Gestión Integral de Crisis: la nueva Continuidad de Negocio

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Gestión Integral de Crisis: la nueva Continuidad de Negocio"

Transcripción

1 Gestión Integral de Crisis: la nueva Continuidad de Negocio Javier Espinosa Responsable de Gobierno y Continuidad de Negocio de Ferrovial Marcos Guasp Jefe de Continuidad de Negocio y Análisis de Riesgos de TI de Repsol Agustín Lerma Product Manager de BSI En el siguiente documento se presenta una propuesta de mejora del actual marco conceptual de la Continuidad de Negocio. Esta nueva aproximación trata de ser más real y cercana al concepto de Continuidad de Negocio que, comúnmente y en estos momentos, está extendido en las organizaciones. Para ello, se propone la inclusión de la Gestión de la Continuidad de Negocio dentro de un sistema más amplio de Gestión Integral de Crisis. Con este nuevo enfoque, se propone una visión más ajustada de la Continuidad de Negocio en la que sus principales elementos se encuentran bien definidos, clarificados y ubicados. Introducción Hace unas semanas, durante una reunión informal en el contexto de la Seguridad de la Información, entre otros asuntos, estuvimos haciendo un breve análisis del estado del arte de la Continuidad de Negocio (en adelante, CN), basándonos en algunos artículos de reciente publicación y, por supuesto, en nuestra percepción del día a día. A raíz de esta conversación, viendo que las conclusiones que íbamos obteniendo en relación a la Continuidad fluían rápida y coherentemente, nos pareció una idea interesante seguir profundizando en el tema. Y así fue. Para ello, recopilamos la información que obraba en nuestro poder en materia de CN, que iba desde Planes de CN (en adelante, PCN) que abarcan un amplio espectro del mundo empresarial (tanto público como privado, nacional e internacional), hasta estándares, normas, guía de buenas prácticas, artículos izados, etc. Nuestra primera inquietud consistía en conocer con más precisión y concisión la 'historia' de la Continuidad (sin necesidad de remontarnos demasiado en el pasado), así que leímos un artículo de Paul Kirvan en el que se hacía un repaso cronológico de la CN: "Business Continuity: Business Continuity, A History of Challenges". En éste se ponía de manifiesto que la CN, tal y como la conocemos en estos momentos, resulta como una evolución del concepto de recuperación ante desastres que, allá por los años 70 del siglo pasado, comenzó a fraguarse para dar soporte a los sistemas mainframe. En este mismo artículo se señala que fue en la siguiente década de los 80 cuando se produjo un auténtico boom empresarial alrededor de la Recuperación ante Desastres (SunGard, IBM, Hewlett-Packard, Iron Mountain, Disaster Recovery Institute, etc.), de forma que se iba ganando relevancia y aceptación en los departamentos de Sistemas de Información de todo el mundo. Pero fue a partir de 1990 cuando se puso de manifiesto que las organizaciones, consideradas individualmente como un todo en conjunto, precisaban de mecanismos y procedimientos de protección similares a los que Recuperación ante Desastres ofrecía a las áreas técnicas en los Centros de Proceso de Datos (CPD). De hecho, esta necesidad dio paso a un incremento progresivo de la visión holística del negocio y, por ende, a la aparición del término o concepto de CN. Desde este momento, comenzaron a entrar en escena nuevos actores propios de la Continuidad, como asociaciones profesionales izadas (tal sería el caso del Business Continuity Institute), publicaciones izadas en la materia (por ejemplo, Contingency Planning & Management), etc., que se vieron fortalecidas, junto con la propia CN, gracias al crecimiento económico de los EEUU durante este periodo. 56 red seguridad abril 2012

2 El comienzo del siglo XXI fue un tanto convulso desde el punto de vista de la Continuidad: actividades terroristas en todo el planeta (Nueva York, Madrid, Londres, Bombay, etc.), huracanes más destructivos y frecuentes, terremotos de gran intensidad, etc. Todos estos factores, sumados al incremento notable de profesionales dedicados a este campo, propiciaron un ejercicio de revisión y análisis del papel que jugaba la CN dentro de las organizaciones, quedando de manifiesto que era imprescindible coordinar esfuerzos y trabajos entre departamentos de la misma compañía (por ejemplo, seguridad física, seguridad de la información, servicios generales, auditoría interna, etc.) e, incluso, entre compañías del mismo sector y la Administración Pública. Como consecuencia de este ejercicio, en el año 2003 se publica la norma PAS 56, ofreciendo una visión coherente y consistente entre los principales sectores del mercado. La evolución natural de esta norma 'informal' fueron la norma BS :2006, sobre el código de buenas prácticas y la BS :2007, sobre las especificaciones necesarias en un Sistema de Gestión de Continuidad de Negocio (en adelante, SGCN). Gráficamente, en la siguiente figura se puede observar el esquema propuesto por el British Standard Institution en la norma BS 25999, empleando los principales elementos definidos en esta norma: Tras esta ligera pincelada de la evolución de la CN hasta nuestros días, la siguiente duda que se nos planteaba era bien sencilla: realmente se puede hablar de una transformación significativa de la Continuidad? Cuál ha sido su progresión en los últimos 20 años? Antes de comenzar a profundizar en las respuestas a estas cuestiones, éstas se antojaban sencillas: estancamiento de la Continuidad desde un punto de vista de enfoque, gestión y operación, porque desde un punto de vista tecnológico, el progreso en las nuevas tecnologías ha supuesto un claro beneficio para la Continuidad. Figura 1: Visión de la Gestión de Continuidad de Negocio según BS 25999: 2007 No obstante, esta intuición o sensación debía ser corroborada con datos. En este sentido, lo primero fue volver a leer el material de Continuidad de que disponíamos, revisar publicaciones y conversar con otros colegas cuyo recorrido profesional, junto con el nuestro, nos permitiría tener una perspectiva mucho más completa. Cuál fue nuestra sorpresa al comprobar que el grueso de la estructura de cualquiera de los PCN que habíamos mirado era, prácticamente, la misma. Y no se trataba de documentos con la misma fecha de elaboración, sino que estaban distanciados en el tiempo por varios lustros, incluso decenios. Sí, evidentemente, existen diferencias entre un plan que se hubiera elaborado a finales de los años 80 o comienzos de los 90 y uno coetáneo de la BS 25999, pero las diferencias no van más allá del nivel de detalle en la definición de los escenarios de continuidad, en los procedimientos específicos de acción ante una situación de contingencia declarada, en los parámetros de valoración de los análisis de riesgos (en adelante, AARR) e impacto, en los planes de comunicación, en los planes de prueba etc. Es decir, la estructura 'básica' sigue siendo la misma hoy que hace 20 años. Transmitimos este hecho (que a nuestro entender podía resultar circunstancial) entre amigos y conocidos que han estado relacionados con la CN a lo largo de su carrera profesional y, reafirmando nuestra intuición inicial, todos ellos avalaban el mismo corolario: la Continuidad, desde un punto de vista 'estructural', parecía estancada. De la CN a la GIC La historia nos demuestra que no es posible predecir de antemano la severidad, duración y repercusión de todos y cada uno de los potenciales incidentes que podrían afectar a nuestra organización, por lo que el desarrollo de Planes de Acción Específicos (en adelante, PAE) basándose en escenarios de contingencia, dentro de la CN, conlleva un elevado riesgo y, por lo tanto, una falsa sensación de seguridad. Realmente, tal y como está concebida y asimilada comúnmente en estos momentos la CN, este concep- red seguridad abril

