PLAN DE VALORACIÓN DE RIESGO P á g i n a

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "PLAN DE VALORACIÓN DE RIESGO. 2009. 81 P á g i n a"

Transcripción

1

2 81 P á g i n a

3 INTRODUCCIÓN Para que una empresa desarrolladora de software funcione correctamente y alcance los objetivos propuestos por la administración son necesarios activos o recursos de diferentes índoles y con diversos fines. Estos recursos pueden ser humanos, materiales (edificios, instalaciones, inmuebles, papelería, hardware, etc.) e inmateriales (software, experiencia, credibilidad, alcance de mercadeo etc.). Todos estos recursos se encuentran en un entorno de incertidumbre, que en ocasiones, puede mostrase agresivo y provocar interrupciones inesperadas del funcionamiento normal de la actividad de la empresa. La mayor parte de estas interrupciones suelen ser temporales y las condiciones vuelven a ser normales en un período que no ocasiona situaciones críticas para la actividad normal de la empresa. Sin embargo, puede haber circunstancias que generen interrupciones prolongadas, que lleguen a influir en la capacidad de funcionamiento de los servicios o impidan el desarrollo normal de los mismos. Detallar el análisis y la valoración de riesgos en los proyectos de información de una manera estructurada por fases, como herramienta de apoyo para las empresas desarrolladoras. 82 P á g i n a

4 OBJETIVO GENERAL Proporcionar a las empresas, una herramienta que le facilite identificar, evaluar los riesgos en los proyectos informáticos que emprenda la compañía, mejorando su servicio con el fin de disminuir el impacto y el tiempo al entrar en producción. OBJETIVOS ESPECÍFICOS Reconocer los riesgos en las diversas operaciones que realiza la empresa. Determinar el método de evaluación y valoración de riesgos para los Proyectos informáticos. Documentar las amenazas y los posibles atentados en contra de las actividades de la empresa. 83 P á g i n a

5 ALCANCES DEL PLAN Definir y documentar la valoración de los riesgos en los proyectos informáticos de una manera organizada que permita identificar, evaluar, controlar y valorar los riesgos en el área para las empresas desarrolladoras de software. Se desarrollará documentando cada una de las fases que componen la propuesta: Fase de identificación, evaluación, control y valoración, incluyendo las actividades que se deben ejecutar en cada fase. Con este plan se pretende dar a conocer los riesgos encontrados en las empresas en estudio, en relación a frecuencia, probabilidad, severidad o impacto en las organizaciones que se consideraron para esta investigación. 84 P á g i n a

6 BENEFICIO DEL PLAN El beneficio a obtener en la identificación, análisis y valoración de riesgos es: Dimensionar el impacto de los riesgos sobre la empresa en términos de interrupciones y pérdida que puedan poner en riesgo la viabilidad y la continuidad del proyecto. 85 P á g i n a

7 5.0. QUE ES LA VALORACIÓN DE RIESGOS: Proceso mediante el cual se establece la probabilidad de que ocurran daños personales o pérdidas materiales y la cuantificación de los mismos. Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en un proyecto informático y por medio de una buena gestión se pueda evaluar el desempeño, desarrollo y ejecución del mismo. Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos, este trabajo sirve de apoyo para una adecuada gestión de la administración de riesgos FASE 0: GESTIÓN DEL RIESGO La fase 0 está destinada a identificar, evaluar, valorar y controlar los riesgos, la frecuencia y severidad con que se pueden presentar y el grado de aceptabilidad que tienen en el desarrollo del proyecto. Para comenzar con el análisis y la valoración se requiere utilizar las conceptualizaciones siguientes: Amenaza: Persona, objeto, situación o evento natural del entorno (externo o interno) que es visto como fuente de peligro, catástrofe o interrupción y pueden ser de origen natural tecnológico y social. Ejemplos: sismos, inundación, avalanchas, incendio, explosiones, robo de datos, sabotaje, fraude, etc. También se define como un riesgo no evaluado. Es necesario cuantificarla para poder tomar decisiones (Administración de Riesgos). En síntesis podemos definir que la amenaza es una percepción del algo que puede ocurrir. 86 P á g i n a

8 Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se materialice, debido a la existencia de una o varias vulnerabilidades de peso significativo. El riesgo es difícil de medir, sobretodo, cuando no se cuenta con datos estadísticos que lo respalden o avalen, por la tendencia de las empresas a ocultar incidentes, la localización geográfica, las culturas, leyes, criticidad, situación país, etc. También se define como una amenaza evaluada en cuanto a su probabilidad de ocurrencia (Frecuencia) y a la gravedad de sus consecuencias (Severidad). Riesgo Informático: Es un suceso incierto que puede llegar a presentarse en un futuro con la probabilidad de Generar Consecuencias NEGATIVAS que afecten el ambiente informático o la información. Probabilidad/Frecuencia: Es el número de veces que se da un evento. Ver también posibilidad y probabilidad. También se define como el número de veces que una amenaza deja de serlo para convertirse en realidad, a lo largo de un determinado periodo de tiempo. Gravedad/Severidad/Impacto: Es la evaluación del efecto y consecuencia del riesgo. Generalmente, la exposición al riesgo se mide en aspectos económicos, imagen de las personas o empresas, disminución de capacidad de respuesta y competitividad, interrupción de operaciones, etc. Efecto que causa en la empresa la ocurrencia de un siniestro y que normalmente se ve reflejado en la suspensión de las actividades normales del negocio. Valor del riesgo: Riesgo = Probabilidad X Gravedad (R = PxG) Siniestro: Todo evento accidental, súbito e imprevisto (repentino, no planeado), que normalmente genera consecuencias negativas sobre un proyecto. Control: es toda acción orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas por ellas. Los controles sirven para asegurar la consecución de los objetivos de las empresas o asegurar 87 P á g i n a

9 el éxito de un proyecto y para reducir la exposición de los riesgos, a niveles razonables. Con las anteriores definiciones, este plan de análisis y valoración pretende identificar y calificar los riesgos que se presentan alrededor del proyecto Informáticos. El siguiente diagrama muestra cada una de las actividades que se llevaran cabo en cada fase DIAGRAMA DE ADMINISTRACIÓN DE RIESGOS VALORACIÓN DEL RIESGO IDENTIFICACIÓN ANÁLISIS Y VALORACIÓN DEL RIESGO ANÁLISIS DE RESULTADOS CONTROL 88 P á g i n a

10 5.2. FASE 1.- IDENTIFICACIÓN RIESGOS POTÉNCIALES La identificación de riesgos consiste en determinar qué tipos de riesgos es más probable que afecten al proyecto informático y documentar las características de cada uno. Los siguientes riesgos se identificaron por medio de las cedulas de entrevista dirigida a los administradores y el cuestionario dirigido a los especialistas en sistemas (Programadores) de las empresas desarrolladoras de software de la ciudad de San Miguel. (Ver anexo de instrumento de recolección de información Cedula de entrevista, Cuestionario Anexo N 6 y 7). Metodología de Trabajo. Proyectos en Desarrollo. Mal funcionamiento de Hardware. Falta de Seguridad física en sus Instalaciones. Los Virus Informáticos. Los accesos no autorizados. Almacenamiento de los Respaldos (Backups). El Robo. Las Normas y Políticas. Desastres Naturales. 89 P á g i n a

11 La siguiente metodología a seguir es, detallar los riesgos relacionados a cada identificación. Se irán puntualizando y desglosando según su dependiente, de esta manera se podrá conocer su proceso en el desarrollo METODOLOGÍA DE TRABAJO. Análisis Preliminar Diseño Codificación Puesta en Funcionamiento Evolución PROYECTOS EN DESARROLLO. PROCESO: El producto en desarrollo: Cambios de requerimientos. El proceso de Desarrollo: Diseño inadecuado. El equipo de Desarrollo: Añadir más personal a un proyecto atrasado. Personal problemático descontrolado. Fricciones entre clientes y desarrolladores (política del desarrollo) MAL FUNCIONAMIENTO DE HARDWARE. Fallas en los equipos Discos duros Memorias RAM. 90 P á g i n a

12 5.2.4 FALTA DE SEGURIDAD FÍSICA EN SUS INSTALACIONES. Polarizaciones eléctricas. Alarmas. Infraestructura antigua LOS VIRUS INFORMÁTICOS. Actualización de antivirus. Firewall LOS ACCESOS NO AUTORIZADOS. Áreas de trabajo. Control de acceso a la información. Nivel de acceso ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS). Backups de software Backups Data EL ROBO Medios de almacenamiento masivo Llevándose la data, difundiendo así la información NORMAS Y POLÍTICAS. Normas para el uso de los equipos de la empresa. Políticas de seguridad para la empresa. 91 P á g i n a

