Lecciones aprendidas en auditorías BCP
|
|
- Mario Paz Herrera
- hace 8 años
- Vistas:
Transcripción
1 Lecciones aprendidas en auditorías BCP Nelson Valero Ortega MBCP, CISA, CISM, CGEIT, CRISC
2 Agenda Introducción Protección total de activos Lecciones aprendidas Conclusiones
3 Agenda Introducción Protección total de activos Lecciones aprendidas Conclusiones
4 Introducción Gestión de la Continuidad del Negocio: Proceso holístico que identificar las amenazas potenciales para una organización y el impacto en las operaciones del negocio que dichas amenazas, de materializarse, podría causar., y que provee una estructura para la construcción de la resiliencia organizacional mediante la capacidad de dar una respuesta efectiva que salvaguarde los intereses de sus grupos de interés clave, la reputación, la marca y las actividades de creación de valor. Fuente: ISO Cláusula 3.4 Por tanto, el auditor debe verificar la existencia de un proceso de gestión de la continuidad del negocio que permita reducir las interrupciones a un nivel aceptable, combinando controles preventivos y de recuperación.
5 Introducción La Planeación de la Continuidad del Negocio se ha convertido en un componente fundamental dentro de la gestión y administración de riesgos en la organización..planificando lo inesperado.
6 Introducción Gestión de Riesgos Planeación de Continuidad ADMINISTRACIÓN DEL RIESGO Implementación de controles de seguridad Evento de Emergencia EJECUCIÓN DEL PLAN DE CONTINUIDAD Basada en NIST Identificar amenazasy vulnerabilidades para implementar controles adecuados que prevengan incidentes Identificar riesgo residual para los cuales el plan de continuidad debe ser definido para implementar procedimientos efectivos y eficientes Risk Assesment: Riesgo, amenaza, controles actuales, vulnerabilidad, probabilidad/posibilidad, impacto
7 Introducción Que motiva la continuidad de negocios? Las amenazas de cualquier tipo trasciendenlas fronteras geográficas, lo que significa que los eventos aparentemente no relacionados pueden afectar la capacidad de respuesta de cualquier país, cuidad o localidad. Terrorismo (Narcotráfico) Pandemia de gripe porcina Pandemia de gripa aviar Huracanes e Inundaciones Disturbios políticos (Partidos Políticos ) / Huelgas Terremotos / incendios Bombas / vandalismo Cambio climático Pandemia de Influenza Fallas: Eléctrica, de Red, UPS Dependencia de terceros Ciberterrorismo (Datos Corruptos pérdida de datos, Hackers, Virus)
8 Hay un gran número de planes interrelacionados Desastre Tiempo Plan de Protección y Mitigación Plan de Respuesta a Incidentes Plan de Respuesta a Emergencias Plan de Manejo de Crisis Plan de Recuperación Plan de Restauración Plan de Comunicación Plan de Formación y Sensibilización Plan de Pruebas y Ejercicios Basada en PECB ISO Lead Implementer Course
9 Definición de los Objetivos de Recuperación. ISO 22310, Cláusula 3.25, 3.26, 3.28, Punto Objetivo de Recuperación (RPO Recovery Point Objective) Tiempo Objetivo de Recuperación (RTO Recovery Time Objective) Punto en el cual la información utilizada por una actividad deberá ser restauradapara permitir la reanudación de la actividad. Interrupción Máxima Aceptable (MAO Maximun Acceptable Outage) Periodo de tiempo después de un incidente dentro delcual: un producto o servicio debe ser reanudado; o una actividad debe ser reanudada; o los recursos deben ser recuperados. Objetivo de Continuidad Mínima del Negocio (MBCO Minimun Business Continuity Objective) El tiempo que tomaría para que los efectos adversos, los cuales podrían surgir como resultado de no ofrecer un producto/ servicio o por no ejecutar una actividad a,lleguen a ser inaceptables. Período máximo tolerable de interrupción MTPD (misma definición que MAO) Niveles mínimos de servicios y/o productos que son aceptables para la organización para alcanzar sus objetivos de negocio durante una interrupción.
