Gestión de Riesgos con Magerit
|
|
- Eva Silva Herrera
- hace 7 años
- Vistas:
Transcripción
1 Gestión de Riesgos con Magerit José A. Mañas Dep. de Ingeniería de Sistemas Informáticos Universidad Politécnica de Madrid <
2 Definiciones Gestión del riesgo actividades coordinadas para dirigir y controlar una organización con respecto al riesgo NOTA: normalmente la gestión del riesgo incluye la apreciación del riesgo, el tratamiento del riesgo, la aceptación del riesgo y la comunicación del riesgo ISO/IEC Guía 73: 2002
3 Definiciones Riesgo combinación de la probabilidad de un suceso y su consecuencia 1. el término riesgo normalmente se utiliza únicamente cuando existe al menos la posibilidad de consecuencias negativas 2. en algunas situaciones, el riesgo proviene de la posibilidad de un desvío del resultado o del suceso previsto ISO/IEC Guía 73: 2002
4 Informalidad Se dice que una actividad es arriesgada cuando puede salir mal o puede salir bien; es decir, cuando no hay certeza de qué va a ocurrir Se llama riesgo a la medida de lo que probablemente ocurra
5 Método de estimación descubrimiento indicadores sucesos inciertos consecuencias IMPACTO RIESGO probabilidad estimación
6 Indicadores Impacto lo que puede suceder Riesgo lo que probablemente ocurra
7 Subjetividad La identificación de sucesos y la estimación de consecuencias y probabilidades son subjetivas porque no pueden ser objetivas hasta que el suceso se materializa Ante sucesos materializados no analizamos riesgos: medimos daños
8 Subjetividad Necesitamos opiniones cualificadas / creíbles / de confianza Hay que poder razonar el por qué de las estimaciones realizadas Sería muy interesante disponer de estimaciones normalizadas;... un bonito sueño...
9 Uso del análisis de riesgos Para tomar decisiones El riesgo no es necesariamente malo el riesgo es compañero inseparable del beneficio el beneficio (estimado subjetivamente) hay que compararlo con el riesgo (estimado subjetivamente) para tomar decisiones informadas
10 Tratamiento El riesgo se trata se evita se mitiga se transfiere se acepta El riesgo no se reduce a 0.0 el riesgo se trata hasta tener una relación beneficio / riesgo óptima que estamos dispuestos a aceptar
11 Tratamiento estudio de los riesgos revisión periódica se estudia mejor punto de decisión se trata se asume monitorización continua estudio coste / beneficio transferencia mitigación del riesgo: reducción de la exposición limitación del impacto
12 Gestión de riesgos Análisis de riesgos proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización Evaluación de los riesgos proceso en el que se coteja el riesgo estimado contra los criterios de la organización para determinar la importancia del riesgo Tratamiento de riesgos selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados
13 Análisis Un buen análisis es la base no se pueden tomar decisiones sin conocimiento no se pueden justificar decisiones sin conocimiento no se puede optimizar lo que se ignora
14 El análisis de riesgos no es simple... lleva tiempo... cuesta dinero... no vale una vez y para siempre Muchos activos los sistemas son complejos Activos de muchos tipos información, servicios, procesos,... equipamiento: aplicaciones, equipos, comunicaciones,... locales: recintos, edificios, áreas,..., en el campo personas: usuarios, operadores, desarrolladores,... Muchas amenazas y muchas formas de hilvanar las amenazas Muchísimas salvaguardas gestión, técnicas, seguridad física, recursos humanos
15 Metodología de análisis de riesgos La complejidad se ataca metódicamente una metodología es una aproximación sistemática para cubrir la mayor parte de lo que puede ocurrir para olvidar lo menos posible para explicar a los gerentes qué se necesita de ellos para explicar a los técnicos qué se espera de ellos para explicar a los usuarios qué un uso decente del sistema qué es una respuesta urgente cómo se gestionan los incidentes una metodología necesita modelos elementos: activos, amenazas, salvaguardas métricas: impacto y riesgo
16 Magerit Metodología de análisis y gestión de riesgos de los sistemas de información Pública MAP : Ministerio para las Administraciones Públicas version 1.0, 1997 version 2.0, Recomendación para la administración pública española
17 Pasos de análisis análisisriesgos (SistemaInformación si) { Contexto contexto= establecercontexto (si); Set<Activo> activos= getmodelovalor(si); Set<Amenaza> amenazas= getmapaamenazas(si, activos); Riesgo potencial= calcula(activos, amenazas); Set<Salvaguarda> salvaguardas= necesidad(activos, amenazas); evaluaestadoactual(salvaguardas); Riesgo residual= calcula(activos, amenazas, salvaguardas); }
18 Pasos de análisis Set<Activos> getmodelovalor(sistemainformación si) { do { Set<Activo> activos= descubrimiento(si); relaciones(activos, si); valoración(activos, si); } until (dirección.aprueba(activos)); dirección.firma(informe(activos)); return activos; }
19 Valoración Coste que supondría la ocurrencia de una amenaza valor de reposición valor de reconstrucción horas perdidas de trabajo lucro cesante daños y perjuicios No sólo importa lo que cuesta; importa [más] para qué vale
20 Aspectos de valoración seguridad de las personas información de carácter personal obligaciones derivadas de la ley, del marco regulatorio, de contratos, etc. capacidad para la persecución de delitos intereses comerciales y económicos pérdidas financieras interrupción del servicio orden público política corporativa otros valores intangibles
21 Dimensiones de valoración disponibilidad Qué importancia tendría que el activo no estuviera disponible? integridad Qué importancia tendría que el activo fuera modificado fuera de control? confidencialidad Qué importancia tendría que el activo fuera conocido por personas no autorizadas? autenticidad Qué importancia tendría que quien accede al activo no sea realmente quien se cree? trazabilidad imputabilidad (accountability) Qué importancia tendría que no quedara constancia del uso del activo?