3 to se trata como un control reactivo '' con el que se pretende mitigar el impacto que conlleva la materialización de una amenaza concreta en la organización. Es decir, se asume, de manera general, que la CN se corresponde con los PAE definidos para recuperar/operar/restaurar un proceso crítico interrumpido, entendiéndola como una actividad, prácticamente, independiente de otros elementos igualmente vitales (tal es el caso de los Planes de Gestión de Incidentes y las tareas de revisión o mantenimiento de la CN). Si atendemos a la definición del término de 'continuidad de negocio' que se recoge en la norma BS :2007, ésta se trata como la capacidad estratégica y táctica de la organización de planificar y responder ante incidentes e interrupciones de negocio para continuar las operaciones de negocio en un nivel aceptable predefinido. Es decir, tal y como se muestra en la Figura 1, la norma BS :2007 considera que la CN abarca tanto la parte preventiva (planificación) como la parte reactiva (respuesta) frente a una situación de contingencia. Pero, es la CN un control preventivo o reactivo? Estamos empleando una terminología acertada? Se están mezclando los conceptos de CN y Crisis? Cómo podríamos mejorar el enfoque actual de la Continuidad? Desde nuestro punto de vista, la CN y su gestión deberían incluirse dentro de un marco más amplio como el de la Gestión Integral de Crisis (en adelante, GIC), de manera que se reservaran para la CN las funciones meramente reactivas, relegando el mayor peso del carácter preventivo a otras funciones como el análisis y la gestión de riesgos que, dentro de la organización y por lo general, se desarrollan de manera más global y detallada. Concretamente, tal y como se puede observar en la Figura 2, se presenta una propuesta en la que el foco de atención se centra en la gestión integral de cualquier situación de crisis que pudiera sobrevenir a la organización. A través de este enfoque completo, con la GIC se consigue llevar a cabo un tratamiento integral de cualquier situación, excepcional o no, que pudiera llegar a afectar a nuestra organización, de Figura 2: Visión integral de la Gestión de Crisis. manera que, tanto preventiva como reactivamente, quedan cubiertos los principales estadios que se pueden presentar: Gestión Preventiva de Crisis (en adelante, GPC); Gestión Reactiva de Crisis (en adelante, GRC); Análisis y Lecciones Aprendidas (en adelante, ALA). A continuación se hace una descripción concisa de los principales elementos de la Figura 2. Gestión Preventiva de Crisis Sun Tzu en su obra El arte de la guerra, allá por el año 500 a.c., postulaba que la invencibilidad reside en la defensa, mientras que las oportunidades de victoria lo hacen en el ataque. Si esta directriz puramente militar la traspusiéramos al ámbito de la CN, nos podríamos encontrar con una premisa en la que se propusiera una buena GPC con la que proteger los procesos críticos de la organización, evitando que la GRC se ponga en marcha, pero que, caso de activarse la GRC, ésta fuera eficaz para recuperar adecuadamente los procesos afectados. En este sentido, la siguiente Figura 3 (que podrán ver en la página siguiente) muestra gráficamente el enfoque que se propone con la GPC. Como se puede apreciar, esta fase se asemeja 'clamorosamente' a cualquier proceso de análisis y gestión de riesgos que podemos encontrar en una Organización, pero con una diferencia notable a la hora de manejar la CN, que pasamos a describir a continuación. Una vez que la organización ha definido y aprobado un umbral de riesgo (i.e., el límite superior de riesgo asumido), tras determinar el mapa de riesgos, se debe proceder a la gestión de los riesgos identificados. En este punto, son varias las casuísticas que se presentan: Por un lado, siempre que el riesgo efectivo sobre un proceso se quede por debajo del umbral establecido, no precisaría (a priori) de ningún tipo de gestión, dado que se trataría de una cota aceptable de riesgo para la organización. Por otro lado, si el riesgo efectivo identificado para un proceso quedase por encima del umbral de riesgo de la organización (o incluso dentro de un rango de valores alrededor de dicho umbral, con lo que se proporcionaría un mayor grado de confianza), se debería contar con una serie de acciones correctivas, dentro de un Plan de Tratamiento de Riesgos, para minimizar dicho riesgo hasta cotas aceptables. Con la GIC se consigue llevar a cabo un tratamiento integral de cualquier situación, excepcional o no A partir de este punto, se debería definir un Plan de Seguimiento de la Implantación con el que monitorizar la evolución de las salvaguardas elegidas en el Plan de Tratamiento, además de contar con unos indicadores que sirvieran para retroalimentar un ulterior AARR. 58 red seguridad abril 2012

