta de cambios, pero creo que uno de los más difíciles fue cuando una compañía de consultoría me pidió unirme a su equipo de profesionales para ayudar a Ecopetrol, la más grande compañía petrolera de Colombia, a que cumpliera con la ley SOX, con la ayuda de COBIT. Este es un trabajo que debería realizarse en un corto periodo. Gracias al apoyo de la alta administración y los excelentes equipos de trabajo de Ecopetrol y la compañía de consultoría, logramos la meta. Mi rol fue el de experto en COBIT y mi misión era ayudar a Ecopetrol a entender los beneficios de aplicar COBIT y cómo integrarlo con otras prácticas y estándares internacionales para cumplir con SOX.
Tuve que trabajar con diferentes áreas de la compañía para mejorar su conocimiento acerca del uso y aplicación de COBIT. Sostuve conversaciones a todos niveles acerca de COBIT, entrené al personal en COBIT, y serví como coach al equipo en la integración de COBIT con otras prácticas y estándares internacionales.