22 Valoración Cuantitativa el desembolso económico que conllevaría prácticamente siempre se hace en euros Cualitativa hay cosas que no tienen precio intangibles inhabilitación de una misión perjuicio de imagen perjuicio a las relaciones de la organización...
23 Valor cualitativo Criterios homogéneos que permitan relativizar entre dimensiones compartir / combinar análisis realizados por separado uniformidad de conocimiento 10 muy alto 9 8 alto 7 6 valor criterio 10 - muy alto daño muy grave 8 - alto daño grave repercute en otros 5 - medio daño importante queda en casa 2 - bajo daño menor 0 - despreciable daño irrelevante 5 medio bajo 1 0 despreciable
24 Valor cuantitativo (euros) si no ocurre nada: B1 = beneficios_1 gastos_1 si se materializa la amenaza: B2 = beneficios_2 gastos_2 consecuencias del suceso: VALOR = B1 B2 (beneficios_1 beneficios_2) + (gastos_2 gastos_1) 0.0 euros b1 g1 b2 g2
25 cual y cuan Se puede hacer un análisis cualitativo no cuantitativo para tomar las decisiones de bulto No se debe hacer un análisis cuantitativo no cualitativo porque no sólo es dinero Se debe hacer análisis cuantitativo y cualitativo para tomar las decisiones finas
26 Herramientas Necesarias para atajar la complejidad mantener el análisis al día analizar what if... Convenientes para capturar el sistema aplicar un método sistemáticamente comunicar el riesgo explicar el por qué de las conclusiones
27 Análisis (potencial) están expuestos a amenazas amenazas Interesan por su activos activos valor valor causan una cierta degradación degradación impacto impacto con una cierta probabilidad probabilidad riesgo riesgo
28 Análisis (residual) están expuestos a activos activos Interesan por su amenazas amenazas valor valor tipo de activo dimensión amenaza nivel de riesgo causan una cierta con una cierta salvaguardas salvaguardas degradación degradación residual residual probabilidad probabilidad residual residual impacto impacto residual residual riesgo riesgo residual residual
29 Soporte a la gestión activos amenazas impacto y riesgo potenciales evaluación de salvaguardas EAR PILAR progreso salvaguardas programas de seguridad impacto y riesgo residuales costes & beneficios plan de seguridad
30 Soporte al alineamiento Los de arriba deben entender las consecuencias de los incidentes técnicos Los de abajo deben entender el valor de los componentes técnicos Todos deben saber qué deben proteger en qué medida
31 Informes de estado
32 Cumplimiento de perfiles ISO/IEC / 27001
33 Análisis de riesgos Las entradas: qué tenemos que proteger? NEGOCIO qué tenemos que proteger? RECURSOS conócete a ti mismo La tarea: qué quiere la otra parte? cómo puede la otra parte conseguirlo? conoce a tu adversario La conclusión: somos vulnerables en tal medida
34 Cuándo? El análisis de riesgo muestra su máxima eficacia cuando se realiza antes del despliegue de un sistema y las salvaguardas se incorporan al diseño de la solución Es necesario cuando un sistema se hace cargo de nuevas o más importantes misiones que aquellas para las que fue diseñado morir de éxito cambia el perfil de vulnerabilidad ej. exposición a Internet
35 SGSI Sistema de Gestión de la Seguridad de la Información Plan planificación Act mantenimiento y mejora mejora Do implementación y operación Check monitorización y evaluación
36 Certificación y acreditación análisis de riesgos modelo de valor mapa de riesgos gestión de riesgos salvaguardas auditoría evaluación de seguridad resultados de evaluación certificación registro acreditación
37 Riesgos del análisis de riesgos 1. Lo que se olvida recursos propios ignorados o subestimados recursos ajenos desconocidos o subestimados hay que tener más de una opinión 2. La auto-complacencia estamos suficientemente bien hay que controlar que seguimos tan bien como creemos hay que revisar continuamente y adaptarse a las circunstancias 3. La incomunicación la dirección no se entera hay que saber transmitir información que informe
38 Referencias Magerit v2 MAP, 2005 Metodología de análisis y gestión de riesgos de los sistemas de información Código de buenas prácticas para la Gestión de la Seguridad de la Información EAR Entorno de Análisis de Riesgos PILAR Herramienta de análisis y gestión con soporte del CCN
39
dit-upm Seguridad de la Información Análisis de Riesgos
-upm Seguridad de la Información Análisis de Riesgos José A. Mañas < http://www.dit.upm.es/~pepe/> Dep. de Ingeniería de Sistemas Telemáticos E.T.S. Ingenieros de Telecomunicación Universidad Politécnica
Más detallesdit-upm Seguridad de la Información Análisis de Riesgos
-upm Seguridad de la Información Análisis de Riesgos José A. Mañas < http://www.dit.upm.es/~pepe/> Dep. de Ingeniería de Sistemas Telemáticos E.T.S. Ingenieros de Telecomunicación Universidad Politécnica
Más detallesGestión de Riesgos Análisis y Tratamiento Magerit 2 PILAR José A. Mañas
Gestión de Riesgos Análisis y Tratamiento Magerit 2 PILAR José A. Mañas Dep. de Ingeniería de Sistemas Informáticos Universidad Politécnica de Madrid -upm Gestión de Riesgos Análisis y Tratamiento Magerit
Más detallesMagerit v.3: Introducción
Magerit v.3: Introducción - Método - Catálogo de Elementos - Guía de Técnicas Magerit Versión 2 2005 1997 Organización para la Cooperación y el Desarrollo Económico (OCDE) Directrices para la seguridad
Más detallesLección 11: Análisis y Gestión de Riesgos
Lección 11: Análisis y Gestión de Riesgos Dr. José A. Mañas jmanas@dit.upm.es Departamento de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid Definición Seguridad de las redes y de
Más detallesTérminos y Definiciones
Términos y Definiciones Aceptación del riesgo Decision de asumir un riesgo.[guía ISO/IEC 73:2002] Activo Cualquier cosa que tiene valor para la organización. [NTC 5411-1:2006] Activo de información Datos
Más detallesNorma IRAM-ISO/IEC 27001
Norma IRAM-ISO/IEC 27001 Qué es ISO/IEC 27001? Standard Auditable. Marco para administrar un Programa de Seguridad de la Información. Permite considerar aspectos legales, reglamentarios y requisitos contractuales.