4 Figura 3: Visión de Gestión Preventiva de Crisis. Sin embargo, el tratamiento de la CN en el ciclo de la GPC debería diferir el resto de controles (tanto reactivos como, evidentemente, preventivos) derivados del análisis y la gestión de riesgos. Esta afirmación se sustenta, básicamente, en los siguientes argumentos: En primer lugar, la inclusión de un determinado proceso en el programa de CN está condicionada por el nivel de impacto de dicho proceso en la organización debido a la interrupción/degradación del mismo, teniendo en cuenta un factor de evolución temporal en el impacto (que, además, es independiente de la amenaza materializada). Pero el riesgo se entiende como el producto de la probabilidad de ocurrencia de una amenaza (que aprovecha una vulnerabilidad, más o menos expuesta, que afecta a uno o varios procesos) por el impacto de la materialización de tal amenaza en un proceso. Existe alguna relación entre el AARR y la CN? Un riesgo elevado en un proceso implica la inclusión automática de éste en el programa de CN? El primer punto que, inicialmente, atisba más similitudes es el impacto: el 'impacto' que se maneja en el AARR es el mismo que el 'impacto' de la CN? Existe alguna relación entre el AARR y el análisis de impacto en el negocio (en adelante, BIA)? En el caso del AARR, el impacto se refiere a cómo se vería afectado un proceso (conjunto de activos) desde el punto de vista de la confidencialidad, integridad, disponibilidad y cualquier otra dimensión que se estime oportuna (valor contable, impacto legal, de imagen, lucro cesante, etc.) ante la materialización de unas determinadas amenazas, mientras que en CN el impacto se refiere a cómo se vería afectada la organización, desde el punto de vista operativo, legal, de imagen, etc. ante la pérdida o degradación de un proceso a lo largo de un periodo de tiempo concreto (una hora, un día, una semana, etc.). Es decir, asumiendo que el impacto en el AARR está restringido a un momento temporal concreto, los impactos obtenidos en el AARR y en la CN deberían estar totalmente alineados. No obstante, el riesgo en el AARR se ve condicionado por las amenazas (tanto en el número de éstas que afectan a un proceso, como en su probabilidad de materialización), mientras que éstas no son tenidas en cuenta en el BIA. Por este motivo, si bien los impactos (el de AARR y el del BIA) están alineados, el resultado del AARR no tiene porqué ser una medida de referencia para la CN, puesto que el factor derivado de las amenazas en el AARR desvirtúa, de manera general, cualquier potencial aproximación a la CN. Adicionalmente, si bien el riesgo obtenido en el AARR no es determinante para concluir si un proceso debe ser incluido o no en el programa de CN, sí que se puede rescatar parte de la información procesada en el AARR para tomar esta decisión. Tal y como se ha argumentado en el punto anterior, el impacto calculado para un proceso en el AARR puede servir como magnitud de referencia en una primera aproximación a la CN, de forma que, si el impacto del AARR es próximo al umbral de impacto definido por la organización en el ámbito de la CN, debería efectuarse un BIA completo sobre ese proceso y, en función de los resultados obtenidos, actuar en consecuencia (opciones de CN, PCN, PAE, etc.). De esta manera, se puede reaprovechar parte del trabajo realizado en el ámbito del AARR, pudiendo desarrollar un BIA completo partiendo, no desde cero, sino desde un estadio más avanzado. Por último, para aquellos casos en los que resulte muy costoso (o imposible) la extracción de los impactos en el AARR (e.g., las características del modelo de cálculo del riesgo implantado en la organización no permite una visión parcial del total del riesgo), el tratamiento de la CN en la GPC pasa por el análisis de todos los procesos de la organización, a través del BIA, para conocer el impacto y, por lo tanto, el grado de criticidad de tales procesos. Para aquellos casos en los que el riesgo y el impacto estuviesen alinea- red seguridad abril

5 dos (i.e., AARR y BIA son similares), cabría señalar que la CN debería incorporar aquellos procesos cuyo riesgo no quiera gestionarse de manera preventiva, sino reactiva: no importa cuál sea la amenaza que se haya materializado, sino que hay que focalizar todos los esfuerzos en minimizar el impacto derivado de la afección del proceso dentro de unos márgenes y condicionantes temporales propios del proceso. No obstante, merece la pena resaltar que un PCN (entendido como PAE para recuperar/operar ante una situación de crisis) no minimiza el riesgo asociado a un proceso per se, sino que es necesario que dicho PCN esté contextualizado dentro de un sistema de gestión para que éste sea efectivo (mantenimiento, actualización, revisión, pruebas, etc.). A lo largo de esta GPC, es posible que sobrevenga una situación que afecte al correcto y normal desarrollo de la organización. Ante este escenario, una vez declarada oficialmente la situación crisis, la gestión preventiva quedaría relegada a un segundo plano, mientras que la gestión reactiva (GRC) pasaría a adoptar un papel protagonista en la organización. Gestión Reactiva de Crisis Llegados a este punto, lo primero que habría que señalar es el hecho de que se ha generalizado un mal uso de la terminología y el vocabulario en el ámbito de la CN, de manera que se ha desvirtuado el principal objetivo de la CN. Hoy en día es muy frecuente presenciar conversaciones de CN en las que se emplea, indistintamente, los términos incidencia, incidente, problema, contingencia, crisis, etc. para referirse a situaciones que, muy probablemente, no requieran la invocación de la CN como tal, sino que pueden (y deben) afrontarse mediante procedimientos habituales de actuación para la gestión de incidencias (e.g., corte de servicios, fallos en componentes, etc.). Aún así, se debe tener presente que, en cualquier momento, cualquiera de estas situaciones anteriores puede derivar en una auténtica situación de crisis. La CN está ideada para ser una medida reactiva que entra en funcionamiento dentro de una organización ante situaciones de crisis, es decir, casos excepcionales en los que los controles/contramedidas habituales no son efectivos. La condición de excepcionalidad de cualquier situación deberá ser declarada por un órgano de decisión (o individuo) de la organización con la debida autoridad y competencias. En la siguiente Figura 4 se puede observar el enfoque que se propone con la GRC. Conclusiones Las principales propuestas en materia de CN que llevamos a cabo en este documento son las siguientes: La Continuidad de Negocio, tal y como se presenta en la norma BS 25999, debería ser matizada y clarificada tanto en conceptos como en el modelo de relación con otras áreas (e.g., AARR). Proponemos la inclusión de la Continuidad de Negocio dentro de un Sistema de Gestión Integral de Crisis que cubra tanto fases preventivas como reactivas. La CN es un elemento 'puntual' que debe contextualizarse en la GIC, dentro de un ciclo de vida más Figura 4: Gestión Reactiva de Crisis. amplio y completo que el propuesto actualmente para la Continuidad. El Análisis de Riesgos no es elemento determinante para la definición de los procesos críticos en la Continuidad de Negocio. Un mapa de riesgos no es una medida de referencia infalible para la CN, ya que las amenazas en el AARR desvirtúan cualquier potencial aproximación a la CN (i.e., el impacto). En última instancia, el BIA es imprescindible para valorar el impacto de cualquier proceso y, por lo tanto, para considerar la inclusión de tal proceso en el programa de CN. La dimensión, volumen, inversión, componentes y recursos humanos, técnicos, estructurales del Sistema de Gestión Integral de Crisis estarán condicionados por los resultados del AARR y BIA. Esta relación sería absolutamente subjetiva en un inicio y progresivamente objetiva conforme el Sistema de Gestión vaya adquiriendo madurez (repetición del proceso y mejora continua). 60 red seguridad abril 2012

