En el siguiente documento se

Tamaño: px
Comenzar la demostración a partir de la página:

Download "En el siguiente documento se"

Transcripción

1 HISTORIA, EVOLUCIÓN Y NUEVO ENFOQUE Javier Espinosa Responsable de Gobierno y Continuidad de Negocio de Ferrovial Marcos Guasp Jefe de Continuidad de Negocio y Análisis de Riesgos de TI de Repsol Agustín Lerma Product Manager de BSI Gestión Integral de Crisis: la nueva Continuidad de Negocio En el siguiente documento se presenta una propuesta de mejora del actual marco conceptual de la Continuidad de Negocio. Esta nueva aproximación trata de ser más real y cercana al concepto de Continuidad de Negocio que, comúnmente y en estos momentos, está extendido en las organizaciones. Para ello, se propone la inclusión de la Gestión de la Continuidad de Negocio dentro de un sistema más amplio de Gestión Integral de Crisis. Con este nuevo enfoque, se propone una visión más ajustada de la Continuidad de Negocio en la que sus principales elementos se encuentran bien definidos, clarificados y ubicados. Introducción Hace unas semanas, durante una reunión informal en el contexto de la Seguridad de la Información, entre otros asuntos, estuvimos haciendo un breve análisis del estado del arte de la Continuidad de Negocio (en adelante, CN), basándonos en algunos artículos de reciente publicación y, por supuesto, en nuestra percepción del día a día. A raíz de esta conversación, viendo que las conclusiones que íbamos obteniendo en relación a la Continuidad fluían rápida y coherentemente, nos pareció una idea interesante seguir profundizando en el tema. Y así fue. Para ello, recopilamos la información que obraba en nuestro poder en materia de CN, que iba desde Planes de CN (en adelante, PCN) que abarcan un amplio espectro del mundo empresarial (tanto público como privado, nacional e internacional), hasta estándares, normas, guía de buenas prácticas, artículos especializados, etc. Nuestra primera inquietud consistía en conocer con más precisión y concisión la historia de la Continuidad (sin necesidad de remontarnos demasiado en el pasado), así que leímos un artículo de Paul Kirvan en el que se hacía un repaso cronológico de la CN: Business Continuity: Business Continuity, A History of Challenges. En éste se ponía de manifiesto que la CN, tal y como la conocemos en estos momentos, resulta como una evolución del concepto de recuperación ante desastres que, allá por los años 70 del siglo pasado, comenzó a fraguarse para dar soporte a los sistemas mainframe. En este mismo artículo se señala que fue en la siguiente década de los 80 cuando se produjo un auténtico boom empresarial alrededor de la Recuperación ante Desastres (SunGard, IBM, Hewlett-Packard, Iron Mountain, Disaster Recovery Institute, etc.), de forma que se iba ganando relevancia y aceptación en los departamentos de Sistemas de Información de todo el mundo. Pero fue a partir de 1990 cuando se puso de manifiesto que las organizaciones, consideradas individualmente como un todo en conjunto, precisaban de mecanismos y procedimientos de protección similares a los que Recuperación ante Desastres ofrecía a las áreas técnicas en los Centros de Proceso de Datos (CPD). De hecho, esta necesidad dio paso a un incremento progresivo de la visión holística del negocio y, por ende, a la aparición del término o concepto de CN. Desde este momento, comenzaron a entrar en escena nuevos actores propios de la Continuidad, como asociaciones profesionales especializadas (tal sería el caso del Business Continuity Institute), publicaciones especializadas en la materia (por ejemplo, Contingency Planning & Management), etc., que se vieron fortalecidas, 36 SEGURITECNIA Abril 2012

2 junto con la propia CN, gracias al crecimiento económico de los EEUU durante este periodo. El comienzo del siglo XXI fue un tanto convulso desde el punto de vista de la Continuidad: actividades terroristas en todo el planeta (Nueva York, Madrid, Londres, Bombay, etc.), huracanes más destructivos y frecuentes, terremotos de gran intensidad, etc. Todos estos factores, sumados al incremento notable de profesionales dedicados a este campo, propiciaron un ejercicio de revisión y análisis del papel que jugaba la CN dentro de las organizaciones, quedando de manifiesto que era imprescindible coordinar esfuerzos y trabajos entre departamentos de la misma compañía (por ejemplo, seguridad física, seguridad de la información, servicios generales, auditoría interna, etc.) e, incluso, entre compañías del mismo sector y la Administración Pública. Como consecuencia de este ejercicio, en el año 2003 se publica la norma PAS 56, ofreciendo una visión coherente y consistente entre los principales sectores del mercado. La evolución natural de esta norma informal fueron la norma BS :2006, sobre el código de buenas prácticas y la BS :2007, sobre las especificaciones necesarias en un Sistema de Gestión de Continuidad de Negocio (en adelante, SGCN). Gráficamente, en la siguiente figura se puede observar el esquema propuesto por el British Standard Institution en la norma BS 25999, empleando los principales elementos definidos en esta norma: Tras esta ligera pincelada de la evolución de la CN hasta nuestros días, la siguiente duda que se nos planteaba era bien sencilla: realmente se puede hablar de una transformación significativa de la Continuidad? Cuál ha sido su progresión en los últimos 20 años? Antes de comenzar a profundizar en las respuestas a estas cuestiones, éstas se antojaban sencillas: estancamiento de la Continuidad desde un punto de vista de enfoque, gestión y operación, porque desde un punto de vista tecnológico, el progreso en las nuevas tecnologías ha supuesto un claro beneficio para la Continuidad. No obstante, esta intuición o sensación debía ser corroborada con datos. En este sentido, lo primero fue volver a leer el material de Continuidad de que disponíamos, revisar publicaciones y conversar con otros colegas cuyo recorrido profesional, junto con el nuestro, nos permitiría tener una perspectiva mucho más completa. Cuál fue nuestra sorpresa al comprobar que el grueso de la estructura de cualquiera de los PCN que habíamos mirado era, prácticamente, la misma. Y no se trataba de documentos con la misma fecha de elaboración, sino que estaban distanciados en el tiempo por varios lustros, incluso decenios. Sí, evidentemente, existen diferencias entre un plan que se hubiera elaborado a finales de los años 80 o comienzos de los 90 y uno coetáneo de la BS 25999, pero las diferencias no van más allá del nivel de detalle en la definición de los escenarios de continuidad, en los procedimientos específicos de acción ante una situación de contingencia declarada, en los parámetros de valoración de los análisis de riesgos (en adelante, AARR) e impacto, en los planes de comunicación, en los planes de prueba etc. Es decir, la estructura básica sigue siendo la misma hoy que hace 20 años. Transmitimos este hecho (que a nuestro entender podía resultar circunstancial) entre amigos y conocidos que han estado relacionados con la CN a lo largo de su carrera profesional y, reafirmando nuestra intuición inicial, todos ellos avalaban el mismo corolario: la Continuidad, desde un punto de vista estructural, parecía estancada. Figura 1: Visión de la Gestión de Continuidad de Negocio según BS 25999: 2007 De la CN a la GIC La historia nos demuestra que no es posible predecir de antemano la severidad, duración y repercusión de todos y cada uno de los potenciales incidentes que podrían afectar a nuestra organización, por lo que el desarrollo de Planes de Acción Específicos (en adelante, PAE) basándose en escenarios de contingencia, dentro de la CN, conlleva un SEGURITECNIA Abril