13 DESASTRES NATURALES. Fuego Inundaciones Sismos Huracanes Una vez identificadas las amenazas y los riesgos se elaboran las siguientes matrices: La matriz de eventos de riesgos con relación a los procesos se construye con las amenazas y con los procesos que tienen los proyectos informáticos. La combinación Proceso Amenaza (fila, columna) lo nombraremos Evento de riesgos, tal como se muestra en la Tabla N TABLA # 1. MATRIZ DE EVENTOS CON RELACIÓN A PROCESOS. Procesos / Amenazas Fallas Fallas Fallas P1 P1,A1 P1,A2 P1,An P2 P2,A3 P2,A4 P2,An Pn P1= proceso 1, P2= proceso 2 Pn= proceso n A1= amenaza 1, A2= amenaza 2.. An= amenaza n P1, A1 = E1, es el evento 1 de que en el proceso 1 ocurra la amenaza 1. El método a seguir es la realización de las Matrices de procesos y amenazas. 92 P á g i n a

14 Las siguientes tablas de eventos se desarrollan para conocer las amenazas o fallas bajo las cuales están sometidos cada uno de los procesos TABLA # 2. MATRIZ DE EVENTO CON RELACIÓN A LA METODOLOGÍA DE TRABAJO. PROCESOS/AMENAZAS Fallas planificaci ón del proyecto Fallas en los modelos del prototipo s Fallas en la etapa de realizar pruebas. Fallas en la puesta en marcha del producto Fallas de la aplicación METODOLOGÍA DE TRABAJO.-P1 Análisis preliminar. A1 Diseño. A2 Codificaci ón. A3 Puesta en Funcionamie nto. A4 Evolución. A TABLA # 3. MATRIZ DE EVENTOS CON RELACIÓN AL PROCESOS/AMENAZAS PROYECTO EN DESARROLLO. Fallas del producto en desarrollo Fallas del proceso de desarrollo Fallas del equipo de desarrollo PROYECTOS EN DESARROLLO.- P2 Cambios de requerimientos. A6 Diseño inadecuado A7 Añadir más personal a un proyecto atrasado. A8 Personal problemático descontrolado. A9 Fricciones entre clientes y desarrolladores (política del desarrollo). A10 93 P á g i n a

15 5.3.3 TABLA # 4. MATRIZ DE EVENTOS CON RELACIÓN AL MAL FUNCIONAMIENTO DE HARDWARE. PROCESOS/AMENAZAS Fallas en los equipos MAL FUNCIONAMIENTO DE HARDWARE.- P3 Discos duros A11 Memorias RAM A TABLA # 5. MATRIZ DE EVENTOS CON RELACIÓN A LA FALTA DE SEGURIDAD FÍSICA EN SUS INSTALACIONES. PROCESOS/AMENAZAS Fallas por los métodos de protección al hardware Fallas en la segurida d Fallas en la seguridad física FALTA DE SEGURIDAD FÍSICA EN SUS INSTALACIONES.-P4 Polarizacione s eléctricas. A 13 Alarmas. A 14 Infraestruc tura antigua. A TABLA # 6. MATRIZ DE EVENTOS CON RELACIÓN A LOS VIRUS INFORMÁTICOS. PROCESOS/AMENAZAS LOS VIRUS INFORMÁTICOS.-P5 Fallas en la seguridad Actualización de antivirus. A16 Fallas en el control de acceso Firewall. A17 94 P á g i n a

16 5.3.6 TABLA # 7. MATRIZ DE EVENTOS CON RELACIÓN A LOS ACCESOS NO AUTORIZADOS. PROCESOS/AMENAZAS Fallas inadecuada medida de seguridad Fallas por la libertad de acceso Fallas en el control del acceso LOS ACCESOS NO AUTORIZADOS.-P6 Áreas de trabajo. A18 Control de acceso a la información. Nivel de acceso. A20 A TABLA # 8. MATRIZ DE EVENTOS CON RELACIÓN AL ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS). PROCESOS/AMENAZAS ALMACENAMIENTO DE LOS RESPALDOS (BACKUPS).-P7 Fallas en las plataformas de trabajo ó SO Backups de software. A21 Fallas en cuanto al tiempo que realizan los resguardos Backups Data. A TABLA # 9. MATRIZ DE EVENTOS CON RELACIÓN AL ROBO. PROCESOS/AMENAZAS Fallas en el Fácil acceso Fallas en la seguridad de acceso EL ROBO.- P8 Medios de almacenamiento masivo. A23 Llevándose la data, difundiendo así la información. A24 95 P á g i n a

17 5.3.9 TABLA # 10. MATRIZ DE EVENTOS CON RELACIÓN A LAS NORMAS Y POLÍTICAS. PROCESOS/AMENAZAS Fallas por no contar con normas Fallas por no cortar con políticas NORMAS Y POLÍTICAS.-P9 Normas para el uso de los equipos de la empresa. A25 Políticas de seguridad para la empresa. A TABLA # 11. MATRIZ DE EVENTOS CON RELACIÓN A DESASTRES NATURALES. PROCESOS/AMENAZAS Fallas por la falta de equipo contra fuego Fallas por desagües, invierno humedad, Riesgo a ocurrir Riesgo a ocurrir DESASTRES NATURALES.-P10 Fuego. A27 Inundaciones A28 Sismos A29 Huracanes A30 96 P á g i n a

18 5.4 NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS Para evaluar esta etapa se describen los problemas con más impacto y probabilidad de ocurrencia que se les presentan a las empresas desarrolladoras se describen los procesos y amenazas existentes en los cuales permiten obtener información para los efectos de la toma de decisiones, estos niveles de riesgo son: ALTO (cuando el riesgo hace altamente vulnerable a la entidad o unidad). o (Impacto y probabilidad alta vs controles). MEDIO (cuando el riesgo presenta una vulnerabilidad media). (Impacto alto probabilidad baja o Impacto bajo - probabilidad alta vs controles). BAJO (cuando el riesgo presenta vulnerabilidad baja), (Impacto y probabilidad baja vs controles). El método a seguir es el de realizar la matriz de nivel de riesgo de los problemas encontrados en cada empresa desarrolladora, en las cuales se irán dando a conocer según su nivel de impacto y probabilidad de ocurrencia en cada una de ellas. 97 P á g i n a

19 5.4.1 Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS. ALTO I M P A C T O MEDIO BAJO Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P1- Análisis Preliminar (A1), Diseño (A2), Codificación (A3), Puesta en Funcionamiento (A4), Evolución (A5). Baja Media Alta Probabilidad 98 P á g i n a

20 I M P A C T O ALTO MEDIO BAJO Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS. Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P3- Discos duros (A11), Memoria RAM (A12). Garrobito Web P2-Añadir más personal a un proyecto atrasado (A8). Ryougan technology, P2-Diseño inadecuado (A7), Añadir más personal a un proyecto atrasado (A8), Personal problemático descontrolado (A9),Fricciones entre clientes y desarrolladores (política del desarrollo) Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P2-Cambio de requerimientos (A6) Baja Media Alta Probabilidad 99 P á g i n a

21 I M P A C T O Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS. ALTO MEDIO BAJO Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P6-Areas de trabajo (A18), Control de acceso a la información (A19), Nivel de acceso (A20). Ceminfo, Ryougan technology. P4-Alarmas (A14) Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P5-Actualizacion de antivirus (A16) Firewall (A17). Ceminfo, Ryougan technology. P4-Polarizaciones eléctricas(a13) Ryougan technology P4- Infraestructura antigua (A15) Baja Media Alta Probabilidad 100 P á g i n a

22 I M P A C T O ALTO Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS. Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P7-Backups de software (A21), Backups de Data (A22). MEDIO Disoftware, Ryougan technology, Garrobito Web, Ceminfo. BAJO P8-Medios de almacenamiento masivo (A23) Llevándose la data, difundiendo así la información (A24) Disoftware, Syscotel SA de CV, Ryougan technology, Garrobito Web, Ceminfo. P9-Normas para el uso de los equipos de la empresa (A25). Políticas de seguridad para la empresa (A26). Syscotel SA de CV P8-Medios de almacenamiento masivo (A23). Llevándose la data, difundiendo así la información (A24) Baja Media Alta Probabilidad 101 P á g i n a

23 5.4.1 Matriz 1.- NIVEL DE RIESGOS DE PROBLEMAS OCURRIDOS EN LAS EMPRESAS. ALTO Garrobito Web, Ceminfo. I M P A C T O MEDIO BAJO P10-Fuego (A27). Syscotel SA de CV, Ryougan technology. P10-Inundaciones (A28). Ryougan technology. P10-Sismos (A29.) Syscotel SA de CV P10- Huracanes (A30) Baja Media Alta Probabilidad Ver anexo de instrumento de recolección de información Cedula de entrevista, Cuestionario. Anexo N 6 y P á g i n a