Más detalles3.1 Formalización de las actividades
ANALISIS DE RIESGOS EN SISTEMAS Unidad 3: Método de análisis y gestión de riesgos II Objetivo específico 3: El alumno aprenderá a formalizar las actividades conociendo la caracterización de las amenaza
Más detallesANEXO A: Síntesis del estándar ISO/IEC 27001:2005 [J]
ANEXO A: Síntesis del estándar ISO/IEC 27001:2005 [J] A continuación se presenta la ISO/IEC 27001:2005 [J] a manera de resumen con el objetivo de entender el alcance y contenido de la misma y comprender
Más detallesdit-upm Seguridad de la Información organización
-upm Seguridad de la Información José A. Mañas < http://www.dit.upm.es/~pepe/> Dep. de Ingeniería de Sistemas Telemáticos E.T.S. Ingenieros de Telecomunicación Universidad Politécnica de Madrid 13.2.2017
Más detallesANÁLISIS Y GESTIÓN DE RIESGOS Herramienta PILAR
Dominando los riesgos se compite mejor ANÁLISIS Y GESTIÓN DE RIESGOS Herramienta PILAR Patrocinadores José Luis Quintero Villarroya Subdirección General TIC MINISTERIO DE DEFENSA Colaboradores 1 FORO:
Más detallesImplantación del Esquema Nacional de Seguridad. Alberto López Responsable de Proyectos Dirección de Operaciones
Implantación del Esquema Nacional de Seguridad Alberto López Responsable de Proyectos Dirección de Operaciones 1 Índice 1. Qué es el Esquema Nacional de Seguridad? 2. Ámbito de Aplicación e Impacto. 3.
Más detallesPILAR Protección de Datos
PILAR Protección de Datos 27.11.2017 1 Introducción La protección de datos se ha convertido en un componente esencial de los requisitos de un sistema de información. En particular con la aparición del
Más detallesPATRICIA LOPEZ. Responsable de Auditoría Informática. Centro de Gestión de Incidentes Informáticos CGII.
PATRICIA LOPEZ Responsable de Auditoría Informática Centro de Gestión de Incidentes Informáticos CGII plopez@agetic.gob.bo Algunas Definiciones Seguridad de la Información. La seguridad de la información
Más detallesInforme de Análisis de Riesgos
Informe de Análisis de Riesgos Introducción Ahora que cuentas con toda la información necesaria para proponer algunas medidas de seguridad, en ésta ayuda de estudio conocerás la estructura que debe tener
Más detallesISO/IEC Gestión de la seguridad de la información. Ing. Marco Antonio Paredes Poblano
ISO/IEC 27001 Gestión de la seguridad de la información Ing. Marco Antonio Paredes Poblano Qué es información? Conjunto de datos organizados en poder de una entidad que poseen valor para la misma. La información
Más detallesSu futuro es nuestra energía Gestión de riesgos, experiencias aplicando dos enfoques metodológicos.