3 elevado riesgo y, por lo tanto, una falsa sensación de seguridad. Realmente, tal y como está concebida y asimilada comúnmente en estos momentos la CN, este concepto se trata como un control reactivo especial con el que se pretende mitigar el impacto que conlleva la materialización de una amenaza concreta en la organización. Es decir, se asume, de manera general, que la CN se corresponde con los PAE definidos para recuperar/ operar/restaurar un proceso crítico interrumpido, entendiéndola como una actividad, prácticamente, independiente de otros elementos igualmente vitales (tal es el caso de los Planes de Gestión de Incidentes y las tareas de revisión o mantenimiento de la CN). Si atendemos a la definición del término de continuidad de negocio que se recoge en la norma BS :2007, ésta se trata como la capacidad estratégica y táctica de la organización de planificar y responder ante incidentes e interrupciones de negocio para continuar las operaciones de negocio en un nivel aceptable predefinido. Es decir, tal y como se muestra en la Figura 1, la norma BS :2007 considera que la CN abarca tanto la parte preventiva (planificación) como la parte reactiva (respuesta) frente a una situación de contingencia. Pero, es la CN un control preventivo o reactivo? Estamos empleando una terminología acertada? Se están mezclando los conceptos de CN y Crisis? Cómo podríamos mejorar el enfoque actual de la Continuidad? Desde nuestro punto de vista, la CN y su gestión deberían incluirse dentro de un marco más amplio como el de la Gestión Integral de Crisis (en adelante, GIC), de manera que se reservaran para la CN las funciones meramente reactivas, relegando el mayor peso del carácter preventivo a otras funciones como el análisis y la gestión de riesgos que, dentro de la organización y por lo general, se desarrollan de manera más global y detallada. Concretamente, tal y como se puede observar en la Figura 2, se presenta una propuesta en la que el foco de atención Figura 2: Visión integral de la Gestión de Crisis. A partir de este punto, se debería definir un Plan de Seguimiento de la Implantación con el que monitorizar la evolución de las salvaguardas elegidas en el Plan de Tratamiento, además de contar con unos indicadores que sirvieran para retroalimentar un ulterior AARR. Sin embargo, el tratamiento de la CN en el ciclo de la GPC debería diferir el resto de controles (tanto reactivos como, evidentemente, preventivos) dese centra en la gestión integral de cualquier situación de crisis que pudiera sobrevenir a la organización. A través de este enfoque completo, con la GIC se consigue llevar a cabo un tratamiento integral de cualquier situación, excepcional o no, que pudiera llegar a afectar a nuestra organización, de manera que, tanto preventiva como reactivamente, quedan cubiertos los principales estadios que se pueden presentar: Gestión Preventiva de Crisis (en adelante, GPC); Gestión Reactiva de Crisis (en adelante, GRC); Análisis y Lecciones Aprendidas (en adelante, ALA). A continuación se hace una descripción concisa de los principales elementos de la Figura 2. Gestión Preventiva de Crisis Sun Tzu en su obra El arte de la guerra, allá por el año 500 a.c., postulaba que la invencibilidad reside en la defensa, mientras que las oportunidades de victoria lo hacen en el ataque. Si esta directriz puramente militar la traspusiéramos al ámbito de la CN, nos podríamos encontrar con una premisa en la que se propusiera una buena GPC con la que proteger los procesos críticos de la organización, evitando que la GRC se ponga en marcha, pero que, caso de activarse la GRC, ésta fuera eficaz para recuperar adecuadamente los procesos afectados. En este sentido, la siguiente Figura 3 (que podrán ver en la página siguiente) muestra gráficamente el enfoque que se propone con la GPC. Como se puede apreciar, esta fase se asemeja clamorosamente a cualquier proceso de análisis y gestión de riesgos que podemos encontrar en una Organización, pero con una diferencia notable a la hora de manejar la CN, que pasamos a describir a continuación. Una vez que la organización ha definido y aprobado un umbral de riesgo (i.e., el límite superior de riesgo asumido), tras determinar el mapa de riesgos, se debe proceder a la gestión de los riesgos identificados. En este punto, son varias las casuísticas que se presentan: Por un lado, siempre que el riesgo efectivo sobre un proceso se quede por debajo del umbral establecido, no precisaría (a priori) de ningún tipo de gestión, dado que se trataría de una cota aceptable de riesgo para la organización. Por otro lado, si el riesgo efectivo identificado para un proceso quedase por encima del umbral de riesgo de la organización (o incluso dentro de un rango de valores alrededor de dicho umbral, con lo que se proporcionaría un mayor grado de confianza), se debería contar con una serie de acciones correctivas, dentro de un Plan de Tratamiento de Riesgos, para minimizar dicho riesgo hasta cotas aceptables. 38 SEGURITECNIA Abril 2012