10 Resumen de los Objetivos de Recuperación Punto objetivo de recuperación(rpo) Tiempo objetivo de recuperación (RTO) Interrupción Máxima Aceptable (MAO / MTDP) Plan de Mitigación y Medidas de Protección Plan de respuesta a incidentes Plan de Entrenamiento y Sensibilización Plan de Recuperación Desastre Plan de restauración 100% 40% 0% Nivel normal de Servicio Objetivo Mínimo de Continuidad del Negocio (MBCO) Horas Días Semanas Meses Tiempo Último Backup Punto en que se alcanza el Mínimo Servicio a Recuperar Basada en PECB ISO Lead Implementer Course Retorno a la Normalidad
11 Sector Financiero Fuente: Deloitte Global Financial Industry Security Study 2012
12 Sector Financiero Fuente: Deloitte Global Financial Industry Security Study 2012
13 Industria Telecomunicaciones Top vulnerabilities Una cadena es tan fuerte como su eslabón más débil! El 92% de los encuestados, de organizaciones con más de 10,000 empleados, califican las brechas de seguridad con terceras partes como amenazas promedio o altas Fuente: Deloitte 6 th Global TMT Securtiy Study
14 Agenda Introducción Protección total de activos Lecciones aprendidas Conclusiones
15 TAP Total Asset Protection TM Las organizaciones están entendiendo que fortalecer su habilidad para continuar el negocio al enfrentar una interrupción es crucial para su supervivencia. Entender sus riesgos e identificar el impacto sobre sus activos es la base para la toma de decisiones.
16 TAP Total Asset Protection TM El enfoque de Protección Total de Activos (Total Asset Protection) busca la protección y recuperación de los 5 tipos de activos clave en las organizaciones (BETH3) Deloitte BETH3 -Total Asset Protection TM Approach
17 TAP TM - Metodología Fuente: Deloitte BCM Methodology TM
18 Agenda Introducción Protección total de activos Lecciones aprendidas Conclusiones
19 Lecciones Aprendidas Fuente: Deloitte BCM Methodology TM Las política de continuidad no reflejan el compromiso del alta Gerencia. No existe una definición clara de Roles y responsabilidades en operación normal y durante la situación de crisis No es clara la definición ni la aplicación de una metodología de continuidad No se evidencia liderazgo y participación de la alta Gerencia.
20 Lecciones Aprendidas Fuente: Deloitte BCM Methodology TM La identificación de procesos clave se realiza a partir de lineamientos de la Gerencia (o de TI) y no del análisis de las necesidades del negocio.
21 Lecciones Aprendidas Fuente: Deloitte BCM Methodology TM Cuentan con evaluación de riesgo operativo, pero no se contemplan el impacto de los riesgos de no disponibilidad. No se evalúa el impacto de los riesgos sobre activos clave (BETH3 TM ) En muchos casos no se identifican planes de mitigación
22 Lecciones Aprendidas Fuente: Deloitte BCM Methodology TM El RTO y RPO muchas veces se define en función de la visión de TI, no del proceso/negocio. No se identifican claramente las dependencias internas ni las externas (proveedores). No se identifican los periodos críticos de operación de los procesos. Solo se identifica el personal clave, pero no se detallan los requerimientos mínimos de operación ni el nivel de operación aceptable (MBCO)
23 Lecciones Aprendidas Fuente: Deloitte BCM Methodology TM Las estrategias de continuidad no consideran todos los activos clave (BETH3 TM ) ni responden a los escenarios de riesgos identificados. El centro de operación alterno y el centro de operación principal están expuestos al mismo evento de riesgo. Las estrategias no están alineadas con los RTO y RPO de los procesos clave. Las estrategias de recuperación de desastres y de procesos se implementan parcialmente. Los proveedores no son considerados como parte de las estrategias de continuidad.
24 Lecciones Aprendidas Fuente: Deloitte BCM Methodology TM Los planes de continuidad no incluyen la interrelación con los planes de emergencia y verificación de gente. No se integran los planes en un plan maestro de continuidad (desalineación procesos, TI, emergencia) El alcance y las premisas no se documentan formalmente. Se basan en el conocimiento del personal y no se detallan claramente las actividades para la recuperación.
25 Lecciones Aprendidas Fuente: Deloitte BCM Methodology TM Los cambios en los procesos y controles clave no se definen/documentan. Comunicación con autoridades no incluidos en los planes. No es clara la estrategia de comunicación a niveles estratégicos ni tácticos Ausencia de entrenamiento en gestión de crisis.