24 5.5 FASE 2. - ANÁLISIS Y VALORACIÓN RIESGO Una vez que los riesgos han sido identificados y descrito sus procesos y amenazas, se llevara a cabo su evaluación. El paso a seguir es hacer el análisis y la valoración. En esta actividad se tiene como objetivo, una vez definidos los riesgos, la determinación y cálculo de los criterios que, con posterioridad, nos facilitarán la evaluación y valoración del riesgo. Como procedimiento a seguir se identificarán las variables específicas y se analizarán los factores obtenidos. Los criterios de análisis del riesgo para este caso en particular que usaremos son: Probabilidad o frecuencia, gravedad o impacto y la aceptabilidad del riesgo. Para poder hacer el análisis y la valoración del riesgo es necesario elaborar las escalas de probabilidad y gravedad en que se pueden presentar las amenazas. Estas dos tablas tienen como finalidad obtener una calificación del riesgo en cuanto a frecuencia o posibilidad de ocurrencia y en cuanto a la consecuencia o gravedad si se llegara a materializar la amenaza. 103 P á g i n a

25 5.5.1 Tabla # 12. Contiene una Escala de Probabilidad. VALOR PROBABILIDAD Ó (FRECUENCIA) DEFINICIÓN 1 Improbable 2 Remoto 3 Ocasional 4 Moderado 5 Frecuente 6 Constante Se presenta bajo circunstancias extremas de orden público en el país, de catástrofe o bajo situaciones excepcionales fuera del alcance de la organización o del proyecto. Como paros, huelgas, sabotajes o amenazas de terrorismo. Se presenta por situaciones atribuibles a las personas, y pueden ser causadas por hechos internos de la organización hacia el proyecto como suspenderlo, no apoyarlo, abortarlo, entre otras. El evento se clasifica como norutinario y no es inherente a la tecnología, su frecuencia se asocia con variables externas a la tecnología, los procesos o componentes del proyecto. Se presenta por situaciones atribuibles al descuido o error humano que afectan la ejecución del proyecto. Se presenta con cierta regularidad, y su causa es atribuible a los recursos mínimos del proyecto (Personas, presupuesto, tiempo, tecnología) los cuales son necesarios para su ejecución. Se presenta en el día a día, su origen es atribuible a situaciones normales del proyecto como interrupciones menores de los procesos, los servicios de la tecnología, la desviación de los recursos y otros similares. 104 P á g i n a

26 Definición Aplicativa. IMPROBABLE: Cuando el riesgo evaluado no ha sucedido hasta ahora y es muy difícil que ocurra. REMOTO: Cuando el riesgo evaluado ha sucedido sólo en forma excepcional y se tiene una posibilidad de ocurrencia muy baja. OCASIONAL: Cuando el riesgo evaluado ha sucedido pocas veces y tiene baja posibilidad de ocurrencia. MODERADO: Si el riesgo sucede en forma esporádica y tiene limitada posibilidad de ocurrencia. FRECUENTE: Si el riesgo sucede algunas veces y tiene una significativa posibilidad de ocurrencia. CONSTANTE: Cuando el riesgo evaluado sucede en forma reiterada y tiene alta posibilidad de ocurrencia. El termino Gravedad: se refiere a la magnitud en términos relativos de las consecuencias que pueden generarse al ocurrir la amenaza evaluada. La tabla de gravedad, debe construirse en forma estándar para las empresas. 105 P á g i n a

27 VALOR TABLA # 13. ESCALA DE GRAVEDAD. 1 Insignificante: La duración de la interrupción es menor a 1 Hora. 2 Marginal: La duración de la interrupción esta entre 1-4 Horas. 5 Grave: 10 Crítico: La duración de la interrupción esta entre 4-8 Horas. La duración de la interrupción esta entre 8-24 Horas. 20 Desastroso: La duración de la interrupción esta entre Horas. 50 Catastrófico: La duración de la interrupción es mayor a 36 Horas. GRAVEDAD 106 P á g i n a

28 INSIGNIFICANTE: Cuando las consecuencias (impacto) pueden ser consideradas como despreciables porque que no afectan el funcionamiento del proyecto. MARGINAL: Cuando las consecuencias (impacto) se consideran tolerables (moderadas) porque afectan en forma leve al proyecto. GRAVE: Cuando las consecuencias (impacto) afectan parcialmente el funcionamiento del proyecto, pero no ponen en peligro su ejecución. CRÍTICO: Se valora la consecuencia (impacto) en términos considerables porque dichas consecuencias afectan parcialmente al proyecto desplazando su ejecución. DESASTROSO: Las consecuencias afectan totalmente al proyecto, desplazando su ejecución y aumentando los costos del mismo de lo inicialmente presupuestado. CATASTRÓFICO: Cuando las consecuencias se consideran de gran magnitud porque afectan en forma total el proyecto pudiendo poner en riesgo la estabilidad del mismo e inclusive impidiendo su terminación. Podemos hablar con el término riesgo cuando la amenaza se evalúa con las escalas de probabilidad y gravedad. El próximo paso entonces, de esta etapa, es calificar los riesgos multiplicando el valor del riesgo en cuanto a probabilidad por el valor del riesgo en cuanto a gravedad. Riesgo = Probabilidad X Gravedad (R = PxG). Tal como se muestra en la Tabla # 14 tomando como referencias las Matrices de Eventos o escenarios en cuanto a Procesos: 107 P á g i n a

29 5.5.3 TABLA #14 CALIFICACIÓN DEL RIESGO CON RELACIÓN A LOS PROCESOS. ENTORNO DE PROCESOS PROBABILIDAD P GRAVEDAD G RIESGO (PxG) METODOLOGÍA DE TRABAJO.- P1- A1, A2, A3, A4, A5. PROYECTOS EN DESARROLLO.- P2-A5, A6, A7, A8, A9, A10. MAL FUNCIONAMIENTO DE HARDWARE.- P3- A11, A12. FALTA DE SEGURIDAD FÍSICA EN SUS INSTALACIONES.-P4- A13, A14, A15. LOS VIRUS INFORMÁTICOS.-P5 A16, A17. OCASIONAL 3 CRÍTICO OCASIONAL 3 GRAVE 5 15 OCASIONAL 3 CATASTRÓFICO OCASIONAL 3 MARGINAL 2 6 REMOTO 2 GRAVE 5 10 LOS ACCESOS NO OCASIONAL 3 GRAVE 5 15 AUTORIZADOS.-P6 A19,A19,A20 ALMACENAMIENTO DE LOS REMOTO 2 CRÍTICO RESPALDOS (BACKUPS).-P7- A21, A22. EL ROBO. - P8-A23, A24. OCASIONAL 3 DESASTROSO NORMAS Y POLÍTICAS.-P9-A25, OCASIONAL 3 CRÍTICO A26. DESASTRES NATURALES.-P10- REMOTO 2 CATASTRÓFICO A27, A28, A29, A30. Riesgo = P X G Donde: P = Probabilidad de ocurrencia (frecuencia) G = Gravedad o intensidad de las consecuencias (impacto) 108 P á g i n a

30 5.6 FASE 3. - ANALISIS DE RESULTADOS Elaborar la Matriz de Aceptabilidad, que nos permita determinar el nivel de aceptabilidad hacia el riesgo. La Matriz de Aceptabilidad de Riesgos nos determina el nivel de aceptabilidad del evento o escenario (combinación de Riesgo proceso, o combinación de riesgo tecnología) que pueda suceder en el proyecto. Esta matriz está conformada por cuatro zonas de acuerdo con la escala de probabilidad y de gravedad definida en los pasos anteriores: Zona Aceptable: Donde la probabilidad de ocurrencia del riesgo es muy baja, es decir, un evento o escenario situado en esta región de la matriz, significa que la combinación frecuencia consecuencia no implica una gravedad significativa, por lo que no amerita la inversión de recursos y no requiere acciones adicionales para la gestión sobre el factor de vulnerabilidad considerado, diferentes a las ya aplicadas en el proyecto. Zona Tolerable: Un evento o escenario situado en esta región de la matriz, significa que, aunque deben desarrollarse actividades para la gestión sobre el riesgo en el proyecto, tienen una prioridad de segundo nivel, pudiendo ser a mediano plazo. Zona Inaceptable: Donde la probabilidad de ocurrencia del riesgo es alta, y su consecuencia es considerable, es decir, un evento o escenario situado en esta región de la Matriz, significa que se requiere siempre desarrollar acciones prioritarias a corto plazo para su gestión, debido al alto impacto que tendrían sobre el proyecto. Zona Inadmisible: Un riesgo identificado situado en esta región de la matriz, significa que bajo ninguna circunstancia se deberá mantener un escenario con esa capacidad potencial de afectar la estabilidad del proyecto e inclusive su 109 P á g i n a