En el siguiente documento se

En el siguiente documento se HISTORIA, EVOLUCIÓN Y NUEVO ENFOQUE Javier Espinosa Responsable de Gobierno y Continuidad de Negocio de Ferrovial Marcos Guasp Jefe de Continuidad de Negocio y Análisis de Riesgos de TI de Repsol Agustín

Más detalles

Plan de Continuidad de Operaciones

Plan de Continuidad de Operaciones Plan de Continuidad de Operaciones Acerca de la Normativa aplicable 2 Indice de Contenidos 1. Certificación Estándar Internacional DRII (Disaster Recovery Institute International) 3 2. Certificación Norma

Más detalles

El diagnóstico basado en CobiT Noviembre 2013

El diagnóstico basado en CobiT Noviembre 2013 El diagnóstico basado en CobiT Noviembre 2013 1. Desarrollo de la Auditoría de Sistemas en Repsol 2. Metodologías 3. Ley Sarbanes Oxley 4. Modelos de madurez y Mapas de riesgos 5. La función de Auditoría

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

Continuidad del Negocio y Recuperación de Desastres (BCM Business Continuity Management / DRM Disaster Recovery Management)

Continuidad del Negocio y Recuperación de Desastres (BCM Business Continuity Management / DRM Disaster Recovery Management) Continuidad del Negocio y Recuperación de Desastres (BCM Business Continuity Management / DRM Disaster Recovery Management) Cuanto le podría costar una hora, un día o una semana a su negocio de inactividad?

Más detalles

Unidad 6: Protección Sistemas de Información

Unidad 6: Protección Sistemas de Información Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información U.N.Sa. Facultad de Cs.Económicas SIG 2015 UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad

Más detalles

Qué pasa si el entorno de seguridad falla?

Qué pasa si el entorno de seguridad falla? Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad e Integralidad: Objetivos de la seguridad

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management Jornadas Rioplatenses de Auditoría Interna 2010 Agenda / Contenido Motivación Visión Moderna de BCM Aspectos Relevantes para Auditores Introducción a la Norma BS25999 Motivación Visión Moderna de BCM Aspectos

Más detalles

Continuidad de Operaciones (COOP) y Continuidad de Gobierno (COG): Guía de implementación para empresas y gobiernos locales

Continuidad de Operaciones (COOP) y Continuidad de Gobierno (COG): Guía de implementación para empresas y gobiernos locales Continuidad de Operaciones (COOP) y Continuidad de Gobierno (COG): Guía de implementación para empresas y gobiernos locales Ana Lucia Hill M. Crisis, Disaster & Risk Manager Business Continuity and Constinuity

Más detalles

DRP y BCP: Continuidad Operativa

DRP y BCP: Continuidad Operativa La capacidad para reestablecer las operaciones de TI y de negocio, ante eventos que pudieran interrumpir la habilidad de lograr sus objetivos estratégicos, es un elemento clave para las organizaciones

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. CAPITULO I: TEMA 1.1. Título del Tema Sistema para Análisis y Gestión de Riesgos 1.2. Planteamiento del Problema 1.2.1. Antecedentes Desde 1901, y como primera entidad de normalización a nivel mundial,

Más detalles

Technology and Security Risk Services Planes de Continuidad de Negocio

Technology and Security Risk Services Planes de Continuidad de Negocio Technology and Security Risk Services Planes de Continuidad de Negocio AS TSRS Planes de Continuidad de Negocio Conjunto de tareas que permite a las organizaciones continuar su actividad en la situación

Más detalles

Riesgo Tecnológico Cómo Desarrollar un Plan de Continuidad de Negocios y un Plan de Recuperación Contra Desastres

Riesgo Tecnológico Cómo Desarrollar un Plan de Continuidad de Negocios y un Plan de Recuperación Contra Desastres Riesgo Tecnológico Cómo Desarrollar un Plan de Continuidad de Negocios y un Plan de Recuperación Contra Desastres Roberto Carlos Arienti Banco de la Nación Argentina Argentina Banco de la Nación Argentina:

Más detalles

Capítulo XII. Continuidad de los Servicios de TI

Capítulo XII. Continuidad de los Servicios de TI Continuidad de los Servicios de TI Continuidad de los servicios de TI Tabla de contenido 1.- Qué es administración de la continuidad?...167 1.1.- Ventajas...169 1.2.- Barreras...169 2.- El plan de continuidad

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

ISO 22301 Continuidad del Negocio

ISO 22301 Continuidad del Negocio ISO 22301 Continuidad del Negocio Mantenga funcionando su negocio sin importar qué pueda ocurrir Septiembre 2012 Pablo Sotres Cruz Product Manager Information Technology pablo.sotres@es.bureauveritas.com

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

Tenemos que tener en cuenta que los principales objetivos del ENS son:

Tenemos que tener en cuenta que los principales objetivos del ENS son: Plan de Adecuación al Esquema Nacional de Seguridad en el Servicio de Modernización Administrativa y Nuevas Tecnologías de la Información de la La Ley 11/2007, de 22 de junio, de acceso electrónico de

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones

Más detalles

SERVICIOS PARA LA CONTINUIDAD Y RECUPERACION DEL NEGOCIO. (BCRS: Business Continuity and Recovery Services)

