Proceso de Remediación, Parche o Upgrade?



Documentos relacionados
"IT Governance" Diciémbre 06, Copyright 2004 Rendón&Asociados Derechos Reservados.

Proceso: AI2 Adquirir y mantener software aplicativo

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Portafolio de Servicios.

ITIL Foundations V 3.0

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRC

RESPUESTAS DEL PETI (Plan Estratégico de Tecnologías de Información) 1. En los TDR se especifica en el punto 7. CARACTERÍSTICAS DE LA DOCUMENTACIÓN

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

IFCT0609 Programación de Sistemas Informáticos

NUESTROS SERVICIOS Arquitectura de Soluciones

La calidad no está reñida con los costes

IMPLEMENTADOR LÍDER ISO 27001

La garantía del experto en seguridad adaptada

LINEAMIENTOS DE BASES DE DATOS

comunidades de práctica

POLÍTICA INFORMÁTICA DE LA UNIVERSIDAD POLITECNICA DEL BICENTENARIO. Capítulo I Disposiciones Generales

HISTORIAL DE CAMBIOS MOTIVO DEL CAMBIO. DESCRIPCION DEL CAMBIO Elaboración del Documento VERSION FECHA N/A

AUDITOR LÍDER ISO 27001

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

IMPACTO DEL DESARROLLO TECNOLOGICO EN LA AUDITORIA

Tecnologías de la Información (TI) como soporte a una empresa de producción en Perú

Gestión de Permisos. Bizagi Suite. Copyright 2014 Bizagi

PUBLICACIÓN PAGINA WEB

JIAP 2011 Transitando hacia una Organización Gestionada por Procesos. Diego Karbuski - Agosto 2011

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V.

1. Cuál es el objetivo del Diseño del Sistema de Información? del sistema. información. a. 5. b. 4. c. 3. d. 2. c. Diseño de. b.

Grado en Ingeniería Informática

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Organismos relacionados con TI

Diplomado [Supply. Chain Management]

PLATAFORMA ERM. [Enterprise Risk Management] Control y Monitoreo en una sola Plataforma ERM.

Gestión de continuidad del negocio un enfoque resilente basado en el estándar ISO 22301

MANUAL SISTEMA ENCRIPTACIÓN DE HECHOS RESERVADOS

Este dominio consta de 7 procesos que se describen a continuación.

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

Tecnología de la Información. Administración de Recursos Informáticos

BROCHURE CORPORATIVO Web: Mail: Facebook: ITConsultingPeru

PORTAFOLIO DE SERVICIOS

Soluciones Tecnológicas

Resumen General del Manual de Organización y Funciones

CURSO /TALLER ACTUALIZACIÓN NORMA ISO 27001:2013 CON ÉNFASIS EN GESTIÓN DEL RIESGO ISO 31000:2009

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

Fundación Área de Gestión de Procesos Concha y Toro

CURSO /TALLER AUDITOR INTERNO ISO 22301:2012

[Clave Proyecto] - Plan de Administración de la Configuración del Proyecto

TITULO. Gobernabilidad de TI & Seguridad de la Información

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

RESOLUCIÓN DEL SUPERINTENDENTE SUGEF-R

Quienes Somos? Valor. Estrategia

MOC Administración SharePoint 2013 Core & Advanced

NUESTRO TRABAJO MISIÓN VISIÓN. Gracias a que nos identificamos con nuestros. clientes, podemos reconocer, entender y satisfacer rápidamente

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

ESPECIALIZACIÓN EN GESTIÓN DE BASE DE DATOS GUÍA DIDÁCTICA PARA LA GESTIÓN DE PROYECTOS Código: EGBD-P01-GD01

AUDITORÍA AL GOBIERNO DE TI USANDO COBIT 5. Visión General

ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT)

PROGRAMACIÓN DE SISTEMAS INFORMATICOS. Certificado de profesionalidad IFCT0609

Índice. Que es SFIA? Estructura del modelo. Compatibilidad Algunas implementaciones Desarrollo participantes

Business Intelligence Strategy Framework Cómo elaborar la estrategia de Inteligencia de Negocios en su organización? Javier Bermúdez, MBA

METODOLOGIAS DE AUDITORIA INFORMATICA

FICHA DE PROYECTO PLANEACIÓN TACTICA. Permanente. de Servicios de Tecnologías de Información. Tecnologías de la información y comunicación.