31 terminación. Por ello estos escenarios requieren una atención de alta prioridad para buscar disminuir en forma inmediata su vulnerabilidad. Para determinar los límites de cada una de las zonas de aceptabilidad en la matriz, se utilizan los siguientes criterios de valoración: Tabla # 15 Matriz de Zona de Aceptabilidad. ZONA CRITERIO DE ACEPTABILIDAD (% de vulnerabilidad). Aceptable Hasta el 3.0 Tolerable Del 3.1 al 5.0 Inaceptable Del 5.1 al 25.0 Inadmisible Más del Tabla # 16 PROBABILIDAD RELATIVA. Constante 6 6 (2.0%) 12 (4.0%) 30 (10.0%) 60 (20.0%) 120 (40.0%) 300 (100.0%) Frecuente 5 5 (1.6%) 10 (3.3%) 25 (8.3%) 50 (16.6%) 100 (33.3%) 250 (83.3%) Moderado 4 4 (1.3%) 8 (2.6%) 20 (6.6%) 40 (13.3%) 80 (26.6%) 200 (66.6%) Ocasional 3 3 (1.0%) 6 (2.0%) 15 (5.0%) 30 (10.0%) 60 (20.0%) 150 (50.0%) Remoto 2 2 (0.6%) 4 (1.3%) 10 (33.3%) 20 (6.6%) 40 (13.3%) 100(33.3%) Improbable 1 1(0.3%) 2 (0.6%) 5 (1.6%) 10 (3.3%) 20 (6.6%) 50 (16.6%) Insignificante Marginal Grave Crítico Desastroso Catastrófico GRAVEDAD RELATIVA 110 P á g i n a

32 Cada riesgos encontrados (Pn An), resultante de la matriz de eventos con relación a los procesos informáticos, se sitúa dentro de la matriz de aceptabilidad para poder determinar los requerimientos de medidas de control como insumos necesarios para la próxima etapa o fase que es la de Control. La Matriz de Aceptabilidad del riesgo está determinada por la escala de probabilidad tomada de la Tabla #12 y la escala de gravedad basada en la Tabla #13 con la definición de los valores de aceptable, tolerable, inaceptable e inadmisible como se muestra a continuación en la Tabla # 17: Tabla # 17 Matriz de Aceptabilidad. PROBABILIDAD RELATIVA Constante 6 Aceptable Tolerable Inaceptable Inaceptable Inadmisible Inadmisible Frecuente 5 Aceptable Tolerable Inaceptable Inaceptable Inadmisible Inadmisible Moderado 4 Aceptable Aceptable Inaceptable Inaceptable Inadmisible Inadmisible Ocasional 3 Aceptable Aceptable Tolerable Inaceptable Inaceptable Inadmisible Remoto 2 Aceptable Aceptable Tolerable Inaceptable Inaceptable Inadmisible Improbable 1 Aceptable Aceptable Aceptable Tolerable Inaceptable Inaceptable Insignificante Marginal Grave Crítico Desastroso Catastrófico GRAVEDAD RELATIVA. 111 P á g i n a

33 Tabla #18. Matriz de Aceptabilidad para el entorno de Procesos. PROBABILIDAD RELATIVA. Constante 6 Frecuente 5 Moderado 4 Ocasional 3 Falta de seguridad física en sus instalaciones. -P4-A13, A14, A15. Proyectos en desarrollo.- P2- A5, A6, A7, A8, A9, A10. Los accesos no autorizados.-p6 A19,A19,A20 Remoto 2 Los virus informáticos.- P5 A16, A17. Improbable 1 Metodología de trabajo.-p1- A1, A2, A3, A4, A5. Normas y políticas.-p9- A25, A26. Almacenamient o de los respaldos (backups).-p7- A21, A22. El robo.- P8- A23, A24. Mal funcionamiento de hardware.- P3- A11, A12. Desastres naturales.-p10- A27, A28, A29, A Insignificante Marginal Grave Crítico Desastroso Catastrófico GRAVEDAD RELATIVA. 112 P á g i n a

34 Perfil de los riesgos. El conjunto de todos los riesgos encontrados ubicados en la matriz de aceptabilidad configura el perfil de los riesgos para el proyecto o sistema y que se realiza para el entorno de los procesos y los proyectos informáticos: Metodología de trabajo, Proyectos en desarrollo, Mal funcionamiento de hardware, Falta de seguridad física en sus instalaciones, Los virus informáticos, Los accesos no autorizados, Almacenamiento de los respaldos (backups), El robo, Normas y políticas, Desastres naturales. 5.7 FASE 4.- CONTROL Esta fase consiste en identificar y analizar las soluciones disponibles para tratar los riesgos estudiados en las etapas anteriores, con el fin de reducir la frecuencia y severidad de las pérdidas, en caso de que los riesgos identificados se materialicen. Control es toda acción orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas por ellas. Los controles sirven para asegurar la consecución de los objetivos de la organización o asegurar el éxito de un sistema y para reducir la exposición de los riesgos, a niveles razonables. Los objetivos básicos de los controles son: Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo, retroalimentando el sistema de control interno con medios correctivos para establecer las respectivas medidas de protección y permitiendo así la continuidad de la organización o el proyecto que esté en ejecución. 113 P á g i n a

35 En el siguiente grafico muestra cuales son las actividades que se deben seguir para tener un buen control de riesgos en el proyecto que se está desarrollado C O N T R O L DEL R I E S G O S Control Físico/Lógico: En esta actividad se definen dos alternativas fundamentales para obtener un buen control del riesgo: Prevención: Estudio exhaustivo de las alternativas lógicas conducentes a reducir en la medida de lo posible, las causas que originan la materialización de un riesgo. Son aquellas medidas tendientes a minimizar las causas que puedan provocar una pérdida teniendo en cuenta los procesos, la gente y la tecnología. Protección: Conjunto de actividades encaminadas a reducir la severidad del impacto causado por la materialización de un riesgo. Actúan sobre las consecuencias. 114 P á g i n a

36 Son aquellas medidas tendientes a reducir la severidad de la pérdida, es decir en caso de que ésta suceda, reduzca las consecuencias al mínimo, teniendo en cuenta los procesos, la gente y la tecnología. Control Financiero: En esta actividad se definen dos alternativas fundamentales la de retener y la de transferir el riesgo: Retener: Consiste en proveer los medios hoy, para el estado de necesidad, que la materialización de un riesgo pueda causar en el futuro. De acuerdo con la capacidad financiera de la organización, se pueden asumir los riesgos que se determinen después de analizar la matriz de riesgos. Se asumen generalmente los riesgos de baja probabilidad de ocurrencia y baja severidad (riesgos no catastróficos). Uno de los mecanismos que se pueden definir en la empresa o en el proyecto para tratar los riesgos que se consideren, se pueden asumir el fondo en reservar de dinero para anticiparse a las consecuencias de una pérdida que se podría generar al materializarse el riesgo asumido y previamente calculado su posible costo. Transferir: Es el traslado del riesgo a una compañía aseguradora mediante el pago de una prima. (Contrato de seguro). Consiste también en la transferencia contractual de los riesgos a los contratistas y subcontratistas de la organización o de los que interviene en el desarrollo del proyecto. Análisis de resultados: Cualquier proceso requiere de una retroalimentación, para mantenerse en el tiempo y hacerse flexible ante los múltiples y vertiginosos cambios que se viven en las organizaciones y con mayor razón en los proyectos y especialmente en los de tecnología de información. 115 P á g i n a

37 Cuando ocurren cambios en el proyecto, es ciclo básico de identificación, evaluación, análisis y valoración de riesgos se repite. Es importante comprender que incluso el análisis más profundo y completo no puede identificar todos los riesgos y probabilidades correctamente; se requiere un control y una iteración. Los riesgos son dinámicos y deben ser monitoreados permanentemente 116 P á g i n a

38 5.8. RECOMENDACIONES. La metodología aquí definida y documentada se convierte en una herramienta clave para las empresas desarrolladoras de software de la ciudad de san Miguel. Porque a través de su utilización y aplicación le facilita identificar, evaluar, controlar y valorar los riesgos de en proyectos informáticos que emprenda la compañía, mejorando la gestión con el fin de disminuir el impacto de la tecnología en los costos, recursos y el tiempo al entrar en producción. La aplicación de esta metodología, deberá realizarse en todas las etapas de los proyectos informáticos, haciéndola extensiva a que la empresa en adelante pueda emplearla en cada aspecto específico. El plan cubre una gama de aspectos éticos, económicos, administrativos y tecnológicos que le permitirán al administrador o especialistas en informática (programadores) tener un dominio integral sobre cada aspecto de la ejecución del proyecto garantizando su continuidad. 117 P á g i n a

39 5.9. CONCLUSIONES. Para definir la metodología de análisis y valoración de riesgos en proyectos informáticos se tuvo en cuenta las tres dimensiones fundamentales que componen una organización informática a nivel mundial: Los procesos; la gente y la tecnología, sin olvidar que la parte más importante es la gente, la que hace que los procesos y la tecnología funcionen. Desde los comienzos de la computación, los recursos informáticos incluyendo la información, han estado expuestos a una serie de peligros o riesgos que han aumentado y evolucionado Proteger los activos más valiosos de las empresas frente a posibles amenazas que ofrece permanentemente el medio, es un gran desafío. Este interés crece aun más cuando la información cobra importancia para sobrevivir frente a la competencia y permanecer en el mercado. 118 P á g i n a

Gestión de Riesgos - Introducción

Gestión de Riesgos - Introducción Temario de la clase Gestión de Riesgos Definiciones Tipos de Riesgos Análisis de Riesgos Resolución de Riesgos Gestión de Riesgos - Introducción El riesgo implica: Riesgo: Definiremos como Riesgo a cualquier

Más detalles

Análisis de Riesgos Primeros pasos en UTE

Análisis de Riesgos Primeros pasos en UTE Análisis de Riesgos Primeros pasos en UTE Adriana Toscano Fernando Yurisich Diciembre 2005 Agenda Historia. Objetivos. Análisis macro de riesgos. Análisis micro de riesgos. Beneficios. Historia Hasta el

Más detalles

CAMARA DE COMERCIO SEVILLA MANUAL DEL SISTEMA DE GESTION DE RIESGO

CAMARA DE COMERCIO SEVILLA MANUAL DEL SISTEMA DE GESTION DE RIESGO CAMARA DE COMERCIO SEVILLA Sistema Integrado de Gestión de la Calidad MANUAL DEL SISTEMA DE GESTION DE RIESGO Fecha Junio del 2015 Página 1 de 24 OBJETIVO Establecer la metodología para la gestión de los

Más detalles

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS Página: 1 de 14 1. Objetivo Definir el marco de referencia y la metodología para la Administración de Riesgos de la entidad, facilitando el cumplimiento de sus objetivos y las funciones propias del Ministerio

Más detalles

Es de apuntar que esta interacción se desarrolla para los sectores 18, 55, 58 Y70.