26 Lecciones Aprendidas Fuente: Deloitte BCM Methodology TM La gerencia no aprueba formalmente las estrategias ni los planes. No se realiza análisis integral de los recursos requeridos previamente a su adquisición.
27 Lecciones Aprendidas Fuente: Deloitte BCM Methodology TM Ausencia de estrategias para crear cultura frente a la continuidad de negocios. Ausencia de planes formales y estructurados de capacitación y concientización.
28 Lecciones Aprendidas Fuente: Deloitte BCM Methodology TM No se observa una estrategia clara para aumentar gradualmente la complejidad y alcance de las pruebas. No se define claramente los niveles de éxito de la prueba ni se documentan los resultados obtenidos (con sus planes de mejora). Los proveedores críticos no se incluyen en la ejecución de las pruebas.
29 Lecciones Aprendidas Fuente: Deloitte BCM Methodology TM No se tienen identificados los triggers que implican actualización de los planes. Ausencia de procedimientos de administración de cambios por lo cual la responsabilidad de actualizar los planes no recae en los dueños de los procesos. Desactualización de datos clave como contactos y configuraciones.
30 Lecciones Aprendidas Fuente: Deloitte BCM Methodology TM No se realizan auditorías internas sobre los planes de continuidad. No se definen métricas para asegurar la calidad de los planes y establecer su nivel de madurez.
31 Agenda Introducción Protección total de activos Lecciones aprendidas Conclusiones
32 Conclusiones El auditor debe conocer claramente los conceptos y criterios clave relacionados con la gestión de la continuidad del negocio que permita aplicar adecuadamente el escepticismo profesional y la generación de recomendaciones viables e implementables. La auditoría debe ser realizada de manera continua sobre los planes de continuidad evaluando la efectividad de los mismos. En las diferentes etapas del plan de continuidad se deben considerar los activos críticos de una organización en caso de desastre (enfoque BETH3 TH ). Se debe verificar la participación continua y el liderazgo de la alta gerencia así como de los dueños de los procesos.
33 Preguntas Nelson Valero
DRP y BCP: Continuidad Operativa
La capacidad para reestablecer las operaciones de TI y de negocio, ante eventos que pudieran interrumpir la habilidad de lograr sus objetivos estratégicos, es un elemento clave para las organizaciones
Más detallesSistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA
Sistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA Agenda Antecedentes Situaciones que no se consideran regularmente Factores críticos de éxito Sistema de Gestión de
Más detallesPOLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)
POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para
Más detallesRecuperación y Continuidad del Negocio
Recuperación y Continuidad del Negocio CONTENIDO ANTECEDENTES ALGUNAS EXPERIENCIAS REVISION DE CONCEPTOS GENERALES METODOLOGIA CONCLUSIONES QUE ES UN DESASTRE? Cualquier EVENTO MAYOR que afecte el funcionamiento
Más detallesSistema de Administración del Riesgos Empresariales
Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola
Más detallesLAFSA Latin America Financial Services Advisory
VI Congreso Regional de Riesgos CORERIF 2014 Gestión de Riesgo Tecnológico y Continuidad Operacional en Entidades Financieras Guatemala, 7 de Noviembre de 2014 Continuidad Operacional en el Sector Financiero
Más detallesPlan de Continuidad de Operaciones
Plan de Continuidad de Operaciones Acerca de la Normativa aplicable 2 Indice de Contenidos 1. Certificación Estándar Internacional DRII (Disaster Recovery Institute International) 3 2. Certificación Norma
Más detallesIntegrando un BCMS a las prácticas de gestión de la empresa: nuevo enfoque y normativa
Integrando un BCMS a las prácticas de gestión de la empresa: nuevo enfoque y normativa Graciela Ricci, CISA, CGEIT, CRISC Agenda Evolución de la práctica de BCM Necesidad de contar con un BCMS Cómo integrarlo
Más detallesCurso de Certificación BCI (Certified Business Continuity Institute) basado en la norma ISO22301:2012.
Curso de Certificación BCI (Certified Business Continuity Institute) basado en la norma ISO22301:2012. Conviértase en un Profesional certificado BCI en Continuidad de Negocio (BC) y obtenga un título con
Más detallesGestión de continuidad del negocio un enfoque resilente basado en el estándar ISO 22301
Gestión de continuidad del negocio un enfoque resilente basado en el estándar ISO 22301 About Me ISB Corp, una compañía dedicada a seguridad de la información, Business Continuity, Risk Management y Compliance.