Gestión de riesgos, experiencias aplicando dos enfoques metodológicos. Seguridad Informática División Sistemas de Información Temario Conceptos de Riesgo. Normas ISO 31000 y 27005. Gestión de riesgos Experiencias
Más detallesPOLÍTICA DE GESTIÓN DEL RIESGO DESCRIPCIÓN
DESCRIPCIÓN La Política de Gestión del Riesgo describe y orienta el establecimiento de un modelo de planeación y desarrollo organizacional que considera la administración del riesgo como elemento fundamental
Más detallesPLANES DE SEGURIDAD PARA LA EMPRESA
PLANES DE SEGURIDAD PARA LA EMPRESA 1º JORNADA DE DIVULGACIÓN CÁTEDRA DE RIESGOS EN SISTEMAS DE INFORMACIÓN 2ª EDICIÓN 24 abril 2008 Creación e Implantación de un Plan de Seguridad y el Valor Agregado
Más detallesPlan Director de Seguridad. Autor: Luis Rodríguez Conde Dirección: Antonio José Segovia Henares Fecha: Junio, 2017
Plan Director de Seguridad Autor: Luis Rodríguez Conde Dirección: Antonio José Segovia Henares Fecha: Junio, 2017 Contenido Introducción Contexto de la empresa y motivación Enfoque y alcance del proyecto
Más detallesTÉRMINOS Y DEFINICIONES UNE :2013
3. TÉRMINOS Y DEFINICIONES 3.1 agente: Sustancia, objeto o sistema que actúa para producir cambios. (CISP-OMS 2009[7]) 3.2 análisis del riesgo: Proceso que permite comprender la naturaleza del riesgo y
Más detallesPlan Director de Seguridad de la Información
Plan Director de Seguridad de la Información Presentado por: José Consuegra del Pino Tutor: Arsenio Tortajada Gallego Máster Interuniversitario en Seguridad de las Tecnologías de la Información y la Comunicación
Más detallesXXX Implementación ISO 27001:2013. Informe ejecutivo
XXX Implementación ISO 27001:2013 Informe ejecutivo Metodología Contextualización Como primer paso se realiza la contextualización de la empresa a la que se va a realizar el análisis Necesario para conocer
Más detalles*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]
*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] Autor: Vanesa Gil Laredo Responsable Consultoría S21Sec CISA, CISM, CGEIT, CRISC, CDPP, Lead Auditor, QSA Fecha: 21 Diciembre 2011
Más detallesAUDITORIA EN SISTEMAS NORMA DIANA NATALY CUERVO BAQUERO JULIAN DAVID HERNANDEZ RIVERA
AUDITORIA EN SISTEMAS NORMA 27000 DIANA NATALY CUERVO BAQUERO JULIAN DAVID HERNANDEZ RIVERA CORPORACIÓN UNIFICADA NACIONAL DE EDUCACIÓN SUPERIOR GRUPO 30104 Bogotá, 07 de Octubre de 2013 NORMA 27000 Qué
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 21 de diciembre de 2015 POL-01-03
DE SEGURIDAD DE LA INFORMACIÓN 21 de diciembre de 2015 POL-01-03 INDICE 1. Antecedentes... 2 2. Objeto... 2 3. Contexto del Desarrollo del SGSI en ZERTIFIKA... 2 4. Partes Interesadas, sus necesidades
Más detallesSEGURIDAD, NUEVOS RETOS
SEGURIDAD, NUEVOS RETOS APROSIP Profesionales de la Seguridad Medidas de seguridad en infraestructuras críticas y certificaciones normativas Sevilla, 26 de noviembre de 2015 Universidad Pablo de Olavide
Más detallesAPLICACIÓN N DE LA GESTIÓN N DE RIESGOS A LOS PRODUCTOS SANITARIOS
APLICACIÓN N DE LA GESTIÓN N DE RIESGOS A LOS PRODUCTOS SANITARIOS María Aláez DIRECTORA TÉCNICA QUÉ ES EL ANÁLISIS DE RIESGOS? Es un ejercicio metodológico que consiste en prever todos los posibles riesgos
Más detallesPROCEDIMIENTO IDENTIFICACIÓN Y ELIMINACIÓN DE CONFLICTOS DE INTERÉS EN CERTIFICACIÓN DE SISTEMAS Clave: QL-P-031
1. OBJETO Y CAMPO DE APLICACIÓN Este procedimiento tiene por objeto tratar de sistematizar la identificación de las empresas relacionadas dentro del grupo y fijar las bases para la eliminación de los posibles
Más detallesPROCEDIMIENTO DE GESTION DEL RIESGO
Aprobado: 24/08/2015 Página: 1 de 6 1. OBJETIVO Implementar y desarrollar estrategias de administración del riesgo a través de su adecuado tratamiento, representadas en actividades de control, acordadas
Más detallesESQUEMA NACIONAL DE SEGURIDAD Guía para responsables
ESQUEMA NACIONAL DE SEGURIDAD Guía para responsables Ernst & Young Junio 2011 Página 1 INDICE Introducción El Proceso Página 2 Introducción (I) Qué es el (ENS)? El 29 de enero del año 2010 se publica en
Más detallesPOLÍTICA DE GESTIÓN DE RIESGOS
1. OBJETIVO Reglamentar los lineamientos generales del Sistema de Gestión Integral de Riesgos de Sodimac Colombia S.A. para la identificación, valoración, tratamiento, monitoreo, comunicación y divulgación
Más detallesEL PLAN DIRECTOR DE SEGURIDAD DE LA SUBDIRECCIÓN GENERAL DE INFORMÁTICA
EL PLAN DIRECTOR DE SEGURIDAD DE LA SUBDIRECCIÓN GENERAL DE INFORMÁTICA Pedro Valcárcel Jefe de Servicio de Políticas de Seguridad. Área de Seguridad. Centro de Calidad, Auditoría y Seguridad SGI RESUMEN
Más detalles*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]
*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] Autor: Vanesa Gil Laredo Responsable Consultoría S21Sec CISA, CISM, CGEIT, Lead Auditor, QSA Fecha: 14 Marzo 2011 ÍNDICE S21Sec, Servicios
Más detallesAnexo O. Cálculo de la Inversión del Proyecto
. Participantes del Proyecto Anexo O. Cálculo de la Inversión del Proyecto Participante Descripción Cargo Representante Patrocinador del Comité de Seguridad Responsable Del Consultor Experto en seguridad
Más detallesANÁLISIS DE RIESGOS APLICANDO LA METODOLOGÍA OWASP
ANÁLISIS DE RIESGOS APLICANDO LA METODOLOGÍA OWASP About Me Alvaro Machaca Tola Experiencia laboral en áreas de seguridad de la información, seguridad informática y auditoria de sistemas en entidades financieras,
Más detallesMetodologías de Seguridad de la Información. Dr. Erbert Osco M.