4 Figura 3: Visión de Gestión Preventiva de Crisis. rivados del análisis y la gestión de riesgos. Esta afirmación se sustenta, básicamente, en los siguientes argumentos: En primer lugar, la inclusión de un determinado proceso en el programa de CN está condicionada por el nivel de impacto de dicho proceso en la organización debido a la interrupción/ degradación del mismo, teniendo en cuenta un factor de evolución temporal en el impacto (que, además, es independiente de la amenaza materializada). Pero el riesgo se entiende como el producto de la probabilidad de ocurrencia de una amenaza (que aprovecha una vulnerabilidad, más o menos expuesta, que afecta a uno o varios procesos) por el impacto de la materialización de tal amenaza en un proceso. Existe alguna relación entre el AARR y la CN? Un riesgo elevado en un proceso implica la inclusión automática de éste en el programa de CN? El primer punto que, inicialmente, atisba más similitudes es el impacto: el impacto que se maneja en el AARR Para aquellos casos en los que el riesgo y el impacto estuviesen alineados (i.e., AARR y BIA son similares), cabría señalar que la CN debería incorpoes el mismo que el impacto de la CN? Existe alguna relación entre el AARR y el análisis de impacto en el negocio (en adelante, BIA)? En el caso del AARR, el impacto se refiere a cómo se vería afectado un proceso (conjunto de activos) desde el punto de vista de la confidencialidad, integridad, disponibilidad y cualquier otra dimensión que se estime oportuna (valor contable, impacto legal, de imagen, lucro cesante, etc.) ante la materialización de unas determinadas amenazas, mientras que en CN el impacto se refiere a cómo se vería afectada la organización, desde el punto de vista operativo, legal, de imagen, etc. ante la pérdida o degradación de un proceso a lo largo de un periodo de tiempo concreto (una hora, un día, una semana, etc.). Es decir, asumiendo que el impacto en el AARR está restringido a un momento temporal concreto, los impactos obtenidos en el AARR y en la CN deberían estar totalmente alineados. No obstante, el riesgo en el AARR se ve condicionado por las amenazas (tanto en el número de éstas que afectan a un proceso, como en su probabilidad de materialización), mientras que éstas no son tenidas en cuenta en el BIA. Por este motivo, si bien los impactos (el de AARR y el del BIA) están alineados, el resultado del AARR no tiene porqué ser una medida de referencia para la CN, puesto que el factor derivado de las amenazas en el AARR desvirtúa, de manera general, cualquier potencial aproximación a la CN. Adicionalmente, si bien el riesgo obtenido en el AARR no es determinante para concluir si un proceso debe ser incluido o no en el programa de CN, sí que se puede rescatar parte de la información procesada en el AARR para tomar esta decisión. Tal y como se ha argumentado en el punto anterior, el impacto calculado para un proceso en el AARR puede servir como magnitud de referencia en una primera aproximación a la CN, de forma que, si el impacto del AARR es próximo al umbral de impacto definido por la organización en el ámbito de la CN, debería efectuarse un BIA completo sobre ese proceso y, en función de los resultados obtenidos, actuar en consecuencia (opciones de CN, PCN, PAE, etc.). De esta manera, se puede reaprovechar parte del trabajo realizado en el ámbito del AARR, pudiendo desarrollar un BIA completo partiendo, no desde cero, sino desde un estadio más avanzado. Por último, para aquellos casos en los que resulte muy costoso (o imposible) la extracción de los impactos en el AARR (e.g., las características del modelo de cálculo del riesgo implantado en la organización no permite una visión parcial del total del riesgo), el tratamiento de la CN en la GPC pasa por el análisis de todos los procesos de la organización, a través del BIA, para conocer el impacto y, por lo tanto, el grado de criticidad de tales procesos. SEGURITECNIA Abril

5 Conclusiones Las principales propuestas en materia de CN que llevamos a cabo en este documento son las siguientes: La Continuidad de Negocio, tal y como se presenta en la norma BS 25999, debería ser matizada y clarificada tanto en conceptos como en el modelo de relación con otras áreas (e.g., AARR). Proponemos la inclusión de la Continuidad de Negocio dentro de un Sistema de Gestión Integral de Crisis que cubra tanto fases preventivas como reactivas. La CN es un elemento puntual que debe contextualizarse en la GIC, denrar aquellos procesos cuyo riesgo no quiera gestionarse de manera preventiva, sino reactiva: no importa cuál sea la amenaza que se haya materializado, sino que hay que focalizar todos los esfuerzos en minimizar el impacto derivado de la afección del proceso dentro de unos márgenes y condicionantes temporales propios del proceso. No obstante, merece la pena resaltar que un PCN (entendido como PAE para recuperar/operar ante una situación de crisis) no minimiza el riesgo asociado a un proceso per se, sino que es necesario que dicho PCN esté contextualizado dentro de un sistema de gestión para que éste sea efectivo (mantenimiento, actualización, revisión, pruebas, etc.). A lo largo de esta GPC, es posible que sobrevenga una situación que afecte al correcto y normal desarrollo de la organización. Ante este escenario, una vez declarada oficialmente la situación crisis, la gestión preventiva quedaría relegada a un segundo plano, mientras que la gestión reactiva (GRC) pasaría a adoptar un papel protagonista en la organización. Gestión Reactiva de Crisis Llegados a este punto, lo primero que habría que señalar es el hecho de que se ha generalizado un mal uso de la terminología y el vocabulario en el ámbito de la CN, de manera que se ha desvirtuado el principal objetivo de la CN. Hoy en día es muy frecuente presenciar conversaciones de CN en las que se emplea, indistintamente, los términos incidencia, incidente, problema, contingencia, crisis, etc. para referirse a situaciones que, muy probablemente, no requieran la invocación de la CN como tal, sino que pueden (y deben) afrontarse mediante procedimientos habituales de actuación para la gestión de incidencias (e.g., corte de servicios, fallos en componentes, etc.). Aún así, se debe tener presente que, en cualquier momento, cualquiera de estas situaciones anteriores puede derivar en una auténtica situación de crisis. La CN está ideada para ser una medida reactiva que entra en funciona- miento dentro de una organización ante situaciones de crisis, es decir, casos excepcionales en los que los controles/ contramedidas habituales no son efectivos. La condición de excepcionalidad de cualquier situación deberá ser declarada por un órgano de decisión (o individuo) de la organización con la debida autoridad y competencias. En la siguiente Figura 4 se puede observar el enfoque que se propone con la GRC. Figura 4: Gestión Reactiva de Crisis. tro de un ciclo de vida más amplio y completo que el propuesto actualmente para la Continuidad. El Análisis de Riesgos no es elemento determinante para la definición de los procesos críticos en la Continuidad de Negocio. Un mapa de riesgos no es una medida de referencia infalible para la CN, ya que las amenazas en el AARR desvirtúan cualquier potencial aproximación a la CN (i.e., el impacto). En última instancia, el BIA es imprescindible para valorar el impacto de cualquier proceso y, por lo tanto, para considerar la inclusión de tal proceso en el programa de CN. La dimensión, volumen, inversión, componentes y recursos humanos, técnicos, estructurales del Sistema de Gestión Integral de Crisis estarán condicionados por los resultados del AARR y BIA. Esta relación sería absolutamente subjetiva en un inicio y progresivamente objetiva conforme el Sistema de Gestión vaya adquiriendo madurez (repetición del proceso y mejora continua). S 40 SEGURITECNIA Abril 2012