Más detallesLic. Fabián Chiera CISSP, CISM, ITIL, CCSK, ISO 27001 LA, ISO 27001 Implementador Líder fabian.chiera@e-riskcorp.com Cellphone: (507) 6217.
Lic. Fabián Chiera CISSP, CISM, ITIL, CCSK, ISO 27001 LA, ISO 27001 Implementador Líder fabian.chiera@e-riskcorp.com Cellphone: (507) 6217.2314 Iniciación: Sponsor, Equipo de Proyecto, Budget y Planeamiento
Más detallesNoviembre-2012. Continuidad de Negocio Business Continuity Management (BCM)
Noviembre-2012 Continuidad de Negocio Business Continuity Management (BCM) :: Content 1 2 3 4 5 Descripción General Administración de Riesgo Planes de Continuidad Ambiente de Gestión Tendencias :: BCM?
Más detallesSu aliado Estratégico. José E. Quintero Forero CISM, CRISC
Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios
Más detallesTendencias metodológicas de gestión de riesgo informático y continuidad del negocio. Adela Garzón Bejarano Septiembre 1 de 2010
Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio Adela Garzón Bejarano Septiembre 1 de 2010 Agenda 1. Riesgo en la banca electrónica Contexto Gestión de Riesgo en la
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesContinuidad. Más que sólo una palabra. Junio 2014
Continuidad Más que sólo una palabra Junio 2014 Continuidad Más que una palabra Importancia Definición Continuidad como verbo Tendencias Página 2 Importancia Página 3 Más que una palabra Página 4 De acuerdo
Más detallesGestión de Continuidad de Negocio Banco de la República
Gestión de Continuidad de Negocio Banco de la República Departamento de Gestión de Riesgos y Procesos Subgerencia de Gestión de Riesgo Operativo 2014 Unidad de Soporte y Continuidad Informática Dirección
Más detallesSistema de Gestión de Continuidad del Negocio de Acuerdo con
Sistema de Gestión de Continuidad del Negocio de Acuerdo con BS25999 e ISO 22301 Otb October 2011 Mario Ureña Cuate Mario Ureña Cuate CISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001 Agenda Introducción
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detalles[Guía de auditoría AudiLacteos]
[Guía de auditoría AudiLacteos] La siguiente es una guía para realizar la auditoria a la empresa AudiLacteos en procesos de CobiT. Los procesos contemplados en esta guía son: Adquirir y mantener software
Más detallesBS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008
BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo
Más detallesJornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management
Jornadas Rioplatenses de Auditoría Interna 2010 Agenda / Contenido Motivación Visión Moderna de BCM Aspectos Relevantes para Auditores Introducción a la Norma BS25999 Motivación Visión Moderna de BCM Aspectos
Más detallesLos retos de la Pyme en la elaboración de un DRP. Servicios de Consultoría Empresarial Pedro Antonio González H.
Los retos de la Pyme en la elaboración de un DRP Servicios de Consultoría Empresarial Pedro Antonio González H. Objetivo Determinar las condiciones generales de continuidad de la PYME. Conocer los conceptos
Más detallesContinuidad de Operaciones (COOP) y Continuidad de Gobierno (COG): Guía de implementación para empresas y gobiernos locales
Continuidad de Operaciones (COOP) y Continuidad de Gobierno (COG): Guía de implementación para empresas y gobiernos locales Ana Lucia Hill M. Crisis, Disaster & Risk Manager Business Continuity and Constinuity
Más detallesBusiness Continuity Plan. Barcelona, febrero de 2008
. Barcelona, febrero de 2008 Porqué un? Una buena definición de la continuidad del negocio ayuda a identificar los productos y servicios clave y como gestionarlos. Una mala gestión de la continuidad del
Más detallesTechnology and Security Risk Services Planes de Continuidad de Negocio
Technology and Security Risk Services Planes de Continuidad de Negocio AS TSRS Planes de Continuidad de Negocio Conjunto de tareas que permite a las organizaciones continuar su actividad en la situación
Más detallesModelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013
Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea
Más detallesGobierno, riesgo y cumplimiento
Gobierno, riesgo y cumplimiento Gobierno, Riesgo y Cumplimiento GOBIERNO Proceso por el cual políticas y objetivos son establecidas, mantenidas y efectivamente comunicadas a toda la organización. 2014
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detallesPROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES
PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES Objetivo del Procedimiento: Identificar y definir los componentes de configuración de los sistemas del SENA, registrando e informando
Más detallesUnidad 6: Protección Sistemas de Información
Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información U.N.Sa. Facultad de Cs.Económicas SIG 2015 UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad
Más detallesQué pasa si el entorno de seguridad falla?
Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad e Integralidad: Objetivos de la seguridad
Más detallesMETODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP
METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP La metodología recomendada en este documento para el desarrollo de un plan de recuperación ante desastres o DRP para los sistemas
Más detallesDominio de la implantación y gestión de un Sistema de Gestión de la Continuidad de Negocio (SGCN) basado en la norma ISO 22301
Dominio de la implantación y gestión de un Sistema de Gestión de la Continuidad de Negocio (SGCN) basado en la norma ISO 22301 Curso Líder Implementador ISO 22301 Visión General del Curso Este curso intensivo
Más detallesSEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO
SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información
Más detallesDE RIESGOS DE TI. GESTIÓN 1. INTRODUCCIÓN
GESTIÓN DE RIESGOS DE TI. 1. INTRODUCCIÓN Dentro de los modelos de gestión de TI soportados bajo el enfoque de procesos, gestión de riesgos y PHVA, se encuentran las normas ISO 27001, ISO 20000, ITIL y
Más detallesPOLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST
POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité
Más detalleswww.pinkelephant.com
1 Introducción Actualmente, se presentan con mayor frecuencia los desastres naturales. En los últimos años este tipo de fenómenos se multiplican en el mundo entero y muchos hablan de que en el futuro
Más detallesPolítica para la Gestión Integral de Riesgos
Política para la Gestión Integral de Riesgos MOTIVACIÓN Como empresa responsable, ISAGEN incorpora en su gestión las prácticas que permitan asegurar su sostenibilidad, preservando los recursos empresariales
Más detallesESCUELA DE POSTGRADO DE LA UNIVERSIDAD PRIVADA DE TACNA. Programa de Maestría en Informática PLAN DE ESTUDIOS MAESTRÍA EN INFORMÁTICA
PLAN DE ESTUDIOS MAESTRÍA EN INFORMÁTICA CICLO I CICLO II CICLO III CICLO IV Dirección y Liderazgo Organizacional Arquitectura y Diseño de Software Gestión de Inversión en TI Monitoreo y Control de TI
Más detallesBRIGADA DE EVACUACION GRUPO EXTINGUIDORES ZARAGOZA
BRIGADA DE EVACUACION GRUPO EXTINGUIDORES ZARAGOZA INDICE 1.- Objetivo 2.- Análisis General de Vulnerabilidad 3.- Tipos de Emergencia 4.- Brigadas de Emergencia 5.-Brigada de Evacuación 6.-Plan de Emergencia
Más detallesPOLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el
Más detallesMidiendo la efectividad de su programa de seguridad de información. Iván Campos 28 de Mayo de 2014
Midiendo la efectividad de su programa de seguridad de información Iván Campos 28 de Mayo de 2014 Contenido Conversemos Cuál es tu experiencia? 3 Retos identificados 4 # Definiciones 5 Programa de Medición
Más detallesCómo Asegurar la Calidad de Servicios de TI?