Metodologías de Seguridad de la Información Dr. Erbert Osco M. Qué es la seguridad? La situación ó estado de algo, que se adquiere al estar libre de riesgo o peligro. Se logra por que algo nos da o asegura
Más detallesRelaciones contractuales con Defensa
Gestión de riesgos Relaciones contractuales con Defensa Ilmo. Sr. D. JUAN RAMÓN DE MIGUEL VELASCO Jefe del ÁREA de INSPECCIONES INDUSTRIALES SDGINSERT/DGAM Ministerio de Defensa - ESPAÑA Índice 1. Marco
Más detallesGestión de la seguridad de la información: UNE 71502, ISO Antonio Villalón Huerta
Gestión de la seguridad de la información: UNE 71502, ISO 17799 Antonio Villalón Huerta avillalon@s2grupo.com Junio, 2004 Índice Introducción La norma UNE-ISO/IEC 17799 La norma UNE 71502 Gestión de la
Más detallesPlan de Administración de Riesgos SUPERINTENDENCIA NACIONAL DE SERVICIOS DE SANEAMIENTO - SUNASS PLAN DE ADMINISTRACIÓN DE RIESGOS
SUPERINTENDENCIA NACIONAL DE SERVICIOS DE SANEAMIENTO - SUNASS PLAN DE ADMINISTRACIÓN DE RIESGOS Junio - 2015 PLAN DE ADMINISTRACIÓN DE RIESGOS I. INTRODUCCIÓN 1.1 Antecedentes Mediante Resolución de Contraloría
Más detallesAnálisis de Inversiones
Análisis de Inversiones 201 6Asturias: Red de Universidades Virtuales Iberoamericanas 1 Índice 1 Introducción... 3 2 Fundamentos del análisis de inversiones... 4 02 ASTURIAS: RED DE UNIVERSIDADES VIRTUALES
Más detallesVicerrectoría Administrativa Equipo de Gestión de Riesgos
Vicerrectoría Administrativa Equipo de Gestión de Riesgos Abril de 2012 Todas las intervenciones son válidas e importantes. Daremos buen manejo al uso de la palabra. Respetaremos las opiniones de nuestros
Más detallesMetodología Gestión del Riesgo
Metodología Gestión del Riesgo Objetivo Establecer lineamientos para la identificación y gestión de los riesgos, con el fin de asegurar el cumplimiento de la misión, visión y objetivos estratégicos de
Más detallesMATRIZ DE CONTROL INTERNO COMPONENTES Y NORMAS
MATRIZ DE CONTROL INTERNO COMPONENTES Y NORMAS No. COMPONENTE AMBIENTE DE CONTROL EVALUACIÓN DE RIESGOS Valor Añadido 5 8 Norma Valor NORMA ASOCIADA No. Desagregado DOCUMENTO. Integridad y valores éticos.
Más detallesGESTIÓN DE RIESGOS EN LA EMPRESA
LLUCH CONSULTING & TRAINING, S.L. GESTIÓN DE RIESGOS EN LA EMPRESA La Gestión del Riesgo es una herramienta que le ayudará a tomar decisiones de una forma lógica teniendo en cuenta la incertidumbre, la
Más detallesPolítica de Prevención de Delitos Mutua Universal
Política de Prevención de Delitos Mutua Universal Edición 18 octubre de 2017 Índice 1. Introducción 3 2. Objetivo 4 3. Ámbito de aplicación 4 4. Desarrollo de la Política de Prevención de Delitos 5 4.1
Más detallesSeguridad en Sistemas de Información Un recorrido a vista de pájaro
Seguridad en Sistemas de Información Un recorrido a vista de pájaro Evangelino Valverde Analista de Sistemas en la UCLM E.S.I. Ciudad Real. Abril de 2012 En qué pensamos cuando hablamos de seguridad?
Más detallesPlan de mejora de la Seguridad de la Información, a través de la implantación de un SGSI. Informe Ejecutivo
Plan de mejora de la Seguridad de la Información, a través de la implantación de un SGSI Informe Ejecutivo Nombre Estudiante: Carlos Vila Martínez Programa: Proyecto Final de Posgrado Gestión y Auditoría
Más detallesTABLA DE CONTENIDO 1. Objetivo. 2. Alcance. 3. Referencias. 4. Definiciones. 5. Descripción. 6. Registros. 7. Anexos.
1 de 14 TABLA DE CONTENIDO 1. Objetivo. 2. Alcance. 3. Referencias. 4. Definiciones. 5. Descripción. 6. Registros. 7. Anexos. 2 de 14 1.OBJETIVO. Identificar, priorizar y definir el tratamiento a los riesgos
Más detallesGestión de Riesgos. Angelo Ochoa
Gestión de Riesgos Angelo Ochoa ORIENTACIONES INICIALES De preferencia use conexión de banda ancha Cierre cualquier otro programa que pueda interferir en la transmisión de audio o en la conexión de Internet.
Más detallesHerramienta para la gestión de Riesgos Deliberados Físicos e Informáticos.
Herramienta para la gestión de Riesgos Deliberados Físicos e Informáticos www.cuevavaliente.com Índice 1. Por qué? 2. Para qué? 3. Evolución 4. Metodología 5. Funcionamiento 6. Licencias y Servicios 7.