Gestión Integral de Crisis: la nueva Continuidad de Negocio

Gestión Integral de Crisis: la nueva Continuidad de Negocio Gestión Integral de Crisis: la nueva Continuidad de Negocio Javier Espinosa Responsable de Gobierno y Continuidad de Negocio de Ferrovial Marcos Guasp Jefe de Continuidad de Negocio y Análisis de Riesgos

Más detalles

Plan de Continuidad de Operaciones

Plan de Continuidad de Operaciones Plan de Continuidad de Operaciones Acerca de la Normativa aplicable 2 Indice de Contenidos 1. Certificación Estándar Internacional DRII (Disaster Recovery Institute International) 3 2. Certificación Norma

Más detalles

Continuidad del Negocio y Recuperación de Desastres (BCM Business Continuity Management / DRM Disaster Recovery Management)

Continuidad del Negocio y Recuperación de Desastres (BCM Business Continuity Management / DRM Disaster Recovery Management) Continuidad del Negocio y Recuperación de Desastres (BCM Business Continuity Management / DRM Disaster Recovery Management) Cuanto le podría costar una hora, un día o una semana a su negocio de inactividad?

Más detalles

Boletín de Asesoría Gerencial* Desarrollo de un plan de continuidad del Negocio: Aplicando un enfoque rápido, económico y efectivo

Boletín de Asesoría Gerencial* Desarrollo de un plan de continuidad del Negocio: Aplicando un enfoque rápido, económico y efectivo Espiñeira, Sheldon y Asociados No. 9-2008 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección 4

Más detalles

Continuidad de Operaciones (COOP) y Continuidad de Gobierno (COG): Guía de implementación para empresas y gobiernos locales

Continuidad de Operaciones (COOP) y Continuidad de Gobierno (COG): Guía de implementación para empresas y gobiernos locales Continuidad de Operaciones (COOP) y Continuidad de Gobierno (COG): Guía de implementación para empresas y gobiernos locales Ana Lucia Hill M. Crisis, Disaster & Risk Manager Business Continuity and Constinuity

Más detalles

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management Jornadas Rioplatenses de Auditoría Interna 2010 Agenda / Contenido Motivación Visión Moderna de BCM Aspectos Relevantes para Auditores Introducción a la Norma BS25999 Motivación Visión Moderna de BCM Aspectos

Más detalles

Unidad 6: Protección Sistemas de Información

Unidad 6: Protección Sistemas de Información Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información U.N.Sa. Facultad de Cs.Económicas SIG 2015 UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad

Más detalles

Qué pasa si el entorno de seguridad falla?

Qué pasa si el entorno de seguridad falla? Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad e Integralidad: Objetivos de la seguridad

Más detalles

El diagnóstico basado en CobiT Noviembre 2013

El diagnóstico basado en CobiT Noviembre 2013 El diagnóstico basado en CobiT Noviembre 2013 1. Desarrollo de la Auditoría de Sistemas en Repsol 2. Metodologías 3. Ley Sarbanes Oxley 4. Modelos de madurez y Mapas de riesgos 5. La función de Auditoría

Más detalles

DESARROLLO E IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO EN ISA

DESARROLLO E IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO EN ISA DESARROLLO E IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO EN ISA Víctor Manuel Díez Valencia Especialista Planeación y Evaluación Dirección Gestión Integral del Negocio vmdiez@isa.com.co

Más detalles

Recuperación y Continuidad del Negocio

Recuperación y Continuidad del Negocio Recuperación y Continuidad del Negocio CONTENIDO ANTECEDENTES ALGUNAS EXPERIENCIAS REVISION DE CONCEPTOS GENERALES METODOLOGIA CONCLUSIONES QUE ES UN DESASTRE? Cualquier EVENTO MAYOR que afecte el funcionamiento

Más detalles

Retorno de inversión (ROI) en proyectos de continuidad de negocio. Alineamiento con el estándar ISO 22301.

Retorno de inversión (ROI) en proyectos de continuidad de negocio. Alineamiento con el estándar ISO 22301. Retorno de inversión (ROI) en proyectos de continuidad de negocio. Alineamiento con el estándar ISO 22301. Página 2 INTRODUCCIÓN AL RETORNO DE LA INVERSIÓN EN PROYECTOS DE CONTINUIDAD DE NEGOCIO ÍNDICE

Más detalles

Continuidad de Operaciones y Continuidad de Gobierno Escuela de Administración Pública del Distrito Federal (EAPDF)

Continuidad de Operaciones y Continuidad de Gobierno Escuela de Administración Pública del Distrito Federal (EAPDF) Continuidad de Operaciones y Continuidad de Gobierno Escuela de Administración Pública del Distrito Federal (EAPDF) Ana Lucia Hill M. Crisis, Disaster & Risk Manager Business Continuity and Constinuity

Más detalles

DRP y BCP: Continuidad Operativa

DRP y BCP: Continuidad Operativa La capacidad para reestablecer las operaciones de TI y de negocio, ante eventos que pudieran interrumpir la habilidad de lograr sus objetivos estratégicos, es un elemento clave para las organizaciones

Más detalles

Capítulo XII. Continuidad de los Servicios de TI

Capítulo XII. Continuidad de los Servicios de TI Continuidad de los Servicios de TI Continuidad de los servicios de TI Tabla de contenido 1.- Qué es administración de la continuidad?...167 1.1.- Ventajas...169 1.2.- Barreras...169 2.- El plan de continuidad

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. CAPITULO I: TEMA 1.1. Título del Tema Sistema para Análisis y Gestión de Riesgos 1.2. Planteamiento del Problema 1.2.1. Antecedentes Desde 1901, y como primera entidad de normalización a nivel mundial,