Cómo Asegurar la Calidad de Servicios de TI? Martín Ugarteche Crosby Southern Peru Copper Corporation Cuales son los pasos para construir un Sistema de Gestión de Servicios de TI? 1. Voluntad de querer
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesPRESENTACION PARA CLIENTES PLAN DE RECUPERACIÓN ANTE DESASTRES PARA LOS SISTEMAS DE INFORMACIÓN CRÍTICOS DE TIC - DRP
PRESENTACION PARA CLIENTES PLAN DE RECUPERACIÓN ANTE DESASTRES PARA LOS SISTEMAS DE INFORMACIÓN CRÍTICOS DE TIC - DRP 1 Cuales son algunos posibles desastres? 2 Conoce su situación actual ante desastres
Más detallesActualización en Protección Contra Incendios y Continuidad del Negocio. Bernardo Lenis Duque
Actualización en Protección Contra Incendios y Continuidad del Negocio Bernardo Lenis Duque Entorno Social y Ambiental Agresión Instrumental Sociedad informada y tecnológicamente compleja Identidad
Más detallesGestión de riesgo operacional
Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación
Más detallesPROYECTO Implementación del SGSI basado en ISO/IEC 27001:2013
de la Información PROYECTO Implementación del SGSI basado en ISO/IEC 27001:2013 Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna
Más detallesPlan de Continuidad de Negocio
DIA 3, Taller SGSI del ISMS FORUM SPAIN: Plan de Continuidad de Negocio Abel González Lanzarote Director Desarrollo de Negocio de ESA Security 23 de noviembre de 2007 1º ENCUENTRO NACIONAL DE LA INDUSTRIA
Más detallesPrograma de Continuidad Gubernamental
PROGRAMA DE CONTINUIDAD GUBERNAMENTAL Programa de Continuidad Gubernamental Necesidad de Proveer Continuidad: Motivos / Tendencias Efectos Negativos Alto incremento en riesgos (911, Inhabilidad de Tsunami,
Más detallesPuntos clave a la hora de abordar un plan de continuidad de negocio. Carolina de Oro
Puntos clave a la hora de abordar un plan de continuidad de negocio Carolina de Oro Definición y Alcance consiste en gestionar los riesgos para asegurar siempre que una organización pueda continuar operando,
Más detallesXITH. Auditorias de seguridad en TI. Presentación del servicio CONOCIMIENTO ESTRATEGIA CRECIMIENTO
Auditorias de seguridad en TI Presentación del servicio Agenda: 1. Qué es una auditoria de Seguridad? 2. Metodología de Implementación 3. Ejemplos de entregables 4. Porqué es necesaria? 5. Beneficios Qué
Más detallesCAS-CHILE S.A. DE I. 2013
CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR
Más detallesLINEAMIENTOS ADMINISTRACIÓN DEL RIESGO
LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesseguridad de la Información. Lucio Augusto Molina Focazzio, CISA IT Governance Committee member CobiT Accredited Trainer Certified ITIL
CobiT como promotor de la seguridad de la Información. H i l G bi d TI Hacia el Gobierno de TI Lucio Augusto Molina Focazzio, CISA IT Governance Committee member CobiT Accredited Trainer Certified ITIL
Más detallesControles en la. Dra. Elsa Estévez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.
Controles en la Administración de Seguridad Dra. Elsa Estévez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Plan de Recuperación
Más detallesDisaster Recovery Institute - España
Disaster Recovery Institute - España Curso de Planificación de la Continuidad del Negocio DRI ofrece los programas educativos de referencia en la industria de administración de riesgos y continuidad del
Más detallesSistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1)
INSTITUTO URUGUAYO DE NORMAS TECNICAS Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) Ing. Virginia Pardo 30 de Julio 2009 Servicios y calidad El proceso de proveer un servicio es la combinación
Más detallesEntendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015
Entendiendo los SGSI De la norma a la obtención de beneficios Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015 Índice 1. La nueva ISO27001:2013 2. El Proyecto 3. Proceso de Certificación 2 ISO27001
Más detallesRequisitos de control para los proveedores externos. Gestión de la continuidad del negocio (BCM)
Requisitos de control para los proveedores externos Gestión de la continuidad del negocio (BCM) Requisito de política de gestión de la continuidad del negocio (BCM) Descripción Niveles BCM: objetivo de
Más detallesAlgunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas
Gestión de la inseguridad de las aplicaciones: Un enfoque práctico Algunas estadísticas Problemática actual Agenda Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas
Más detallesANEXO TÉCNICO SERVICIO DE ANÁLISIS DE RIESGO DE PROCESOS DE NEGOCIO Y ANÁLISIS DE BRECHAS DE LA ESTRATEGIA DE CONTINUIDAD CONTENIDO
ANEXO TÉCNICO SERVICIO DE ANÁLISIS DE RIESGO DE PROCESOS DE NEGOCIO Y ANÁLISIS DE BRECHAS DE LA ESTRATEGIA DE CONTINUIDAD CONTENIDO A. CONSIDERACIONES GENERALES.... 2 I) REQUERIMIENTOS... 2 B. OBJETIVO
Más detallesPROGRAMA INTERNO DE PROTECCIÓN CIVIL
Abril 2009 SECRETARÍA DE GOBERNACIÓN SISTEMA NACIONAL DE PROTECCIÓN CIVIL COORDINACIÓN GENERAL DE PROTECCIÓN CIVIL DIRECCIÓN GENERAL DE PROTECCIÓN CIVIL PRESENTACIÓN El Programa Interno de Protección Civil,
Más detallesIntroducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos
CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los
Más detallespuede interrumpir la operación Administración de la Continuidad del Negocio.