Más detallesTitulación: Ingeniero en Informática. Curso 5º - Cuatrimestral ( ) Javier Jarauta Sánchez José María Sierra Rafael Palacios Hielscher
Seguridad Informática: : Análisis de Riesgos Titulación: Ingeniero en Informática. Curso 5º - Cuatrimestral (2005-2006) Javier Jarauta Sánchez José María Sierra Rafael Palacios Hielscher Indice: Análisis
Más detallesRESUMEN ANALÍTICO EN EDUCACIÓN - RAE FACULTAD DERECHO PROGRAMA DE PREGRADO BOGOTÁ D.C.
FACULTAD DERECHO PROGRAMA DE PREGRADO BOGOTÁ D.C. LICENCIA: CREATIVE COMMONS - ATRIBUCIÓN NO COMERCIAL SIN DERIVADAS 2.5 COLOMBIA (CC BY NC ND 2.5) AÑO DE ELABORACIÓN: 2017 TÍTULO: ANÁLISIS DE RIESGOS
Más detallesGUÍA DE PROCESOS PARA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)
GUÍA DE PROCESOS PARA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) LA NORMA ISO 27001: 2005 ESTABLECE QUE LA IMPLANTACIÓN DE PROCESOS PARA LA GESTIÓN DE SEGURIDAD DE LA
Más detallesIX CONGRESO ISACA COSTA RICA Gestión de riesgos de Continuidad de Negocio en función del negocio
IX CONGRESO ISACA COSTA RICA 2016 Gobierno, gestión y aseguramiento de las tecnologías de información. Gestión de riesgos de Continuidad de Negocio en función del negocio Framework para Gestión de Riesgos
Más detallesADMINISTRACION DE RIESGOS
ADMINISTRACION DE RIESGOS Objetivos Generales Que los participantes cuenten con los elementos conceptuales que les permitan en su organización revaluar los aspectos tanto internos como externos que puedan
Más detallesGestión de Riesgo Operacional de Sociedad Proveedora de Dinero Electrónico Mobile Cash, S.A (SPDE Mobile Cash, S.A.)
Gestión de Riesgo Operacional de Sociedad Proveedora de Dinero Electrónico Mobile Cash, S.A (SPDE Mobile Cash, S.A.) Introducción SPDE Mobile Cash, S.A., es una Entidad orientada a brindar servicios financieros
Más detallesEsquema Nacional de Seguridad 15/12/2011
Página 1 Esquema Nacional de Seguridad 15/12/2011 Gemma Déler PMP, CISA, ITIL Director Adjunto Unidad Tecnologías de la Información APPLUS NORCONTROL gemma.deler@applus.com Página 2 Quiénes somos? Multinacional
Más detallesPOLÍTICA DE GESTIÓN DE RIESGOS DE CORPORACIÓN FINANCIERA ALBA, S.A. 1
POLÍTICA DE GESTIÓN DE RIESGOS DE CORPORACIÓN FINANCIERA ALBA, S.A. 1 INDICE Introducción. Objetivos y políticas de gestión de riesgos 1.- Objeto 2.- Alcance 3.- Tipos de riesgos a los que se enfrenta
Más detallesLINEAS EXTREMEAS DE AUTOBUSES S.L. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
LINEAS EXTREMEAS DE AUTOBUSES S.L. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: D-02 Versión: 00 Fecha de la versión: 02/01/2017 Creado por: Aprobado por: Responsable del Sistema Gerencia Historial
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
PORTADA Elaborado y revisado: Área de Mejora de Procesos Aprobado: COMITÉ DE CALIDAD Y SEGURIDAD DE LA Observaciones Página 1/11 ÍNDICE 1 OBJETO... 3 2 ALCANCE... 3 3 TÉRMINOS Y DEFINICIONES... 3 4 MARCO
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN APIUX TECNOLOGÍA SPA
Página 1 de 8 POLÍTICA DE DE LA INFORMACIÓN APIUX TECNOLOGÍA SPA Aprobado Página 2 de 8 1. OBJETIVO Establecer directrices que determinen un uso adecuado de los activos de información, en las actividades
Más detallesMantenimiento certificación OEA
Cadena logística de suministro internacional Curso Formación Responsables OEA Mantenimiento de la certificación Dic 2010 Mapa de riesgos: cartografía del riesgo Identificación, evaluación, respuesta Planificación
Más detallesCODIGO VERSION POL 001 V.2 RESPONSABLE Equipo de Auditoria VIGENTE DESDE TIPO DE POLITICA Control y Gestión Julio 2014
NOMBRE DE LA POLITICA POLITICA DE AUDITORIA INTERNA CODIGO VERSION POL 001 V.2 RESPONSABLE Equipo de Auditoria VIGENTE DESDE TIPO DE POLITICA Control y Gestión Julio 2014 1. OBJETIVO DE LA POLITICA DE
Más detallesPROCEDIMIENTO DE VALORACION DE RIESGOS SISTEMA INTEGRADO DE GESTIÓN Código: EV- EV-PR02 Página: 1 de 5
Código: EV- EV-PR02 Página: 1 de 5 1. OBJETIVO Evaluar aspectos tanto internos como externos que puedan llegar a presentar amenaza para la consecución de las metas organizacionales con miras a establecer
Más detalles"Por Nuestra Tierra, por Nuestra Gente"
PROCEDIMIENTO PARA LA VALORACIÓN DEL RIESGO. DA.CI.01.01 Participantes del Procedimiento: Oficina de Control Interno, Las Secretarías y dependencias de la Administración Municipal. Responsable del procedimiento:
Más detallesGUÍA PARA LA ADMINISTRACIÓN DE RIESGOS
GUÍA PARA LA 1 1. Objetivo Establecer la metodología para la administración de riesgos de Empresas Públicas de Cundinamarca S.A. E.S.P en el marco del Sistema Integrado de Gestión. 2. Alcance Aplica para