Más detalles

LAFSA Latin America Financial Services Advisory

LAFSA Latin America Financial Services Advisory VI Congreso Regional de Riesgos CORERIF 2014 Gestión de Riesgo Tecnológico y Continuidad Operacional en Entidades Financieras Guatemala, 7 de Noviembre de 2014 Continuidad Operacional en el Sector Financiero

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Riesgo Tecnológico Cómo Desarrollar un Plan de Continuidad de Negocios y un Plan de Recuperación Contra Desastres

Riesgo Tecnológico Cómo Desarrollar un Plan de Continuidad de Negocios y un Plan de Recuperación Contra Desastres Riesgo Tecnológico Cómo Desarrollar un Plan de Continuidad de Negocios y un Plan de Recuperación Contra Desastres Roberto Carlos Arienti Banco de la Nación Argentina Argentina Banco de la Nación Argentina:

Más detalles

BCM Business continuity management, BS 25999, BCI (Business continuityinstitute)

BCM Business continuity management, BS 25999, BCI (Business continuityinstitute) BCM Business continuity management, BS 25999, BCI (Business continuityinstitute) Auditoria de Sistemas Presentado a: Ing. Carlos Hernán Gómez Presentado por: Jeferson Arango López Cód. 1700620355 Universidad

Más detalles

ISO 22301 Continuidad del Negocio

ISO 22301 Continuidad del Negocio ISO 22301 Continuidad del Negocio Mantenga funcionando su negocio sin importar qué pueda ocurrir Septiembre 2012 Pablo Sotres Cruz Product Manager Information Technology pablo.sotres@es.bureauveritas.com

Más detalles

La ventaja competitiva de certificarse en seguridad

La ventaja competitiva de certificarse en seguridad especial informática La ventaja competitiva de certificarse en seguridad Certificarse en una norma ISO supone para las empresas una apuesta de futuro que, además de una garantía de calidad en la gestión

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Servicio Quick Start de Continuidad de Negocio

Servicio Quick Start de Continuidad de Negocio Servicio Quick Start de Continuidad de Negocio La continuidad de negocio, la disponibilidad del servicio y la evaluación continua de los riesgos de negocio son esenciales para las empresas de hoy en día.

Más detalles

LA ESTRATEGIA MÁS EFICAZ PARA LA REDUCCIÓN DE ACCIDENTES

LA ESTRATEGIA MÁS EFICAZ PARA LA REDUCCIÓN DE ACCIDENTES Seguridad basada en conductas mediante LIDERAZGO EN SEGURIDAD LA ESTRATEGIA MÁS EFICAZ PARA LA REDUCCIÓN DE ACCIDENTES La prevención de riesgos laborales actúa sobre los factores del entorno laboral con

Más detalles

Technology and Security Risk Services Planes de Continuidad de Negocio

Technology and Security Risk Services Planes de Continuidad de Negocio Technology and Security Risk Services Planes de Continuidad de Negocio AS TSRS Planes de Continuidad de Negocio Conjunto de tareas que permite a las organizaciones continuar su actividad en la situación

Más detalles

Metodología para la Gestión de la Continuidad del Negocio

Metodología para la Gestión de la Continuidad del Negocio Metodología para la Gestión de la Continuidad del Negocio Por: Rodrigo Ferrer V. Año: 2015 Resumen Este artículo, busca exponer los pasos requeridos para diseñar e implementar un proceso de Gestión de

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

EVOLUCIÓN ACTUAL DE LA GESTIÓN DE LA CONTINUIDAD DE NEGOCIO: ISO 22301 SUSANA FUENTEZ

EVOLUCIÓN ACTUAL DE LA GESTIÓN DE LA CONTINUIDAD DE NEGOCIO: ISO 22301 SUSANA FUENTEZ EVOLUCIÓN ACTUAL DE LA GESTIÓN DE LA CONTINUIDAD DE NEGOCIO: ISO 22301 SUSANA FUENTEZ EL INICIO DE LA CONTINUIDAD DE NEGOCIO CON LA NORMA BS 25999 INTRODUCCIÓN Es improbable un desastre; pero somos muy

Más detalles

Caso de estudio: El valor de negocio de ISO17799

Caso de estudio: El valor de negocio de ISO17799 Caso de estudio: El valor de negocio de ISO17799 Abril 2006 Dr. Gary Hinson CISA, CISSP, CISSM, CISA, MBA Traducción de Javier Ruiz Spohr CISA, Auditor BS7799 www.iso27000.es Gary Hinson, consultor y experto

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS 1. Introducción

Más detalles

Impala Risk. Simulación de Riesgo en Proyectos. Servicios. Capacitación. www.impalarisk.com

Impala Risk. Simulación de Riesgo en Proyectos. Servicios. Capacitación. www.impalarisk.com Simulación de Riesgo en Proyectos Servicios Capacitación www.impalarisk.com Software Simulador de Riesgo en Proyectos El peor riesgo es desconocer el riesgo Los actuales Gerentes de Proyectos se enfrentan

Más detalles

Continuidad de Negocio DRII/BCI/ISO

Continuidad de Negocio DRII/BCI/ISO Continuidad de Negocio DRII/BCI/ISO Jorge Garibay j.garibay@pinkelephant.com Pink Elephant Leading The Way In IT Management Best Practices Agenda del Curso Introducción al DRII BCI ISO 22K Reseña Histórica

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Plan de Continuidad de Negocio

Plan de Continuidad de Negocio DIA 3, Taller SGSI del ISMS FORUM SPAIN: Plan de Continuidad de Negocio Abel González Lanzarote Director Desarrollo de Negocio de ESA Security 23 de noviembre de 2007 1º ENCUENTRO NACIONAL DE LA INDUSTRIA

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

Política General de Seguridad de la Información

Política General de Seguridad de la Información COMISIÓN NACIONAL DE INVESTIGACIÓN CIENTÍFICA Y TECNOLÓGICA Documento Información del Documento HISTORIA DEL DOCUMENTO Nombre del Documento Preparado por Marcelo Iribarren Carmen Gorroño Elena Hernández

Más detalles

Continuidad del Negocio y Recuperación de Desastres (BC Business Continuity / DR Disaster Recovery)

Continuidad del Negocio y Recuperación de Desastres (BC Business Continuity / DR Disaster Recovery) Continuidad del Negocio y Recuperación de Desastres (BC Business Continuity / DR Disaster Recovery) Autor: Norberto Figuerola Cuanto le podría costar una hora, un día o una semana a su negocio de inactividad?