Es de apuntar que esta interacción se desarrolla para los sectores 18, 55, 58 Y70. CAPITULO VIII Pág. 47 Es de apuntar que esta interacción se desarrolla para los sectores 18, 55, 58 Y70. Incendios y explosiones Maquinaria y equipos Como se anotó en la descripción de las amenazas, esta

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

MAPA DE RIESGO INSTITUCIONAL

MAPA DE RIESGO INSTITUCIONAL MAPA DE RIESGO INSTITUCIONAL SANTOS EDUARDO SUAREZ MONTAÑO 2008-2011 INTRODUCCIÒN La Administración pública introdujo el concepto de administración de riesgo en las entidades del Estado, considerando la

Más detalles

de riesgos ambientales

de riesgos ambientales MF1974_3: Prevención de riesgos TEMA 1. Análisis y evaluación de riesgos TEMA 2. Diseño de planes de emergencia TEMA 3. Elaboración de simulacros de emergencias TEMA 4. Simulación del plan de emergencia

Más detalles

POLITICA DE ADMINISTRACION DEL RIESGO

POLITICA DE ADMINISTRACION DEL RIESGO POLITICA DE ADMINISTRACION DEL RIESGO 2014 POLÍTICA DE ADMINISTRACIÓN DEL RIESGO DE LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS -CREG- La Comisión de Regulación de Energía y Gas, CREG, implementa como Política

Más detalles

PAUTAS PARA CONSTRUIR UN PLAN DE CONTINGENCIA PARA AZDIGITAL

PAUTAS PARA CONSTRUIR UN PLAN DE CONTINGENCIA PARA AZDIGITAL Localizacion: PAUTAS PARA CONSTRUIR UN PLAN DE CONTINGENCIA PARA AZDIGITAL http://subversion.analitica.com.co:8023/azdigital/docs/presentaciones y Folletos/Plan de Trabajo Estandard AZDigital.docx Por

Más detalles

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones

Más detalles

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA Página 1 CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Consideraciones generales En desarrollo de sus operaciones, las entidades sometidas a la inspección y vigilancia de la

Más detalles

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C.

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. GESTIÓN DE RIESGO Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. MARCO NORMATIVO Con el propósito de desarrollar un sistema eficiente para la gestión de riesgos, el Ministerio

Más detalles

SISTEMA ESTRATÉGICO DE TRANSPORTE PÚBLICO SANTA MARTA PLAN DE CONTINGENCIA ÁREA FINANCIERA Y CONTABLE

SISTEMA ESTRATÉGICO DE TRANSPORTE PÚBLICO SANTA MARTA PLAN DE CONTINGENCIA ÁREA FINANCIERA Y CONTABLE SISTEMA ESTRATÉGICO DE TRANSPORTE PÚBLICO SANTA MARTA PLAN DE CONTINGENCIA ÁREA FINANCIERA Y CONTABLE TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. OBJETIVO... 3 3. ALCANCE... 4 4. VENTAJAS POTENCIALES...

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

MANUAL DE GESTION DE RIESGOS EN CERREJON

MANUAL DE GESTION DE RIESGOS EN CERREJON Revisó Superintendente de Ingeniería Ambiental Aprobó Gerente de Seguridad MANUAL DE GESTION DE RIESGOS EN CERREJON Pág. 1 de 74 TABLA DE CONTENIDO 1. PAUTAS GENERALES PARA GESTION DEL RIESGO 1.1. Marco

Más detalles

ISO 14001. Blga. Sonia Palomino Salcedo CONSULTOR - FOOD SOLUTIONS SAC

ISO 14001. Blga. Sonia Palomino Salcedo CONSULTOR - FOOD SOLUTIONS SAC ISO 14001 Blga. Sonia Palomino Salcedo CONSULTOR - FOOD SOLUTIONS SAC Antecedentes Normas de SGA ISO 14000 1996 Primera Revisión de ISO 14001:2004 Por qué un Sistema de Gestión Ambiental - SGA? Asegurar

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Unidad III: Planificación del proyecto

Unidad III: Planificación del proyecto Unidad III: Planificación del proyecto 3.1 Objetivo del proyecto Todo proyecto conlleva la realización de una serie de actividades para su desarrollo. La distribución en el tiempo de dichas actividades

Más detalles

Escuela Politécnica Superior. El Riesgo. Capítulo 9. daniel.tapias@uam.es. Dr. Daniel Tapias Curso 2014 / 15 PROYECTOS

Escuela Politécnica Superior. El Riesgo. Capítulo 9. daniel.tapias@uam.es. Dr. Daniel Tapias Curso 2014 / 15 PROYECTOS Escuela Politécnica Superior El Riesgo Capítulo 9 Dr. Daniel Tapias Curso 2014 / 15 daniel.tapias@uam.es PROYECTOS PROGRAMA DE LA ASIGNATURA Capítulo 1: Introducción. Capítulo 2: Qué es un proyecto? Capítulo

Más detalles

RISK MANAGEMENT. Su organización puede planificar pero no predecir su futuro

RISK MANAGEMENT. Su organización puede planificar pero no predecir su futuro RISK MANAGEMENT Su organización puede planificar pero no predecir su futuro Cuando su organización conceptualiza que la operatoria del negocio se encuentra expuesta a una serie de riesgos que deben ser

Más detalles

Boletín de Asesoría Gerencial* Qué es un riesgo y cómo identificarlo?

Boletín de Asesoría Gerencial* Qué es un riesgo y cómo identificarlo? Espiñeira, Sheldon y Asociados No. 12-2008 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección 4

Más detalles

SISTEMA DE GESTION DE CALIDAD Y MODELO ESTANDAR DE CONTROL INTERNO-MECI

SISTEMA DE GESTION DE CALIDAD Y MODELO ESTANDAR DE CONTROL INTERNO-MECI SISTEMA DE GESTION DE CALIDAD Y MODELO ESTANDAR DE CONTROL INTERNO-MECI Responsabilidades Equipo MECI-Calidad Diseño, desarrollo e implementación MECI- Calidad Elaborar Planes de implementación de los

Más detalles

Consultoría en Gerencia de Riesgos e Intermediacion en Seguros INTRODUCCION A LA GERENCIA DE RIESGOS Y SEGUROS

Consultoría en Gerencia de Riesgos e Intermediacion en Seguros INTRODUCCION A LA GERENCIA DE RIESGOS Y SEGUROS Consultoría en Gerencia de Riesgos e Intermediacion en Seguros INTRODUCCION A LA GERENCIA DE RIESGOS Y SEGUROS 1 La Gerencia de Riesgos es una metodología que permite identificar, analizar y evaluar los

Más detalles

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Criterios de certificación de seguridad informática Versión 1.1 CONTENIDO Criterios de certificación

Más detalles

Washington Deza - Lima, Setiembre 2011 GESTION DEL RIESGO OPERACIONAL

Washington Deza - Lima, Setiembre 2011 GESTION DEL RIESGO OPERACIONAL Washington Deza - Lima, Setiembre 2011 GESTION DEL RIESGO OPERACIONAL RIESGO OPERATIVO Riesgo de Mercado Riesgo de Crédito Reputacion al Riesgo Operacion al Riesgo de Liquidez Riesgo Legal Lavado de Activos

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

Información del Proyecto en http://colombia.casals.com

Información del Proyecto en http://colombia.casals.com ENTIDADES DE LA ALIANZA PROGRAMA EFICIENCIA Y RENDICIÓN DE CUENTAS EN EL ESTADO COLOMBIANO Información del Proyecto en http://colombia.casals.com 1 MODELO ESTÁNDAR DE CONTROL INTERNO MECI- CAPACITACIÓN