SERVICIOS PARA LA CONTINUIDAD Y RECUPERACION DEL NEGOCIO. (BCRS: Business Continuity and Recovery Services) SERVICIOS PARA LA CONTINUIDAD Y RECUPERACION DEL NEGOCIO (BCRS: Business Continuity and Recovery Services) ÍNDICE 1. Introducción 2. La importancia de la continuidad de un negocio y las TI 3. Proceso y

Más detalles

La ventaja competitiva de certificarse en seguridad

La ventaja competitiva de certificarse en seguridad especial informática La ventaja competitiva de certificarse en seguridad Certificarse en una norma ISO supone para las empresas una apuesta de futuro que, además de una garantía de calidad en la gestión

Más detalles

Planificación de Sistemas de Información

Planificación de Sistemas de Información Planificación de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ACTIVIDAD 1: INICIO DEL PLAN DE SISTEMAS DE INFORMACIÓN... 4 Tarea 1.1: Análisis de la Necesidad del... 4 Tarea 1.2: Identificación

Más detalles

Planificación de Sistemas de Información

Planificación de Sistemas de Información Planificación de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS...1 ACTIVIDAD 1: INICIO DEL PLAN DE SISTEMAS DE INFORMACIÓN...4 Tarea 1.1: Análisis de la Necesidad del...4 Tarea 1.2: Identificación

Más detalles

LA ESTRATEGIA MÁS EFICAZ PARA LA REDUCCIÓN DE ACCIDENTES

LA ESTRATEGIA MÁS EFICAZ PARA LA REDUCCIÓN DE ACCIDENTES Seguridad basada en conductas mediante LIDERAZGO EN SEGURIDAD LA ESTRATEGIA MÁS EFICAZ PARA LA REDUCCIÓN DE ACCIDENTES La prevención de riesgos laborales actúa sobre los factores del entorno laboral con

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Recuperación y Continuidad del Negocio

Recuperación y Continuidad del Negocio Recuperación y Continuidad del Negocio CONTENIDO ANTECEDENTES ALGUNAS EXPERIENCIAS REVISION DE CONCEPTOS GENERALES METODOLOGIA CONCLUSIONES QUE ES UN DESASTRE? Cualquier EVENTO MAYOR que afecte el funcionamiento

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

PREGUNTAS Y RESPUESTAS RELATIVAS A LA CREACIÓN DE UN PLAN MUNDIAL EN EL ÁMBITO DEL SEGURO AERONÁUTICO POR RIESGO DE GUERRA

PREGUNTAS Y RESPUESTAS RELATIVAS A LA CREACIÓN DE UN PLAN MUNDIAL EN EL ÁMBITO DEL SEGURO AERONÁUTICO POR RIESGO DE GUERRA PREGUNTAS Y RESPUESTAS RELATIVAS A LA CREACIÓN DE UN PLAN MUNDIAL EN EL ÁMBITO DEL SEGURO AERONÁUTICO POR RIESGO DE GUERRA Nota. El presente documento procura proporcionar información adicional relativa

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

Boletín de Asesoría Gerencial* Desarrollo de un plan de continuidad del Negocio: Aplicando un enfoque rápido, económico y efectivo

Boletín de Asesoría Gerencial* Desarrollo de un plan de continuidad del Negocio: Aplicando un enfoque rápido, económico y efectivo Espiñeira, Sheldon y Asociados No. 9-2008 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección 4

Más detalles

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO MANUAL DE POLITICAS DE RIESGO ESTRATEGICO REGISTRO DE CAMBIOS Y REVISIONES Fecha Descripción del cambio o revisión Versión Responsable 26.05.2014 Manual de Políticas de Riesgo Estratégico 1.0 Carlos Zapata

Más detalles

La Seguridad de las Tecnologías

La Seguridad de las Tecnologías 22 Certificaciones de Seguridad TI: un valor en alza EN EL PRESENTE ARTÍCULO SE REVISAN LAS CARACTERÍSTICAS Y BENEFICIOS DE LAS CERTIFICACIONES DE SEGURIDAD TI, ANALIZANDO EN DETALLE LAS TRES MÁS EXTENDIDAS

Más detalles

LA CONTINUIDAD DEL NEGOCIO EN CASOS DE CATÁSTROFE

LA CONTINUIDAD DEL NEGOCIO EN CASOS DE CATÁSTROFE LA CONTINUIDAD DEL NEGOCIO EN CASOS DE CATÁSTROFE El presente artículo describe la naturaleza de los Planes de Continuidad de Negocio o Business Continuity Planning (BCP), una herramienta al servicio de

Más detalles

Retorno de inversión (ROI) en proyectos de continuidad de negocio. Alineamiento con el estándar ISO 22301.

Retorno de inversión (ROI) en proyectos de continuidad de negocio. Alineamiento con el estándar ISO 22301. Retorno de inversión (ROI) en proyectos de continuidad de negocio. Alineamiento con el estándar ISO 22301. Página 2 INTRODUCCIÓN AL RETORNO DE LA INVERSIÓN EN PROYECTOS DE CONTINUIDAD DE NEGOCIO ÍNDICE

Más detalles

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES,

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, RESOLUCIÓN Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, En uso de sus atribuciones legales, reglamentarias, y en especial las conferidas por el

Más detalles

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS 1. Introducción

Más detalles

NORMATIVA ISO 27001. Tasador colaborador con con la la justicia

NORMATIVA ISO 27001. Tasador colaborador con con la la justicia NORMATIVA ISO 27001 Tasador colaborador con con la la justicia 1 LA SEGURIDAD INFORMÁTICA COMO INVERSIÓN INTRODUCCIÓN A menudo, cuando me he reunido con los departamentos presupuestarios y de finanzas

Más detalles

Mejores prácticas para mejorar la salud, la seguridad y el medio ambiente, fiabilidad y calidad

Mejores prácticas para mejorar la salud, la seguridad y el medio ambiente, fiabilidad y calidad Mejores prácticas para mejorar la salud, la seguridad y el medio ambiente, fiabilidad y calidad Integrar los procesos de Salud, Seguridad y Medio Ambiente con la gestión del trabajo y los activos Características

Más detalles

Instrucción Administrativa

Instrucción Administrativa Instrucción Administrativa Fecha: 16 de abril de 2010 Para: De: Todo el personal de UNOPS Karsten Bloch Director del Grupo de Apoyo Corporativo Referencia de la IA: Asunto: AI/CSG/2010/01 Marco para la