Más detalles

ESET Security Report 2013 Argentina. Situación de la seguridad corporativa en América Latina

ESET Security Report 2013 Argentina. Situación de la seguridad corporativa en América Latina ESET Security Report 2013 Argentina Situación de la seguridad corporativa en América Latina CONTENIDO Incidentes de Seguridad en empresas argentinas Implementación de Controles y Gestión Controles basados

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

Continuidad. Más que sólo una palabra. Junio 2014

Continuidad. Más que sólo una palabra. Junio 2014 Continuidad Más que sólo una palabra Junio 2014 Continuidad Más que una palabra Importancia Definición Continuidad como verbo Tendencias Página 2 Importancia Página 3 Más que una palabra Página 4 De acuerdo

Más detalles

INSPECCIÓN DE RIESGOS DE PROPIEDAD

INSPECCIÓN DE RIESGOS DE PROPIEDAD Boletín 01 INSPECCIÓN DE RIESGOS DE PROPIEDAD RISK.DISPUTE. STRATEGY QUÉ ES? Las inspecciones de Riesgos a la propiedad tienen como objetivo identificar los diferentes riesgos que puedan amenazar la infraestructura,

Más detalles

LA CONTINUIDAD DEL NEGOCIO EN CASOS DE CATÁSTROFE

LA CONTINUIDAD DEL NEGOCIO EN CASOS DE CATÁSTROFE LA CONTINUIDAD DEL NEGOCIO EN CASOS DE CATÁSTROFE El presente artículo describe la naturaleza de los Planes de Continuidad de Negocio o Business Continuity Planning (BCP), una herramienta al servicio de

Más detalles

Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo.

Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo. Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo. ÍNDICE 1. INTRODUCCIÓN...3 2. LA NECESIDAD DEL CAMBIO DEL ROL DE TI...5 3. NECESIDAD DE GOBIERNO DE TI...6 4. COBIT Y GOBIERNO

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio. Adela Garzón Bejarano Septiembre 1 de 2010

Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio. Adela Garzón Bejarano Septiembre 1 de 2010 Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio Adela Garzón Bejarano Septiembre 1 de 2010 Agenda 1. Riesgo en la banca electrónica Contexto Gestión de Riesgo en la

Más detalles

NORMAS TÉCNICAS PARA LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Versión para comentarios 30-06-2015

NORMAS TÉCNICAS PARA LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Versión para comentarios 30-06-2015 El COMITÉ DE NORMAS DEL BANCO CENTRAL DE RESERVA DE EL SALVADOR, CONSIDERANDO: I. Que de conformidad al artículo 2, inciso segundo de la Ley de Supervisión y Regulación del Sistema Financiero, para el

Más detalles

Caso de Éxito: Implementación del Marco de Trabajo de Continuidad de la Infraestructura de TI de ARANDU - PARAGUAY

Caso de Éxito: Implementación del Marco de Trabajo de Continuidad de la Infraestructura de TI de ARANDU - PARAGUAY Segunda Conferencia de Directores de Tecnologías de Información y Comunicación de Instituciones de Educación Superior, Lima, 2 y 3 de Julio de 2012 Caso de Éxito: Implementación del Marco de Trabajo de

Más detalles

Buen Gobierno y Continuidad de Negocio

Buen Gobierno y Continuidad de Negocio Buen Gobierno y Continuidad de Negocio Continuidad de Negocio, Seguridad Corporativa y Gestión de Incidentes José Manuel Ballester Fernández Consejero Delegado TEMANOVA-ALINTEC Director Cátedra Buen Gobierno

Más detalles

BMC ProactiveNet Performance Management

BMC ProactiveNet Performance Management SERVICE ASSURANCE INFORMACIÓN DE PRODUCTO DATASHEET BMC ProactiveNet Performance Management Beneficios clave» Genera menos eventos y más inteligentes a través del motor de análisis de autoaprendizaje y

Más detalles

Pedro Valcárcel Julio / 2012

Pedro Valcárcel Julio / 2012 Pedro Valcárcel Julio / 2012 Objetivo de la conferencia Hoy en día el control de la seguridad de la información en las organizaciones es cada vez más complicado y dinámico Cómo debemos actuar? Objetivo

Más detalles

Business Continuity Plan. Barcelona, febrero de 2008

Business Continuity Plan. Barcelona, febrero de 2008 . Barcelona, febrero de 2008 Porqué un? Una buena definición de la continuidad del negocio ayuda a identificar los productos y servicios clave y como gestionarlos. Una mala gestión de la continuidad del

Más detalles

SERVICIOS PARA LA CONTINUIDAD Y RECUPERACION DEL NEGOCIO. (BCRS: Business Continuity and Recovery Services)

SERVICIOS PARA LA CONTINUIDAD Y RECUPERACION DEL NEGOCIO. (BCRS: Business Continuity and Recovery Services) SERVICIOS PARA LA CONTINUIDAD Y RECUPERACION DEL NEGOCIO (BCRS: Business Continuity and Recovery Services) ÍNDICE 1. Introducción 2. La importancia de la continuidad de un negocio y las TI 3. Proceso y

Más detalles

Gestión de Proyectos Software

Gestión de Proyectos Software Gestión de Proyectos Software Tema 5. Riesgos Riesgos de Seguridad - MAGERIT Carlos Blanco Universidad de Cantabria Objetivos Profundizar en la Ges0ón de Riesgos que afectan a la dimensión de Seguridad

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

SEMINARIO-TALLER MANEJO DE CRISIS Y CONTINUIDAD DEL NEGOCIO:

SEMINARIO-TALLER MANEJO DE CRISIS Y CONTINUIDAD DEL NEGOCIO: SEMINARIO-TALLER MANEJO DE CRISIS Y CONTINUIDAD DEL NEGOCIO: Como enfrentar eventos con capacidad de afectar la estabilidad de las Organizaciones incrementando las opciones de Supervivencia!!! Se conoce

Más detalles

Código Antifraude CONTENIDO INTRODUCCIÓN OBJETIVO MARCO DE REFERENCIA CORPORATIVO MARCO CONCEPTUAL MARCO DE ACTUACIÓN ESTRUCTURA DE GOBIERNO