Más detalles

PLAN DE CONTINGENCIAS SISTEMA DE SEGUIMIENTO Y CONTROL DE TRANSPORTACION

PLAN DE CONTINGENCIAS SISTEMA DE SEGUIMIENTO Y CONTROL DE TRANSPORTACION RESUMEN DEL DOCUMETO TITULO DEL DOCUMENTO SISTEMA DE SEGUIMIENTO Y CONTROL DE TRANSPORTACION Autor del Documento: Ing. Tomas Trejo/Carlos Diosdado Aprobación del Documento: Ing. Gustavo Licona Jiménez

Más detalles

Nombre de la sesión: Fundamentos de software contable

Nombre de la sesión: Fundamentos de software contable Paquetería contable 1 Sesión No. 1 Nombre de la sesión: Fundamentos de software contable Contextualización: Estamos viviendo tiempos donde la información viaja por todo el mundo en algunos minutos o segundos,

Más detalles

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

SISTEMA DE GESTIÓN DE RIESGOS DE SEGURIDAD FÍSICA BAJO LA NTC ISO 31000 EN LOS PROYECTOS DE SÍSMICA DEL SECTOR PETROLERO MIYER DIAZ BAUTISTA AUTOR

SISTEMA DE GESTIÓN DE RIESGOS DE SEGURIDAD FÍSICA BAJO LA NTC ISO 31000 EN LOS PROYECTOS DE SÍSMICA DEL SECTOR PETROLERO MIYER DIAZ BAUTISTA AUTOR SISTEMA DE GESTIÓN DE RIESGOS DE SEGURIDAD FÍSICA BAJO LA NTC ISO 31000 EN LOS PROYECTOS DE SÍSMICA DEL SECTOR PETROLERO MIYER DIAZ BAUTISTA AUTOR LUIS GABRIEL FERRER ASESOR UNIVERSIDAD MILITAR NUEVA GRANADA

Más detalles

INSTITUTO PARA EL FOMENTO Y EL DESARROLLO DEL SEGURO INFORME DE GERENCIA DE RIESGOS DE RESPONSABILIDAD CIVIL PLÁSTICOS DEL NORTE, S.A.

INSTITUTO PARA EL FOMENTO Y EL DESARROLLO DEL SEGURO INFORME DE GERENCIA DE RIESGOS DE RESPONSABILIDAD CIVIL PLÁSTICOS DEL NORTE, S.A. INSTITUTO PARA EL FOMENTO Y EL DESARROLLO DEL SEGURO INFORME DE GERENCIA DE RIESGOS DE RESPONSABILIDAD CIVIL PLÁSTICOS DEL NORTE, S.A. 1 INTRODUCCIÓN El presente informe tiene como objetivo el realizar

Más detalles

PLAN DE CONTINGENCIA EN ARCHIVOS DE GESTIÓN PARA LA EMPRESA P&Z SERVICIOS LTDA.

PLAN DE CONTINGENCIA EN ARCHIVOS DE GESTIÓN PARA LA EMPRESA P&Z SERVICIOS LTDA. PLAN DE CONTINGENCIA EN ARCHIVOS DE GESTIÓN PARA LA EMPRESA P&Z SERVICIOS LTDA. Bibliotecóloga. DIANA ESPERANZA MORALES VELASQUEZ Ingeniera de Sistemas. CLAUDIA MARTINEZ CAMACHO UNIVERSIDAD DE LA SALLE

Más detalles

3 - PROCESOS DE LA DIRECCIÓN DE PROYECTOS

3 - PROCESOS DE LA DIRECCIÓN DE PROYECTOS PROCESOS DE LA DIRECCIÓN DE PROYECTOS La dirección de proyectos es la aplicación de conocimientos, habilidades, herramientas y técnicas a las actividades del proyecto para cumplir con los requisitos del

Más detalles

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales SISTEMA DE ADMINISTRACIÓN DE RIESGOS OPERACIONALES SARO Cartilla de Riesgo Operativo 1 GERENCIA DE RIESGOS Capacitación en el sistema de administración de riesgos operacionales Compañía Aseguradora de

Más detalles

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO MANUAL DE POLITICAS DE RIESGO ESTRATEGICO REGISTRO DE CAMBIOS Y REVISIONES Fecha Descripción del cambio o revisión Versión Responsable 26.05.2014 Manual de Políticas de Riesgo Estratégico 1.0 Carlos Zapata

Más detalles

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es Plan de Contingencia Para la Unidad de Sistemas y Tecnología de Información del Gobierno Autónomo Descentralizado Antonio Ante en Base a la Norma Iso/Iec 27002. Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec.,

Más detalles

Gestión Integral del Riesgo Un enfoque estratégico e innovador

Gestión Integral del Riesgo Un enfoque estratégico e innovador Gestión Integral del Riesgo Un enfoque estratégico e innovador GESTION POR PROCESOS Nombre del proceso MEJORA CONTINUA Responsable Alcance CONTROL OBJETIVOS INDICADORES ANALIZADOS ENTRADAS Actividad 1

Más detalles

Formulación y Evaluación de Proyectos Análisis de Riesgo. Juan Quinteros

Formulación y Evaluación de Proyectos Análisis de Riesgo. Juan Quinteros Formulación y Evaluación de Proyectos Análisis de Riesgo Juan Quinteros Qué es el riesgo? El riesgo implica incertidumbre. La incertidumbre no necesariamente implica riesgo. La aversión al riesgo es una

Más detalles

AUDITORIAS DE MEDIOAMBIENTE EN EL MUNDO EMPRESARIAL

AUDITORIAS DE MEDIOAMBIENTE EN EL MUNDO EMPRESARIAL Título: Auditorias del medioambiente en el mundo empresarial Autor: Josep Rios Gual Data: 30 de marzo de 2006 ISSN: 1885-1738 AUDITORIAS DE MEDIOAMBIENTE EN EL MUNDO EMPRESARIAL La preocupación por la

Más detalles

Capítulo 27. Nizam Damani. Puntos clave

Capítulo 27. Nizam Damani. Puntos clave Gestión de riesgos Capítulo 27 Gestión de riesgos Nizam Damani Puntos clave El equipo de control de infecciones debe identificar las prácticas de prevención y control de infecciones que resultan poco seguras

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

LA METODOLOGÍA DEL BANCO PROVINCIA

LA METODOLOGÍA DEL BANCO PROVINCIA 20 LA METODOLOGÍA DEL BANCO PROVINCIA Cómo gestionar activos de información? En 2007, el Banco Central de la República Argentina (BCRA) planteó algunas exigencias financieras para el sistema financiero

Más detalles

Requisitos Sistemas de gestión de seguridad y salud ocupacional.

Requisitos Sistemas de gestión de seguridad y salud ocupacional. SERIE DE COMPROMISOS DE SEGURIDAD Y SALUD OCUPACIONAL (OHSAS) Requisitos Sistemas de gestión de seguridad y salud ocupacional. Pág. 1 de 19 INTRODUCCIÓN Existe un creciente interés de todo tipo de organizaciones

Más detalles

Bioingeniería Especializada S.A. de C.V. R BIESS. Análisis de Riesgos de Procesos ARP

Bioingeniería Especializada S.A. de C.V. R BIESS. Análisis de Riesgos de Procesos ARP Bioingeniería Especializada S.A. de C.V. R BIESS Análisis de Riesgos de Procesos ARP Análisis de Riesgos de Procesos (ARP) Es la integración y aplicación selectiva y combinada de enfoques, métodos y técnicas

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

Manual de Procedimientos para la Sistematización y Documentación de la Gestión de Riesgos Institucional Unidad de Control Interno

Manual de Procedimientos para la Sistematización y Documentación de la Gestión de Riesgos Institucional Unidad de Control Interno Página 1 de 16 Manual de Procedimientos para la Sistematización y Documentación de la Gestión de Riesgos Institucional Unidad de Octubre, 2011 Página 2 de 16 Tabla de contenido 1. Definiciones... 3 2.

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para

Más detalles

Importancia de la administración de riesgos

Importancia de la administración de riesgos Importancia de la administración de riesgos Una de las definiciones más interesantes acerca de esta teoría es la presentada por McConnell (1997), quien se refiere a la administración de riesgos de la siguiente

Más detalles

INFORMACIÓN RELACIONADA

INFORMACIÓN RELACIONADA INFORMACIÓN RELACIONADA Soluciones para compañías del sector de servicios públicos Soluciones de gestión de cartera de proyectos Primavera ORACLE ES LA COMPAÑÍA DE INFORMACIÓN Alcanzar la excelencia operativa

Más detalles

Administración del Riesgo Estratégico

Administración del Riesgo Estratégico Administración del Riesgo Estratégico Las compañías ganan dinero al administrar sus riesgos de forma inteligente y lo pierden al no hacerlo Cómo se crea valor? Los drivers de valor se vuelven objetivos

Más detalles

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN Lineamientos y normativas para el respaldo de la información de los usuarios de Opus Software Publicado por Sector PMO & Gestión Documental de Opus

Más detalles

REPÚBLICA DE COLOMBIA Alcaldía Municipal de Facatativá. Dirección de Informática

REPÚBLICA DE COLOMBIA Alcaldía Municipal de Facatativá. Dirección de Informática REPÚBLICA DE COLOMBIA Alcaldía Municipal de Facatativá Dirección de Informática Documento Plan de contingencias y sugerencias Diseño, Desarrollo e Implementación Versión I 1.- SOLUCIÓN PROPUESTA Y PLAN

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

PLAN DE CONTINGENCIA INFORMÁTICO 2012-2015 INSTITUTO DEL MAR DEL PERÚ

PLAN DE CONTINGENCIA INFORMÁTICO 2012-2015 INSTITUTO DEL MAR DEL PERÚ PLAN DE CONTINGENCIA INFORMÁTICO 2012-2015 INSTITUTO DEL MAR DEL PERÚ 1 CONTENIDO 1. Objetivos generales y específicos... 3 2. Alcance... 3 3. Marco Teórico... 3 3.1 Plan de Prevención 4 3.2 Plan de Ejecución..