Más detalles

Plan de Continuidad de Negocio

Plan de Continuidad de Negocio DIA 3, Taller SGSI del ISMS FORUM SPAIN: Plan de Continuidad de Negocio Abel González Lanzarote Director Desarrollo de Negocio de ESA Security 23 de noviembre de 2007 1º ENCUENTRO NACIONAL DE LA INDUSTRIA

Más detalles

Guía EMPRESA INTELIGENTE 2.0 para la PYME

Guía EMPRESA INTELIGENTE 2.0 para la PYME Guía EMPRESA INTELIGENTE 2.0 para la PYME Consejos para desarrollar la gestión del cambio, tomar decisiones de manera ágil y eficaz y planificar estrategias atendiendo a los procesos como célula básica

Más detalles

Business Continuity Plan. Barcelona, febrero de 2008

Business Continuity Plan. Barcelona, febrero de 2008 . Barcelona, febrero de 2008 Porqué un? Una buena definición de la continuidad del negocio ayuda a identificar los productos y servicios clave y como gestionarlos. Una mala gestión de la continuidad del

Más detalles

GUÍA DE ACTUACIÓN EN RELACIÓN CON LA PRESTACIÓN DE SERVICIOS DE ASESORAMIENTO EN MATERIA CONTABLE POR PARTE DEL AUDITOR DE CUENTAS

GUÍA DE ACTUACIÓN EN RELACIÓN CON LA PRESTACIÓN DE SERVICIOS DE ASESORAMIENTO EN MATERIA CONTABLE POR PARTE DEL AUDITOR DE CUENTAS GUÍA DE ACTUACIÓN 39 GUÍA DE ACTUACIÓN EN RELACIÓN CON LA PRESTACIÓN DE SERVICIOS DE ASESORAMIENTO EN MATERIA CONTABLE POR PARTE DEL AUDITOR DE CUENTAS Marzo 2015 1. OBJETIVO La entidad auditada puede

Más detalles

DESARROLLO E IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO EN ISA

DESARROLLO E IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO EN ISA DESARROLLO E IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO EN ISA Víctor Manuel Díez Valencia Especialista Planeación y Evaluación Dirección Gestión Integral del Negocio vmdiez@isa.com.co

Más detalles

Las claves de un buen plan de marketing

Las claves de un buen plan de marketing Las claves de un buen plan de marketing 2 ÍNDICE Qué es un plan de marketing internacional y cuáles son sus utilidades.. 3 La finalidad de la elaboración de un plan de marketing internacional... 4 Cuestiones

Más detalles

Documento técnico ISO 9001

Documento técnico ISO 9001 Revisiones ISO Documento técnico ISO 9001 La importancia del riesgo en la gestión de la calidad El cambio se acerca Antecedentes y visión general de la revisión ISO 9001:2015 Como Norma Internacional,

Más detalles

MANUAL. Cómo crear un plan de empresa viable

MANUAL. Cómo crear un plan de empresa viable MANUAL Cómo crear un plan de empresa viable Qué contiene este manual? Esta guía le enseñará cómo realizar un plan de empresa de manera lógica (siguiendo los pasos en el orden adecuado), además de los conceptos

Más detalles

Dynamic Audit. Potenciando el valor de la auditoría 1.23536 13235686 0.1125 0.142 0.1758 0.1485 0.0123 0.1523 1.23536 13235686 2213146

Dynamic Audit. Potenciando el valor de la auditoría 1.23536 13235686 0.1125 0.142 0.1758 0.1485 0.0123 0.1523 1.23536 13235686 2213146 Potenciando el valor de la auditoría Dynamic Audit DYNAMIC AUDIT LA OPORTUNIDAD QUE OFRECE LA AUDITORÍA 0.253 La auditoría de los estados financieros lleva tiempo garantizando el cumplimiento normativo

Más detalles

TÉCNICO/A DE INVESTIGACIÓN, DESARROLLO E INNOVACIÓN HERRAMIENTA DE AUTO-EVALUACIÓN Y EVALUACIÓN

TÉCNICO/A DE INVESTIGACIÓN, DESARROLLO E INNOVACIÓN HERRAMIENTA DE AUTO-EVALUACIÓN Y EVALUACIÓN TÉCNICO/A DE INVESTIGACIÓN, DESARROLLO E INNOVACIÓN HERRAMIENTA DE AUTO-EVALUACIÓN Y EVALUACIÓN Esta es una descripción de las principales funciones, actividades, actitudes y tipos de conocimientos que,

Más detalles

ANEXO TÉCNICO SERVICIO DE ANÁLISIS DE RIESGO DE PROCESOS DE NEGOCIO Y ANÁLISIS DE BRECHAS DE LA ESTRATEGIA DE CONTINUIDAD CONTENIDO

ANEXO TÉCNICO SERVICIO DE ANÁLISIS DE RIESGO DE PROCESOS DE NEGOCIO Y ANÁLISIS DE BRECHAS DE LA ESTRATEGIA DE CONTINUIDAD CONTENIDO ANEXO TÉCNICO SERVICIO DE ANÁLISIS DE RIESGO DE PROCESOS DE NEGOCIO Y ANÁLISIS DE BRECHAS DE LA ESTRATEGIA DE CONTINUIDAD CONTENIDO A. CONSIDERACIONES GENERALES.... 2 I) REQUERIMIENTOS... 2 B. OBJETIVO

Más detalles

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERÍA Ingeniería en Sistemas y Computación Manizales, Noviembre 2010 BCP DATA CENTER VIVIANA GOMEZ

Más detalles

La Gerencia de Riesgos en. observatorio de siniestros. Reflexiones después del terremoto de Chile

La Gerencia de Riesgos en. observatorio de siniestros. Reflexiones después del terremoto de Chile observatorio de siniestros Reflexiones después del terremoto de Chile La Gerencia de Riesgos en El terremoto de Chile, que tuvo su epicentro en Maule, zona costera de la segunda ciudad más grande del país,

Más detalles

Integrando un BCMS a las prácticas de gestión de la empresa: nuevo enfoque y normativa