Contenido: Antecedentes Marco Metodológico ISO 17799 Análisis de Impacto al Negocio Estrategias de Recuperación Plan de Recuperación de Desastres Pruebas y Actualización del Plan Conclusiones Contenido:
Más detallesTITULO. Gobernabilidad de TI & Seguridad de la Información
TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesITIL FOUNDATION V3 2011
ITIL FOUNDATION V3 2011 Examen de Certificación Instrucciones 1. Revise su Hoja de Respuesta, debe contener espacio para responder 40 preguntas y una sección para incorporar su Nombre 2. Espere por la
Más detallesMetodología para la Gestión de la Continuidad del Negocio
Metodología para la Gestión de la Continuidad del Negocio Por: Rodrigo Ferrer V. Año: 2015 Resumen Este artículo, busca exponer los pasos requeridos para diseñar e implementar un proceso de Gestión de
Más detallesPrograma de Especialización en Auditoria de Tecnologías de Información (IT Audit)
Programa de Especialización en Auditoria de Tecnologías de Información (IT Audit) Para las organizaciones en la actualidad, la información y la tecnología que las soportan representan sus más valiosos
Más detallesContinuidad de Negocio DRII/BCI/ISO
Continuidad de Negocio DRII/BCI/ISO Jorge Garibay j.garibay@pinkelephant.com Pink Elephant Leading The Way In IT Management Best Practices Agenda del Curso Introducción al DRII BCI ISO 22K Reseña Histórica
Más detallesGuía práctica para implementar un Sistema de Gestión en su empresa
Guía práctica para implementar un Sistema de Gestión en su empresa 23 DE SEPTIEMBRE DE 2013 ING. ROCÍO GUTIÉRREZ DÁVILA Qué es un Sistema de Gestión? 3.2.1 sistema conjunto de elementos mutuamente relacionados
Más detallesEvaluación del ROI en implementación de Sistemas de Gestión de Activos Mineros. Universidad Técnica Federico Santa María
Evaluación del ROI en implementación de Sistemas de Gestión de Activos Mineros Universidad Técnica Federico Santa María Gestión de Activos: La eficiencia en la Gestión de Activos Mineros es uno de los
Más detallesANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA
ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA 1.1. INTRODUCCION. De acuerdo con la definición del ITGI 1 se entiende por Gobierno de Tecnología como la: Responsabilidad
Más detallesCurso Fundamentos de ITIL
Curso Fundamentos de ITIL 1 Curso El curso de Fundamentos de ITIL introduce el concepto de Gestión de Servicio TI (IT Service Management o ITSM), el Ciclo de Vida del Servicio y un marco para identificar
Más detallesPatrocinio y Mantenimiento de las Iniciativas en Seguridad de la Información
Patrocinio y Mantenimiento de las Iniciativas en Seguridad de la Información Del proyecto a la gestión del día a día MSc. Fabián Cárdenas Varela CISSP, CISM, LA BS7799-2 NewNet S.A Propiedad Intelectual
Más detallesAbril 2014. Jorge A. Portales
Por qué Crear un Plan de Contingencias para mi Empresa? Y Que pasos seguir para Desarrollarlo, sin Morir en el Intento. Primer punto, Qué es un Plan de Contingencias? Un Plan de Contingencias es un modo
Más detallesSoluciones Integrales que brindan Calidad, Seguridad y Confianza
Soluciones Integrales que brindan Calidad, Seguridad y Confianza Agenda Introducción Objetivos y Alcance nfoque Metodológico strategia de Implementación 2 Introducción Presidencia instruyó a la Secretaría
Más detallesPor medio de la cual se crean Equipos Interdisciplinarios para la recuperación de procesos críticos del FNA.