Más detallesMetodologías para la implantación de SGSI
Metodologías para la implantación de SGSI Grupo de Seguridad Informática Instituto de Computación Facultad de Ingeniería - UdelaR mcorti@fing.edu.uy 24/06/2010 Contenido 1 Metodología para un grupo empresarial
Más detallesCONTINUIDAD DE NEGOCIO
CONTINAD DE NEGOCIO EMACOT 9 Abril 0 José Luis Quintero Villarroya 6 SEPTIEMBRE 0 Concepto abstracto. Intangible. Ciclo de vida Acciones: INFORMACIÓN Creación Tratamiento Envío Destrucción Obtención Elaboración
Más detallesNORMA UNE :2008 ANÁLISIS Y EVALUACIÓN DEL RIESGO AMBIENTAL
MR-RA. Responsabilidad ambiental. NORMA UNE 150008:2008 ANÁLISIS Y EVALUACIÓN DEL RIESGO AMBIENTAL José Luís Tejera Oliver Director de Desarrollo Estratégico y Corporativo Asociación Española de Normalización
Más detallesPROCEDIMIENTO DOCUMENTADO: GESTIÓN DE RIESGOS Y OPORTUNIDADES.
SISTEMA INTEGRADO DE GESTIÓN DE LA CALIDAD DE LOS SERVICIOS Y UNIDADES ADMINISTRATIVAS DE LA PROCEDIMIENTO DOCUMENTADO: GESTIÓN DE RIESGOS Y OPORTUNIDADES. CÓDIGO: PD 06 FECHA: 10-05-2018 REVISIÓN: 01
Más detallesJosé Ángel Peña Ibarra Vicepresidente Internacional ISACA japi@alintec.net
Metodologías y Normas Metodologías para el Análisis y Normas de para Riesgos el Análisis de Riesgos: Cuál debo aplicar? Vicepresidente Internacional ISACA Contenido 1. Fundamentos del Análisis de Riesgos
Más detallesSistema Integrado de Gestión. Gestión de Riesgos de SGST
Sistema Integrado de Gestión ISO 27001, ISO 9001, Ley de Control Interno y Ley de Seguridad y Salud en el Trabajo Gestión de Riesgos de SGST Agosto 2015 Objetivo Al término de la charla los facilitadores
Más detallesANEXO F Metodología de análisis de riesgos
Anexo F Metodología de análisis de riesgos. Como se ha descrito en el documento principal, la metodología elegida para el análisis de riesgos de Ícaro S.A. es MAGERIT. MAGERIT, sigue un proceso partido
Más detallesReglamento de Gobierno Corporativo
JM-62-2016 Reglamento de Gobierno Corporativo JM-62-2016, JM-102-2011, COBIT 4.1 By JAV juan.antoio.vc@gmail.com - 08/2016 CAPÍTULO I: DISPOSICIONES GENERALES Artículo 2: Definiciones Sistema de control
Más detallesBuenas Prácticas en Seguridad de la Información. Expositores
Buenas Prácticas en Seguridad de la Información Expositores ÍNDICE Buenas Prácticas en Seguridad de la Información Objetivo Productos Cronograma Como seguimos Contacto BUENAS PRÁCTICAS en SEGURIDAD de
Más detallesQué es la auditoría interna?
LA GESTIÓN DEL RIESGO VISIÓN DE LA AUDITORÍA INTERNA Qué es la auditoría interna? Normas Internacionales La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida
Más detallesANEXO E Gestión de roles y responsabilidades
Anexo E Gestión de roles y responsabilidades 1. Responsable de Seguridad El Responsable de Seguridad es la figura personal más importante en el desarrollo de la seguridad de la información. Este rol, será
Más detallesPOLITICA DE SEGURIDAD DE LA INFORMACION
POLITICA DE SEGURIDAD DE LA INFORMACION 1. OBJETIVOS Proteger los recursos de la información de AFILCO SEGURIDAD LTDA, utilizada para su procesamiento, con el fin de asegurar el cumplimiento de la confidencialidad,
Más detallesGlosario de términos en calidad de salud.
Glosario de términos en calidad de salud. El presente glosario busca realizar un aporte para poder acordar la terminología vinculada a la calidad en salud. De esta manera se contribuye a facilitar la discusión
Más detallesVOCENTO POLITICA DE GESTIÓN DE RIESGOS
VOCENTO POLITICA DE GESTIÓN DE RIESGOS APROBADA POR EL CONSEJO DE ADMINISTRACIÓN EL 13 DE NOVIEMBRE DE 2014 ÍNDICE 1. OBJETO 2. ALCANCE 3. PRINCIPIOS 4. FUNCIONAMIENTO 5. TIPOS DE RIESGO 6. RESPONSABILIDADES
Más detallesANÁLISIS DE RIESGOS. Clara Simón de Blas Alberto Olivares Universidad Rey Juan Carlos
ANÁLISIS DE RIESGOS Clara Simón de Blas (clara.simon@urjc.es) Alberto Olivares (alberto.olivares@urjc.es) Universidad Rey Juan Carlos Master en Ingeniería de la Decisión Clara Simón de Blas, Alberto Olivares
Más detallesManual de Procedimiento. Procedimiento Identificación de Peligros Gestión del Riesgo y el Cambio
. 1. Objetivo: Describir la metodología para la Identificación de Peligros, análisis de consecuencias, la evaluación de los riesgos y de los cambios, para las operaciones de vuelo y los trabajos de mantenimiento
Más detallesAdecuación al Esquema Nacional de Seguridad
Adecuación al Esquema Nacional de Seguridad Madrid,27 de mayo de 2013 Miguel A. Amutio Gómez Jefe de Área de Planificación y Explotación Ministerio de Hacienda y Administraciones Públicas Contenidos 1.