Integrando un BCMS a las prácticas de gestión de la empresa: nuevo enfoque y normativa Integrando un BCMS a las prácticas de gestión de la empresa: nuevo enfoque y normativa Graciela Ricci, CISA, CGEIT, CRISC Agenda Evolución de la práctica de BCM Necesidad de contar con un BCMS Cómo integrarlo

Más detalles

PLANES PARA LA CONTINUIDAD DEL NEGOCIO BUSINESS CONTINUITY MANAGEMENT (BCM)

PLANES PARA LA CONTINUIDAD DEL NEGOCIO BUSINESS CONTINUITY MANAGEMENT (BCM) PLANES PARA LA CONTINUIDAD DEL NEGOCIO BUSINESS CONTINUITY MANAGEMENT (BCM) Comprendemos por continuidad de negocio, el hecho que una organización pueda trabajar su operación en forma continua y sin interrupciones,

Más detalles

Impala Risk. Simulación de Riesgo en Proyectos. Servicios. Capacitación. www.impalarisk.com

Impala Risk. Simulación de Riesgo en Proyectos. Servicios. Capacitación. www.impalarisk.com Simulación de Riesgo en Proyectos Servicios Capacitación www.impalarisk.com Software Simulador de Riesgo en Proyectos El peor riesgo es desconocer el riesgo Los actuales Gerentes de Proyectos se enfrentan

Más detalles

Servicios informáticos de soporte y mantenimiento de las Infraestructuras críticas del Banco de España.

Servicios informáticos de soporte y mantenimiento de las Infraestructuras críticas del Banco de España. Sistemas de Información Febrero 2015 Servicios informáticos de soporte y mantenimiento de las Infraestructuras críticas del Banco de España. Pliego Abreviado de Prescripciones Técnicas Sistemas de Información

Más detalles

EVOLUCIÓN ACTUAL DE LA GESTIÓN DE LA CONTINUIDAD DE NEGOCIO: ISO 22301 SUSANA FUENTEZ

EVOLUCIÓN ACTUAL DE LA GESTIÓN DE LA CONTINUIDAD DE NEGOCIO: ISO 22301 SUSANA FUENTEZ EVOLUCIÓN ACTUAL DE LA GESTIÓN DE LA CONTINUIDAD DE NEGOCIO: ISO 22301 SUSANA FUENTEZ EL INICIO DE LA CONTINUIDAD DE NEGOCIO CON LA NORMA BS 25999 INTRODUCCIÓN Es improbable un desastre; pero somos muy

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. El Reto de las metodologías para la gestión de la seguridad Septiembre 2010 GOBIERNO DE ESPAÑA MINISTERIO DE LA PRESIDENCIA SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010 1 Índice

Más detalles

Recomendaciones relativas a la continuidad del negocio 1

Recomendaciones relativas a la continuidad del negocio 1 Recomendaciones relativas a la continuidad del negocio 1 La continuidad de un negocio podría definirse como la situación en la que la operativa de una entidad tiene lugar de forma continuada y sin interrupción.

Más detalles

Disaster Recovery Institute - España

Disaster Recovery Institute - España Disaster Recovery Institute - España Curso de Planificación de la Continuidad del Negocio DRI ofrece los programas educativos de referencia en la industria de administración de riesgos y continuidad del

Más detalles

HACIA UNA GESTIÓN AVANZADA COMO ELEMENTO CLAVE DE COMPETITIVIDAD

HACIA UNA GESTIÓN AVANZADA COMO ELEMENTO CLAVE DE COMPETITIVIDAD HACIA UNA GESTIÓN AVANZADA COMO ELEMENTO CLAVE DE COMPETITIVIDAD 1. ANTECEDENTES Durante las últimas décadas las prácticas de gestión de las organizaciones vascas se han ido enriqueciendo mediante la aplicación

Más detalles

EL CONTROL DE GESTION

EL CONTROL DE GESTION EL CONTROL DE GESTION Concepto.- Se entiende por control de gestión el conjunto de procesos que la empresa aplica para asegurarse de que las tareas que en la misma se realizan están encaminadas a la consecución

Más detalles

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

Sistema de Gestión de protección del Patrimonio Histórico - SGPPH

Sistema de Gestión de protección del Patrimonio Histórico - SGPPH IV CONGRESO Sevilla Marzo 2014 Sistema de Gestión de protección del Patrimonio Histórico - SGPPH DIRECTOR DE SEGURIDAD SEGURIDAD SUBJETIVA Seguridad instalada. Seguridad disuasoria con Vigilantes armados.

Más detalles

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006 Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

REACU. Red Española de Agencias de Calidad Universitaria RENOVACIÓN DE LA ACREDITACIÓN DE LOS TÍTULOS UNIVERSITARIOS OFICIALES DE GRADO Y MÁSTER

REACU. Red Española de Agencias de Calidad Universitaria RENOVACIÓN DE LA ACREDITACIÓN DE LOS TÍTULOS UNIVERSITARIOS OFICIALES DE GRADO Y MÁSTER REACU Red Española de Agencias de Calidad Universitaria RENOVACIÓN DE LA ACREDITACIÓN DE LOS TÍTULOS UNIVERSITARIOS OFICIALES DE GRADO Y MÁSTER Documento de trabajo Julio de 2011 1 1. PRÓLOGO El presente

Más detalles

BCM Business continuity management, BS 25999, BCI (Business continuityinstitute)

BCM Business continuity management, BS 25999, BCI (Business continuityinstitute) BCM Business continuity management, BS 25999, BCI (Business continuityinstitute) Auditoria de Sistemas Presentado a: Ing. Carlos Hernán Gómez Presentado por: Jeferson Arango López Cód. 1700620355 Universidad

Más detalles

LAFSA Latin America Financial Services Advisory

LAFSA Latin America Financial Services Advisory VI Congreso Regional de Riesgos CORERIF 2014 Gestión de Riesgo Tecnológico y Continuidad Operacional en Entidades Financieras Guatemala, 7 de Noviembre de 2014 Continuidad Operacional en el Sector Financiero

Más detalles

ORIENTADOS A LA ACCIÓN. Generando recursos para seguir ofreciendo el mejor servicio al mejor precio. Con una organización atenta e innovadora.