Más detalles

LA ADMINISTRACIÓN DE RIESGOS Y LAS PYMES

LA ADMINISTRACIÓN DE RIESGOS Y LAS PYMES Mantener la Independencia es Poder Elegir LA ADMINISTRACIÓN DE RIESGOS Y LAS PYMES NEWSLETTER Introducción El proceso de Administración de Riesgos consiste en un conjunto de técnicas para identificar y

Más detalles

PLAN DE CONTINGENCIA SISTEMAS DE INFORMACION ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP)

PLAN DE CONTINGENCIA SISTEMAS DE INFORMACION ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP) Página 1 de 23 ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP) BOGOTÁ D.C., DICIEMBRE DE 2013 Página 2 de 23 ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA

Más detalles

ANEXO TÉCNICO SERVICIO DE ANÁLISIS DE RIESGO DE PROCESOS DE NEGOCIO Y ANÁLISIS DE BRECHAS DE LA ESTRATEGIA DE CONTINUIDAD CONTENIDO

ANEXO TÉCNICO SERVICIO DE ANÁLISIS DE RIESGO DE PROCESOS DE NEGOCIO Y ANÁLISIS DE BRECHAS DE LA ESTRATEGIA DE CONTINUIDAD CONTENIDO ANEXO TÉCNICO SERVICIO DE ANÁLISIS DE RIESGO DE PROCESOS DE NEGOCIO Y ANÁLISIS DE BRECHAS DE LA ESTRATEGIA DE CONTINUIDAD CONTENIDO A. CONSIDERACIONES GENERALES.... 2 I) REQUERIMIENTOS... 2 B. OBJETIVO

Más detalles

Sin embargo el proceso de gestión de riesgos aplicado a cualquier actividad consta de las siguientes etapas:

Sin embargo el proceso de gestión de riesgos aplicado a cualquier actividad consta de las siguientes etapas: EL PROCESO DE GESTIÓN DE RIESGO La gestión de riesgo se puede definir como el proceso de toma de decisiones en un ambiente de incertidumbre sobre un acción que va a suceder y sobre las consecuencias que

Más detalles

PREVENCION RIESGOS LABORALES.

PREVENCION RIESGOS LABORALES. PREVENCION RIESGOS LABORALES. Modulo 1. Conceptos Generales. PREVENCION RIESGOS LABORALES. INDICE. MODULO 1: CONCEPTOS GENERALES 1. Trabajo y la salud: Riesgo Laboral. 2. Trabajo y la salud: Normativa.

Más detalles

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

INSTRUCTIVO ELABORACION MAPA DE RIESGOS

INSTRUCTIVO ELABORACION MAPA DE RIESGOS Código :EV-EV- IN01 Página: 1 de 18 ADMINISTRACIÓN DEL RIESGO La Administración del Riesgo se construye para identificar, evaluar y controlar los eventos que pueden impedir el logro de los objetivos institucionales.

Más detalles

PLANES DE AYUDA MUYUA como estrategia de Protección. Comité de Prevención y Atención de Desastres Especializados COPADES. Material de Estudio

PLANES DE AYUDA MUYUA como estrategia de Protección. Comité de Prevención y Atención de Desastres Especializados COPADES. Material de Estudio Hoja 1-1 PLANES DE AYUDA MUYUA como estrategia de Protección Comité de Prevención y Atención de Desastres Especializados Medellín, Colombia Agosto 9 de 2011 César A. Duque A., Colombia R 2011 Material

Más detalles

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO...

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... 3 3. AMENAZAS A LA INFORMACIÓN... 5 4. GESTIÓN DE LA SEGURIDAD... 5 5. PLANIFICACIÓN DE LA SEGURIDAD... 6 6. POLÍTICAS DE SEGURIDAD

Más detalles

AUDITORIA ESPECÍFICA: SEGURIDAD FISICA Y LÓGICA SISTEMAS ORIENTADOS A OBJETOS

AUDITORIA ESPECÍFICA: SEGURIDAD FISICA Y LÓGICA SISTEMAS ORIENTADOS A OBJETOS AUDITORIA ESPECÍFICA: SEGURIDAD FISICA Y LÓGICA SISTEMAS ORIENTADOS A OBJETOS Universidad de Caldas Facultad de Ingeniería Programa Ingeniería de Sistemas y Computación Blanca Rubiela Duque Ochoa Código

Más detalles

Manual de Procedimientos

Manual de Procedimientos 1 de 13 Elaborado por: Oficina de Planeación y Desarrollo Institucional -Área de Calidad y Mejoramiento- Revisado por: Aprobado por: Coordinador Área de Jefe de la Oficina de Informática y Telecomunicaciones

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

PROCEDIMIENTO PARA EL ANÁLISIS Y EVALUACIÓN DE RIESGO

PROCEDIMIENTO PARA EL ANÁLISIS Y EVALUACIÓN DE RIESGO Revisó Superintendente Departamento de Seguridad Aprobó Gerente Departamento de Seguridad PROCEDIMIENTO PARA EL ANÁLISIS Y EVALUACIÓN DE RIESGO 1. OBJETO Establecer la metodología para el Análisis y Evaluación

Más detalles

SOPORTE QUE ESTIMA LA TIPIFICACIÓN, ESTIMACIÓN Y ASIGNACIÓN DE LOS RIESGOS PREVISIBLES QUE PUEDAN AFECTAR EL EQUILIBRIO ECONÓMICO DEL CONTRATO

SOPORTE QUE ESTIMA LA TIPIFICACIÓN, ESTIMACIÓN Y ASIGNACIÓN DE LOS RIESGOS PREVISIBLES QUE PUEDAN AFECTAR EL EQUILIBRIO ECONÓMICO DEL CONTRATO Análisis de Riesgos ADQUISICIÓN E INSTALACIÓN DE EQUIPOS Y SOFTWARE DE INTEGRACIÓN PARA LA ADMINISTRACIÓN DE SISTEMAS DE LAS ÁREAS DE SALA DE JUNTAS Y OBSERVATORIO DE LA SEDE DE LA DIRECCIÓN GENERAL DEL

Más detalles

ISO 18001:2007 SEGURIDAD Y SALUD EN EL TRABAJO 07/08/2008 1

ISO 18001:2007 SEGURIDAD Y SALUD EN EL TRABAJO 07/08/2008 1 ISO 18001:2007 SEGURIDAD Y SALUD EN EL TRABAJO 07/08/2008 1 Qué son las OHSAS 18001? Conjunto de elementos interrelacionados que previenen pérdidas y permiten la protección del recurso humano mediante

Más detalles

Análisis de riesgos de la dependencia Bienestar Universitario de la universidad Francisco de Paula Santander empleando la metodología Octave.