RESOLUCIÓN 237 DE 2010 (septiembre 13) Diario Oficial No. 47.840 de 22 de septiembre de 2010 FONDO NACIONAL DE AHORRO Por medio de la cual se crean Equipos Interdisciplinarios para la recuperación de procesos
Más detallesSIG ANALISIS DE SEGURIDAD EN EL TRABAJO
PAGINA: 1 de 6 1. OBJETIVO Definir una metodología para realizar el análisis de los peligros en las tareas de alto riesgo llevadas a cabo en la organización y definir los controles para realizar los trabajos
Más detallesSistema de Gestión Integral con PAS 99, ISO 9001, ISO 27001, ISO
Sistema de Gestión Integral con PAS 99, ISO 9001, ISO 27001, ISO 20000, COBIT, BS 25999 / ISO 22301 Otb October 2011 Mario Ureña Cuate Mario Ureña Cuate CISA, CISM, CGEIT, CISSP, LA BS25999, LA ISO27001
Más detallesDefinición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010
Definición del Catalogo de Servicios V3 José Ricardo Arias Noviembre de 2010 ITIL vs COBIT Agenda Descripciones Generales ITIL vs COBIT Por dónde iniciar? Cuál es la importancia de la presentación? Las
Más detallesXXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998
XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS 1. Introducción
Más detallesIII Congreso Internacional - Supervisión del Servicio Eléctrico
III Congreso Internacional - Supervisión del Servicio Eléctrico Nuevo desafío de la regulación y supervisión: La gestión de activos Claudio Guidi Cusco, 6 y 7 de Setiembre de 2012 Contenido Situación Aplicar
Más detalles1.1. Sistema de Gestión de la Calidad
1.1. Sistema de Gestión de la Calidad ÁREA: GESTIÓN DE LA CALIDAD SISTEMA: GESTIÓN DE LA CALIDAD ETAPA I - OBJETIVOS REQUISITOS TÉCNICOS 2012 1. La institución realiza un diagnóstico del estado actual
Más detallesI. INTRODUCCIÓN DEFINICIONES
REF.: INSTRUYE SOBRE LA IMPLEMENTACIÓN DE LA GESTIÓN DE RIESGO OPERACIONAL EN LAS ENTIDADES DE DEPÓSITO Y CUSTODIA DE VALORES Y EN LAS SOCIEDADES ADMINISTRADORAS DE SISTEMAS DE COMPENSACIÓN Y LIQUIDACIÓN
Más detallesCURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información
CURSO TALLER Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información DESCRIPCIÓN DEL CURSO El curso explicará los fundamentos para liderar una iniciativa en seguridad de la información,
Más detallesAuditoría de procesos con alto grado de automatización*
Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente
Más detallesConsolidación de Centros de Datos Nuestro enfoque desde una perspectiva global
Consolidación de Centros de Datos Nuestro enfoque desde una perspectiva global Rosendo Ortiz Director Technology Integration Noviembre, 2012 AGENDA En qué consiste una consolidación? Mejores prácticas
Más detallesISO 9001:2015 Cuestionario de autoevaluación
ISO 9001:2015 Cuestionario de autoevaluación Qué tan preparado estás para la norma ISO 9001: 2015? Este documento ha sido diseñado para evaluar la preparación de su empresa para un Sistema de Gestión Calidad
Más detallesGestión del Servicio de Tecnología de la información
Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES
Más detallesPROPUESTA DE CERTIFICACION
PROPUESTA DE CERTIFICACION Ofrecemos asesorías para cualquier tipo de empresa en cuanto al diseño, implementación, certificación, mantenimiento y mejoramiento del Sistema de Gestión de Calidad (ISO 9001:2008),
Más detallesEl papel del liderazgo en la Continuidad del Negocio.
El papel del liderazgo en la Continuidad del Negocio. Presenta: Maricarmen García de Ureña Instructor Introducción a BSI Copyright 2013 BSI. All rights reserved. Quiénes somos? Organismo líder a nivel
Más detallesResumen de indicadores básicos de COBIT Preparado por: T I AUDISEG S.A.
Resumen de indicadores básicos de COBIT Preparado por: T I AUDISEG S.A. Utiles en los procesos iniciales para impulsar proyectos de implementación de gobierno Nota: Cobit posee más indicadores, estos se
Más detallesNORMAS TÉCNICAS PARA LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Versión para comentarios 30-06-2015
El COMITÉ DE NORMAS DEL BANCO CENTRAL DE RESERVA DE EL SALVADOR, CONSIDERANDO: I. Que de conformidad al artículo 2, inciso segundo de la Ley de Supervisión y Regulación del Sistema Financiero, para el
Más detallesCOBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a
5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio
Más detalles