Código Antifraude CONTENIDO INTRODUCCIÓN OBJETIVO MARCO DE REFERENCIA CORPORATIVO MARCO CONCEPTUAL MARCO DE ACTUACIÓN ESTRUCTURA DE GOBIERNO Código Antifraude CONTENIDO INTRODUCCIÓN OBJETIVO MARCO DE REFERENCIA CORPORATIVO MARCO CONCEPTUAL MARCO DE ACTUACIÓN ESTRUCTURA DE GOBIERNO MECANISMOS DE PREVENCIÓN, DETECCIÓN, INVESTIGACIÓN Y RESPUESTA

Más detalles

La Seguridad de las Tecnologías

La Seguridad de las Tecnologías 22 Certificaciones de Seguridad TI: un valor en alza EN EL PRESENTE ARTÍCULO SE REVISAN LAS CARACTERÍSTICAS Y BENEFICIOS DE LAS CERTIFICACIONES DE SEGURIDAD TI, ANALIZANDO EN DETALLE LAS TRES MÁS EXTENDIDAS

Más detalles

PLANES DE AYUDA MUYUA como estrategia de Protección. Comité de Prevención y Atención de Desastres Especializados COPADES. Material de Estudio

PLANES DE AYUDA MUYUA como estrategia de Protección. Comité de Prevención y Atención de Desastres Especializados COPADES. Material de Estudio Hoja 1-1 PLANES DE AYUDA MUYUA como estrategia de Protección Comité de Prevención y Atención de Desastres Especializados Medellín, Colombia Agosto 9 de 2011 César A. Duque A., Colombia R 2011 Material

Más detalles

DOCUMENTO BASE DEL CURSO BÁSICO EN GESTIÓN INTEGRAL DEL RIESGO

DOCUMENTO BASE DEL CURSO BÁSICO EN GESTIÓN INTEGRAL DEL RIESGO DOCUMENTO BASE DEL CURSO BÁSICO EN GESTIÓN INTEGRAL DEL RIESGO 05/02/2015 Programa Nacional de Educación en Gestión Integral del Riesgo Este documento presenta los componentes del curso básico de Gestión

Más detalles

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Lic. Javier F. Diaz [jdiaz@info.unlp.edu.ar] CC. Viviana Harari [vharari@info.unlp.edu.ar] Lic. Paula Venosa [pvenosa@info.unlp.edu.ar]

Más detalles

Integrando un BCMS a las prácticas de gestión de la empresa: nuevo enfoque y normativa

Integrando un BCMS a las prácticas de gestión de la empresa: nuevo enfoque y normativa Integrando un BCMS a las prácticas de gestión de la empresa: nuevo enfoque y normativa Graciela Ricci, CISA, CGEIT, CRISC Agenda Evolución de la práctica de BCM Necesidad de contar con un BCMS Cómo integrarlo

Más detalles

www.pinkelephant.com

www.pinkelephant.com 1 Introducción Actualmente, se presentan con mayor frecuencia los desastres naturales. En los últimos años este tipo de fenómenos se multiplican en el mundo entero y muchos hablan de que en el futuro

Más detalles

Certified Information Systems Security Professional Buenos Aires Bootcamp. Donald R. Glass CISSP, CISA, CCNA, MCSE, MCSE+I, CNE

Certified Information Systems Security Professional Buenos Aires Bootcamp. Donald R. Glass CISSP, CISA, CCNA, MCSE, MCSE+I, CNE Buenos Aires, AR 2003 Certified Information Systems Security Professional Buenos Aires Bootcamp Donald R. Glass CISSP, CISA, CCNA, MCSE, MCSE+I, CNE 1 Agenda Business

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

RESUMEN DE LA SOLUCIÓN

RESUMEN DE LA SOLUCIÓN RESUMEN DE LA SOLUCIÓN Mejora de la planificación de la capacidad con Application Performance Management Cómo puedo garantizar una experiencia de usuario final excepcional para aplicaciones críticas para

Más detalles

Diseño y aplicación de un Plan Estratégico de Recursos Humanos. La experiencia práctica de DHL Internacional España

Diseño y aplicación de un Plan Estratégico de Recursos Humanos. La experiencia práctica de DHL Internacional España Diseño y aplicación de un Plan Estratégico de Recursos Humanos. La experiencia práctica de DHL Internacional España La dirección de Recursos Humanos de DHL International España ha elaborado un Plan Estratégico

Más detalles

puede interrumpir la operación Administración de la Continuidad del Negocio.

puede interrumpir la operación Administración de la Continuidad del Negocio. Contenido: Antecedentes Marco Metodológico ISO 17799 Análisis de Impacto al Negocio Estrategias de Recuperación Plan de Recuperación de Desastres Pruebas y Actualización del Plan Conclusiones Contenido:

Más detalles

La Gerencia de Riesgos en. observatorio de siniestros. Reflexiones después del terremoto de Chile

La Gerencia de Riesgos en. observatorio de siniestros. Reflexiones después del terremoto de Chile observatorio de siniestros Reflexiones después del terremoto de Chile La Gerencia de Riesgos en El terremoto de Chile, que tuvo su epicentro en Maule, zona costera de la segunda ciudad más grande del país,

Más detalles

REPÚBLICA DE COLOMBIA Alcaldía Municipal de Facatativá. Dirección de Informática

REPÚBLICA DE COLOMBIA Alcaldía Municipal de Facatativá. Dirección de Informática REPÚBLICA DE COLOMBIA Alcaldía Municipal de Facatativá Dirección de Informática Documento Plan de contingencias y sugerencias Diseño, Desarrollo e Implementación Versión I 1.- SOLUCIÓN PROPUESTA Y PLAN

Más detalles

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones

Más detalles

Gestión Integral de Riesgos 1. Gestión Integral de Riesgos

Gestión Integral de Riesgos 1. Gestión Integral de Riesgos Gestión Integral de Riesgos 1 Gestión Integral de Riesgos Gestión Integral de Riesgos 2 La gestión de riesgos y la gestión de continuidad de negocio son actividades complementarias e integradas en la Gestión