ORIENTADOS A LA ACCIÓN. Generando recursos para seguir ofreciendo el mejor servicio al mejor precio. Con una organización atenta e innovadora. LIDERA ITVASA [Año] 1.- PRESENTACIÓN Sector: Inspección técnica de vehículos. Implantación geográfica: 10 centros de trabajo. (Asturias). Sede: General Elorza 34. 1º A. 33001 Oviedo. Asturias. Nº de personas:

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

NTE INEN-ISO 22301 2015-XX

NTE INEN-ISO 22301 2015-XX Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO 22301 2015-XX PROTECCION Y SEGURIDAD DE LOS CIUDADANOS. SISTEMA DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO (SGCN) ESPECIFICACIONES (ISO 22301:2013, IDT)

Más detalles

Continuidad de Operaciones y Continuidad de Gobierno Escuela de Administración Pública del Distrito Federal (EAPDF)

Continuidad de Operaciones y Continuidad de Gobierno Escuela de Administración Pública del Distrito Federal (EAPDF) Continuidad de Operaciones y Continuidad de Gobierno Escuela de Administración Pública del Distrito Federal (EAPDF) Ana Lucia Hill M. Crisis, Disaster & Risk Manager Business Continuity and Constinuity

Más detalles

Introducción. Definición de los presupuestos

Introducción. Definición de los presupuestos P o r q u é e l p r e s u p u e s t o d e b e s e r e l c a m i n o a s e g u i r p a r a g a r a n t i z a r e l é x i t o d e s u e m p r e s a? Luis Muñiz Economista Introducción El aumento de la incertidumbre

Más detalles

Política General de Control y Gestión de Riesgos

Política General de Control y Gestión de Riesgos Empresas Inarco Política General de Control y Gestión de Riesgos Auditoría Interna 2014 POLITICA GENERAL DE CONTROL Y GESTION DE RIESGOS EMPRESAS INARCO La Política General de Control y Gestión de Riesgos,

Más detalles

Continuidad. Más que sólo una palabra. Junio 2014

Continuidad. Más que sólo una palabra. Junio 2014 Continuidad Más que sólo una palabra Junio 2014 Continuidad Más que una palabra Importancia Definición Continuidad como verbo Tendencias Página 2 Importancia Página 3 Más que una palabra Página 4 De acuerdo

Más detalles

puede interrumpir la operación Administración de la Continuidad del Negocio.

puede interrumpir la operación Administración de la Continuidad del Negocio. Contenido: Antecedentes Marco Metodológico ISO 17799 Análisis de Impacto al Negocio Estrategias de Recuperación Plan de Recuperación de Desastres Pruebas y Actualización del Plan Conclusiones Contenido:

Más detalles

Master en Gestion de la Calidad

Master en Gestion de la Calidad Master en Gestion de la Calidad No Conformidades y Acciones Correctoras No Conformidades y Acciones Correctoras 1 / 11 OBJETIVOS Al finalizar esta unidad didáctica será capaz de: Conocer con claridad la

Más detalles

INSPECCIÓN DE RIESGOS DE PROPIEDAD

INSPECCIÓN DE RIESGOS DE PROPIEDAD Boletín 01 INSPECCIÓN DE RIESGOS DE PROPIEDAD RISK.DISPUTE. STRATEGY QUÉ ES? Las inspecciones de Riesgos a la propiedad tienen como objetivo identificar los diferentes riesgos que puedan amenazar la infraestructura,

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

Estatuto de Auditoría Interna

Estatuto de Auditoría Interna Febrero de 2008 Introducción Mediante el presente Estatuto, se pone en conocimiento de toda la Organización la decisión del Consejo de Administración de Grupo Prosegur de implantar a nivel corporativo

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

PRINCE2 & TickIT. Jorge Armando Medina Morales. Código 1700321660. U n i v e r s i d a d D e C a l d a s. F a c u l t a d D e I n g e n i e r í a s

PRINCE2 & TickIT. Jorge Armando Medina Morales. Código 1700321660. U n i v e r s i d a d D e C a l d a s. F a c u l t a d D e I n g e n i e r í a s PRINCE2 & TickIT Jorge Armando Medina Morales Código 1700321660 U n i v e r s i d a d D e C a l d a s F a c u l t a d D e I n g e n i e r í a s I n g e n i e r í a D e S i s t e m a s O c t u b r e 2010

Más detalles

# $ % & & % ' ( ) * +,+,! + -.+.! /+.& 0* +!+

# $ % & & % ' ( ) * +,+,! + -.+.! /+.& 0* +!+ !" #$ %& &%' ( )*+,+!-.+! /+.&0* +!+ &( $ *+,+!!++!.&! +!.2+)+*+3! #+*+,+!!&4 *+,+!05!6.++ +)+ +6.+ + +,+!)7*+3!+*+3!8 +!9* +,+!).+!:!;+).,!+*+,+!: 1 CRITERIOS DE VALORACIÓN: (1) 1. COSTE HISTÓRICO. 2.

Más detalles

Gestión de riesgo operacional

Gestión de riesgo operacional Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación

Más detalles

Caso de estudio: El valor de negocio de ISO17799

Caso de estudio: El valor de negocio de ISO17799 Caso de estudio: El valor de negocio de ISO17799 Abril 2006 Dr. Gary Hinson CISA, CISSP, CISSM, CISA, MBA Traducción de Javier Ruiz Spohr CISA, Auditor BS7799 www.iso27000.es Gary Hinson, consultor y experto

Más detalles

AT&S aumenta su eficiencia y su agilidad empresarial gracias a una gestión de TI mejorada

AT&S aumenta su eficiencia y su agilidad empresarial gracias a una gestión de TI mejorada CASO DE ÉXITO DE CLIENTE Octubre de 2013 AT&S aumenta su eficiencia y su agilidad empresarial gracias a una gestión de TI mejorada PERFIL DEL CLIENTE Sector: Fabricación Empresa: AT&S Empleados: 7500 Ingresos:

Más detalles

COMPETENCIAS DIRECTIVAS Y GAP GENERACIONAL

COMPETENCIAS DIRECTIVAS Y GAP GENERACIONAL COMPETENCIAS DIRECTIVAS Y GAP GENERACIONAL Cómo gestionan los directivos la incorporación de las nuevas generaciones a las empresas? Informe elaborado por la Asociación Española de Directivos y la UOC

Más detalles

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a 5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio

Más detalles