Más detallesServicio Nacional de Aprendizaje SENA Centro de Teleinformática y Producción Industrial Regional Cauca
Conceptos y Principios de la Seguridad Informática Calidad y Seguridad Informática ISO IEC 27001 Servicio Nacional de Aprendizaje SENA Centro de Teleinformática y Producción Industrial Regional Cauca Temática
Más detallesSistema de Gestión de Seguridad de la Información Esquema de Implantación. Cristina García Pérez
Sistema de Gestión de Seguridad de la Información Esquema de Implantación Cristina García Pérez Familia de Normas ISO 27000 ISO/IEC 27000 ISO/IEC 27001 ISO/IEC 27002 ISO/IEC 27003 ISO/IEC 27004 ISO/IEC
Más detallesPLENARIA: - RIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL. -
PLENARIA: - RIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL. - Lima, Perú 19 de Agosto 2016. Presentado en el 5o. Seminario Internacional de Riesgo Operacional 2016 organizado por la
Más detallesMinisterio de Educación Pública Dirección de Planificación Institucional Departamento de Control Interno y Gestión del Riesgo
GUIA PARA LA APLICACIÓN DEL SISTEMA ESPECÍFICO DE VALORACIÓN DE RIESGOS DEL MINISTERIO DE EDUCACIÓN PÚBLICA (SEVRI-MEP) EN CENTROS EDUCATIVOS Octubre, 2015 Teléfono 2256-8540 1 Elaborado por: Revisado
Más detallesTaller de Sistemas de Gestión de la Seguridad Operacional (SMS) en los aeródromos.
TALLER DE SMS/AERÓDROMOS DEL PROYECTO F1 SOBRE CERTIFICACIÓN DE AERÓDROMOS EN LA REGIÓN CCAR Taller de Sistemas de Gestión de la Seguridad Operacional (SMS) en los aeródromos. Módulo Nº 6 Curso de sistemas
Más detallesCURSO - TALLER ANÁLISIS DE RIESGOS
CURSO - TALLER ANÁLISIS DE RIESGOS EN PROYECTOS APP AGROALIMENTARIO Y AGROINDUSTRIAL MTRO. JULIO TORO CEPEDA Enero 2017 Contenido Conceptos Generales Análisis de Riesgo Objeto del Análisis de Riesgo Estudio
Más detallesPOLÍTICA DE GESTIÓN DE RIESGOS
POLÍTICA DE GESTIÓN DE RIESGOS INTRODUCCIÓN OPAIN S.A. está comprometida con la generación de valor y la sostenibilidad. Para lograr este fin, la gestión integral de riesgos es un principio prioritario
Más detallesGUIA DE RESPONSABILIDADES EN EL USO DE DISPOSITIVOS MÓVILES
Objeto: Definir los lineamientos para el uso adecuado de los dispositivos móviles tales como celulares inteligentes, tabletas, cámaras digitales y demás equipos de conexión inalámbrica, tanto personales
Más detallesCurso de Seguridad/Bioseguridad en el Laboratorio Clínico 29/10/2012. Dra. Celmira Martínez Aguilar 1
Guía de Bioseguridad para Laboratorios Clínicos Bioseguridad: Gestión del riesgo en el laboratorio clínico Dra. Verónica Ramírez M. Depto. Laboratorio Biomédico Nacional y de Referencia Octubre, 2013.
Más detallesEl Esquema Nacional de Seguridad
Mesa redonda sobre El Esquema Nacional de Seguridad Universidad de Girona 26 de mayo de 2010 Miguel A. Amutio Ministerio de la Presidencia 1 Ley 11/2007, art. 42 > Real Decreto 3/2010, de 8 de enero Ámbito
Más detallesSEGURIDAD INFORMATICA. Vulnerabilidades
SEGURIDAD INFORMATICA Vulnerabilidades Amenazas Riesgos GESTION DEL RIESGO En los sistemas informáticos se presentan: Vulnerabilidades Amenazas Riesgos La INTEGRIDAD La CONFIDENCIALIDAD La DISPONIBILIDAD
Más detallesSistema de Gestión de Seguridad de la Información ISO 27001
Sistema de Gestión de Seguridad de la Información ISO 27001 CONTENIDO INTRODUCCIÓN Necesidades de un SGSI y estructura normativa ESTRUCTURA DE LA NORMA Cláusulas de ISO 27001:2005 y comentarios OBJETIVOS
Más detallesPOLÍTICA DE GESTIÓN DE RIESGOS
POLÍTICA DE GESTIÓN DE RIESGOS INTRODUCCIÓN Odinsa está comprometida con la generación de valor y la sostenibilidad de los negocios en los que participa. Para lograr este fin, la gestión integral de riesgos
Más detalles