Análisis de riesgos de la dependencia Bienestar Universitario de la universidad Francisco de Paula Santander empleando la metodología Octave. Henry Alexander Peñaranda Mora - 1150111 Análisis de riesgos de la dependencia Bienestar Universitario de la universidad Francisco de Paula Santander empleando la metodología Octave. Contenido 1. Selección

Más detalles

GESTIÓN SALUD OCUPACIONAL PLAN DE EMERGENCIA Y CONTINGENCIA

GESTIÓN SALUD OCUPACIONAL PLAN DE EMERGENCIA Y CONTINGENCIA CÓDIGO AP-SOC-PR-03 VERSIÓN: 4 VIGENCIA: 2012 Página 1 de 5 1. OBJETIVO Prevenir y afrontar adecuadamente las situaciones de emergencia que puedan presentarse en las diversas sedes de la Universidad Surcolombiana,

Más detalles

SISTEMA DE GESTIÓN DE CALIDAD INFORME DE MEDICIÓN Y AVANCE INDICADORES DE GESTIÓN A 30 DE JUNIO DE 2013

SISTEMA DE GESTIÓN DE CALIDAD INFORME DE MEDICIÓN Y AVANCE INDICADORES DE GESTIÓN A 30 DE JUNIO DE 2013 SISTEMA DE GESTIÓN DE CALIDAD INFORME DE MEDICIÓN Y AVANCE INDICADORES DE GESTIÓN A 30 DE JUNIO DE 2013 Introducción Dentro del sistema de gestión de calidad, los indicadores de gestión permiten establecer

Más detalles

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA EMPRESA AGUAS DEL CHOCÓ

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA EMPRESA AGUAS DEL CHOCÓ SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA EMPRESA AGUAS DEL CHOCÓ Elaborado por: LUIS CARLOS PALACIOS MOSQUERA Jefe de Sistemas Aguas del Chocó Apoyo. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Más detalles

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERÍA Ingeniería en Sistemas y Computación Manizales, Noviembre 2010 BCP DATA CENTER VIVIANA GOMEZ

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

PROCEDIMIENTO PARA IDENTIFICACIÓN Y VALORACIÓN DE ASPECTOS AMBIENTALES PARA NUEVOS PROYECTOS DE INVESTIGACIÓN Y EXTENSIÓN

PROCEDIMIENTO PARA IDENTIFICACIÓN Y VALORACIÓN DE ASPECTOS AMBIENTALES PARA NUEVOS PROYECTOS DE INVESTIGACIÓN Y EXTENSIÓN PROCESO GESTION AMBIENTAL AMBIENTALES PARA NUEVOS PROYECTOS DE INVESTIGACIÓN Y EXTENSIÓN Página 1 de 9 Revisó: Líder Ambiental Aprobó: Rector Fecha de aprobación: Mayo 10 de 2012 Resolución No. 683 OBJETIVO

Más detalles

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER El GIT de Control Interno en su función de analizar y evaluar, en coordinación con las dependencias de la entidad, los criterios, métodos,

Más detalles

Tiene o ha tenido alguno de estos incidentes en su empresa?

Tiene o ha tenido alguno de estos incidentes en su empresa? Tiene o ha tenido alguno de estos incidentes en su empresa? Pérdida de tiempo y dinero por no controlar navegación y acceso a redes sociales y páginas de ocio Ha Perdido Información y ha sido costoso recuperarla

Más detalles

Tratamiento del Riesgo

Tratamiento del Riesgo Tratamiento del Riesgo 1 En que consiste el tratamiento de los riesgos? 2. Cuando debemos enfrentarnos a los riesgos? 3. Estrategias de tratamiento de riesgos 4. Modelo de Análisis de Riesgos 5. Qué pasos

Más detalles

Convocatoria 2014 Fundación para la Prevención de Riesgos Laborales AT-0116/2014. Preguntas más frecuentes sobre el Plan de Emergencia y Evacuación

Convocatoria 2014 Fundación para la Prevención de Riesgos Laborales AT-0116/2014. Preguntas más frecuentes sobre el Plan de Emergencia y Evacuación 14 Preguntas más frecuentes sobre el Plan de Emergencia y Evacuación APP Móvil Plan de Actuación frente a Emergencias en la PYME y MICROPYME ~ 112 ~ 14. Preguntas más frecuentes sobre el Plan de Emergencia

Más detalles

Dirección General de Vinculación, Innovación y Normatividad en materia de Protección Civil

Dirección General de Vinculación, Innovación y Normatividad en materia de Protección Civil Dirección General de Vinculación, Innovación y Normatividad en materia de Protección Civil OCTUBRE 2014 RESILIENCIA Psicología capacidad de sobreponerse a períodos de dolor emocional y situaciones adversas.

Más detalles

Curso de doctorado. Seguridad en Redes de Ordenadores. Tema 1: Introducción a la seguridad informática

Curso de doctorado. Seguridad en Redes de Ordenadores. Tema 1: Introducción a la seguridad informática Curso de doctorado Seguridad en Redes de Ordenadores Tema 1: Introducción a la seguridad informática Definiciones: La seguridad informática es un atributo relativo, resultado del equilibrio conseguido

Más detalles

Sistema de Administración del Riesgos Empresariales

Sistema de Administración del Riesgos Empresariales Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola

Más detalles

CAPÍTULO I PLANEACION DE SEGURIDAD EN REDES

CAPÍTULO I PLANEACION DE SEGURIDAD EN REDES CAPÍTULO I PLANEACION DE SEGURIDAD EN REDES Es importante tener una política de seguridad de red bien concebida y efectiva que pueda proteger la inversión y los recursos de información de la compañía.

Más detalles

Antes de comenzar a elaborar tu proyecto productivo tómate unos momentos para hacerte las siguientes preguntas:

Antes de comenzar a elaborar tu proyecto productivo tómate unos momentos para hacerte las siguientes preguntas: GUÍA DESCARGABLE Todo lo que necesitas saber sobre emprendimiento, riesgos y seguros SECCIÓN: EMPRENDIMIENTO Antes de comenzar a elaborar tu proyecto productivo tómate unos momentos para hacerte las siguientes

Más detalles

Mantenimiento de la Continuidad del. José A. Mañas Centro Criptológico Nacional Centro Nacional de Inteligencia

Mantenimiento de la Continuidad del. José A. Mañas Centro Criptológico Nacional Centro Nacional de Inteligencia Mantenimiento de la Continuidad del Servicio usando la Herramienta PILAR de Soporte a la Gestión de Riesgos Centro Criptológico Nacional Centro Nacional de Inteligencia Palabras clave Continuidad del servicio,

Más detalles

1.4.1.2 Beneficios del PGD para la Cámara de Comercio de Manizales por Caldas... 18

1.4.1.2 Beneficios del PGD para la Cámara de Comercio de Manizales por Caldas... 18 1 EL PROGRAMA DE GESTIÓN DOCUMENTAL... 5 1.1 CARÁTULA... 5 1.2 INTRODUCCIÓN... 6 1.3 LA CCMPC Y LA GESTIÓN DOCUMENTAL... 7 1.3.1 Reseña histórica de la CCMPC... 7 1.3.2 Organigrama... 10 1.3.3 Objeto de

Más detalles

Solución de consultoría MP4 Servicios de Valor Añadido

Solución de consultoría MP4 Servicios de Valor Añadido Solución de consultoría MP4 Servicios de Valor Añadido Análisis de mejoras para sus instalaciones eléctricas Make the most of your energy Evaluación del sistema eléctrico de su planta Maximice los niveles

Más detalles

Continuidad de Operaciones y Continuidad de Gobierno Escuela de Administración Pública del Distrito Federal (EAPDF)

Continuidad de Operaciones y Continuidad de Gobierno Escuela de Administración Pública del Distrito Federal (EAPDF) Continuidad de Operaciones y Continuidad de Gobierno Escuela de Administración Pública del Distrito Federal (EAPDF) Ana Lucia Hill M. Crisis, Disaster & Risk Manager Business Continuity and Constinuity

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

LA SEGURIDAD COMO ELEMENTO BASICO DE LA PRODUCTIVIDAD Y DESARROLLO PORTUARIO.

LA SEGURIDAD COMO ELEMENTO BASICO DE LA PRODUCTIVIDAD Y DESARROLLO PORTUARIO. LA SEGURIDAD COMO ELEMENTO BASICO DE LA PRODUCTIVIDAD Y DESARROLLO PORTUARIO. Domingo Segundo Chinea Barrera. 06 febrero de 2013. 1 SEGURIDAD ELEMENTO BASICO DE DESARROLLO El desempeño en seguridad de

Más detalles

DESASTRES Y SITUACIONES DE EMERGENCIA

DESASTRES Y SITUACIONES DE EMERGENCIA DESASTRES Y SITUACIONES DE EMERGENCIA Dr. Wilfredo Gálvez Rivero UNMSM, Lima, Perú DEFINICIÓN DE TERMINOS La humanidad en forma constante está expuesto a amenazas existentes en su entorno. Añade a esta

Más detalles

PONTIFICIA UNIVERSIDAD CATOLICA DEL ECUADOR FACULTAD DE INGENIERIA MAESTRÍA EN REDES DE COMUNICACIONES

PONTIFICIA UNIVERSIDAD CATOLICA DEL ECUADOR FACULTAD DE INGENIERIA MAESTRÍA EN REDES DE COMUNICACIONES PONTIFICIA UNIVERDAD CATOLICA DEL ECUADOR FACULTAD DE INGENIERIA MAESTRÍA EN REDES DE COMUNICACIONES ELABORACIÓN DE UN PLAN DE CONTINGENCIA PARA LAS TECNOLOGÍAS DE INFORMACIÓN - CASO DE ESTUDIO BANCO DEL

Más detalles

SISTEMA DE GESTIÓN DEL RIESGO OPERACIONAL 1.2

SISTEMA DE GESTIÓN DEL RIESGO OPERACIONAL 1.2 SISTEMA DE GESTIÓN DEL RIESGO OPERACIONAL 1.2 ÍNDICE Introducción... 3 Capitulo 1.... 4 Capítulo 2: Políticas de Riesgo Operacional... 5 Capítulo 3: Procedimientos... 9 Capítulo 4: Responsabilidades...

Más detalles