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

PILAR. HERRAMIENTAS PARA EL ANÁLISIS Y LA GESTIÓN DE RIESGOS

PILAR. HERRAMIENTAS PARA EL ANÁLISIS Y LA GESTIÓN DE RIESGOS PILAR. HERRAMIENTAS PARA EL ANÁLISIS Y LA GESTIÓN DE RIESGOS José A. Mañas Catedrático de Universidad Dept. Ingeniería de Sistemas Telemáticos. E.T.S.I. de Telecomunicación. Universidad Politécnica de

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

DE RIESGOS DE TI. GESTIÓN 1. INTRODUCCIÓN

DE RIESGOS DE TI. GESTIÓN 1. INTRODUCCIÓN GESTIÓN DE RIESGOS DE TI. 1. INTRODUCCIÓN Dentro de los modelos de gestión de TI soportados bajo el enfoque de procesos, gestión de riesgos y PHVA, se encuentran las normas ISO 27001, ISO 20000, ITIL y

Más detalles

Resumen ejecutivo del Estudio sobre el estado de la PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio

Resumen ejecutivo del Estudio sobre el estado de la PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Resumen ejecutivo del Estudio sobre el estado de la PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Con el patrocinio de: OBSERVATORIO La PYME española ante los riesgos

Más detalles

Política para la Gestión Integral de Riesgos

Política para la Gestión Integral de Riesgos Política para la Gestión Integral de Riesgos MOTIVACIÓN Como empresa responsable, ISAGEN incorpora en su gestión las prácticas que permitan asegurar su sostenibilidad, preservando los recursos empresariales

Más detalles

EN CONTINUIDAD DEL NEGOCIO

EN CONTINUIDAD DEL NEGOCIO Herramientas Gerenciales NUEVO ESTÁNDAR INTERNACIONAL EN DEL NEGOCIO ISO 22301:2012 El pasado 15 de mayo, el comité técnico 223 de la Organización Internacional para la Normalización (ISO, por sus siglas

Más detalles

TALLER DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

TALLER DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 1 TALLER DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Objetivo del Taller Lograr que los participantes incorporen el concepto de Seguridad de la Información, que reconozcan la

Más detalles

Documento técnico ISO 9001

Documento técnico ISO 9001 Revisiones ISO Documento técnico ISO 9001 La importancia del riesgo en la gestión de la calidad El cambio se acerca Antecedentes y visión general de la revisión ISO 9001:2015 Como Norma Internacional,

Más detalles

REV FECHA ELABORÓ REVISÓ Y APROBÓ DESCRIPCIÓN. Jefe Oficina de. Jefe Oficina de Gestión de Calidad

REV FECHA ELABORÓ REVISÓ Y APROBÓ DESCRIPCIÓN. Jefe Oficina de. Jefe Oficina de Gestión de Calidad PÁGINA 1 DE 15 REV FECHA ELABORÓ REVISÓ Y APROBÓ DESCRIPCIÓN 0 00 00 2008 Dra. Beatriz García César Valeta López Mónica Gutiérrez V. CCCI y GC 1 11 10-2012 2 12 02-2014 Funcionario Oficina de Gestión de

Más detalles

Lecciones aprendidas en auditorías BCP

Lecciones aprendidas en auditorías BCP Lecciones aprendidas en auditorías BCP Nelson Valero Ortega MBCP, CISA, CISM, CGEIT, CRISC Agenda Introducción Protección total de activos Lecciones aprendidas Conclusiones Agenda Introducción Protección

Más detalles

NORMATIVA ISO 27001. Tasador colaborador con con la la justicia

NORMATIVA ISO 27001. Tasador colaborador con con la la justicia NORMATIVA ISO 27001 Tasador colaborador con con la la justicia 1 LA SEGURIDAD INFORMÁTICA COMO INVERSIÓN INTRODUCCIÓN A menudo, cuando me he reunido con los departamentos presupuestarios y de finanzas

Más detalles

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es Plan de Contingencia Para la Unidad de Sistemas y Tecnología de Información del Gobierno Autónomo Descentralizado Antonio Ante en Base a la Norma Iso/Iec 27002. Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec.,

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Instrucción Administrativa

Instrucción Administrativa Instrucción Administrativa Fecha: 16 de abril de 2010 Para: De: Todo el personal de UNOPS Karsten Bloch Director del Grupo de Apoyo Corporativo Referencia de la IA: Asunto: AI/CSG/2010/01 Marco para la

Más detalles

ANEXO TÉCNICO SERVICIO DE ANÁLISIS DE RIESGO DE PROCESOS DE NEGOCIO Y ANÁLISIS DE BRECHAS DE LA ESTRATEGIA DE CONTINUIDAD CONTENIDO

ANEXO TÉCNICO SERVICIO DE ANÁLISIS DE RIESGO DE PROCESOS DE NEGOCIO Y ANÁLISIS DE BRECHAS DE LA ESTRATEGIA DE CONTINUIDAD CONTENIDO ANEXO TÉCNICO SERVICIO DE ANÁLISIS DE RIESGO DE PROCESOS DE NEGOCIO Y ANÁLISIS DE BRECHAS DE LA ESTRATEGIA DE CONTINUIDAD CONTENIDO A. CONSIDERACIONES GENERALES.... 2 I) REQUERIMIENTOS... 2 B. OBJETIVO

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Enterprise Risk Services Riesgos Tecnológicos Llevando a la Auditoría Interna de TI al siguiente nivel

Enterprise Risk Services Riesgos Tecnológicos Llevando a la Auditoría Interna de TI al siguiente nivel Enterprise Risk Services Riesgos Tecnológicos Llevando a la Auditoría Interna de TI al siguiente nivel Junio, 2013 Por qué estamos aquí? Entender los factores que están impulsando a cambiar la Auditoría

Más detalles

Gestión de continuidad del negocio un enfoque resilente basado en el estándar ISO 22301

Gestión de continuidad del negocio un enfoque resilente basado en el estándar ISO 22301 Gestión de continuidad del negocio un enfoque resilente basado en el estándar ISO 22301 About Me ISB Corp, una compañía dedicada a seguridad de la información, Business Continuity, Risk Management y Compliance.

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Seguridad orientada al negocio. Adopte una estrategia integral de seguridad alineada con el negocio.

Seguridad orientada al negocio. Adopte una estrategia integral de seguridad alineada con el negocio. Seguridad orientada al negocio Adopte una estrategia integral de seguridad alineada con el negocio. Junio de 2008 2 Contenido 2 Visión general 3 Optimización y protección de los procesos empresariales

Más detalles