Ventajas del software del SIGOB para las instituciones

Cómo Asegurar la Calidad de Servicios de TI?

CL_50400 Designing, Optimizing, and Maintaining a Database Administrative Solution for Microsoft SQL Server 2008

Capacidades Requeridas en un Help Desk Manager

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES

NUESTROS SERVICIOS Arquitectura de Soluciones

METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.

Programa de Desarrollo Profesional en Mejora del Proceso de Software

CURSO TALLER. Implementador Norma ISO sobre Gestión de Seguridad de la Información

Evaluación del ROI en implementación de Sistemas de Gestión de Activos Mineros. Universidad Técnica Federico Santa María

Audire V.3 FECHA DEL BOLETÍN BOLETIN 15

ANEXO 17 EQUIPO DE TRABAJO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE PROGRAMA AGENDA DE CONECTIVIDAD. CONVENIO INTERADMINISTRATIVO No.

Arturo Custodio Izquierdo, Oscar Alberto Chávez Bosquez Fecha de elaboración: 26 de Mayo de 2010 Fecha de última actualización:

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN

Solicitud CRMA Solicitud de Reconocimiento de Experiencia Profesional para Institutos con Acuerdo de Certificación

Somos una empresa con trayectoria en el mercado ERP con profundos conocimientos de la Actividad.

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS MADRID info@mope.

ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA

Auditorías Proactivas del Gobierno de TI

INFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DE TRABAJO DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA

Principales Cambios de la ISO 9001:2015

Curso Fundamentos de ITIL

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

TEMA 1: INTRODUCCIÓN A SERVICIOS TI

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

Gestión de la Seguridad de Activos Intelectuales

GESTIÓN CALIDAD AUDITORIAS INTERNAS DE CALIDAD

Modelo de Seguridad de la Información. Luis Mauricio Vergara Enero de 2013

PORTAFOLIO DE SERVICIOS

Contenido del Curso. La metodología del curso está orientada a la consecución de los objetivos enunciados y está conformada por:

PROCESOS Y PROCEDIMIENTO METODOLOGÍA PARA LA GESTIÓN DE PROYECTOS INFORMÁTICOS EN CORPAC S.A.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

PROGRAMA DE GESTIÓN DOCUMENTAL

La integración del Manejo del Cambio Organizacional y de la Administración de Proyectos

DIPLOMADO EN GESTION IT - SEGURIDAD Y CONTINUIDAD UNIVERSIDAD SEK 2014

CATÁLOGO DE SERVICIOS DE LA GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Calidad de Servicios de. Juan Manuel Fernández Peña 2011

DESCRIPCIÓN DE PUESTOS

Monitoreo de Plataformas TI. de Servicios

6427 Configuring and Troubleshooting Internet Information Services in Windows Server 2008

Transcripción:

INFO-RIESGO 2014 Proceso de Remediación, Parche o Upgrade? Fabián Descalzo, Gerente de Governance, Risk & Compliance (GRC) Certificado en Dirección de Seguridad de la Información (Universidad CAECE) Instructor Certificado ITIL version 3:2011, Certification for Information Management Certificado ISO/IEC 20000-1:2011, Implementación de Sistemas de Gestión IT Internal Audit ISO/IEC 20000:2011, Auditor Interno en Sistemas de Gestión IT 1

Nuevas Regulaciones, Requerimientos por Certificación, Planes de Trabajo por Auditorías, Actualización Tecnológica El principio Lo regula NEGOCIO Lo elige Impactan en Procesos de Negocio Deben acompañar 2

IDENTIFICAR LA BRECHA Y DESPUÉS? Situaciones de Crisis Aplicaciones Software de Base Hardware Áreas de Negocio Tecnología y Seguridad 3

Situaciones de Crisis Tiempo + Recursos + Conocimiento 4

Decidiendo el remedio Cuál es la mejor versión que quiero de mis sistemas y procesos? Parche o Upgrade? Que el remedio cure la enfermedad 5

Necesidades del Negocio Asociándose con el Negocio Necesidades de los Procesos Tecnológicos 6

Asociándose con el Negocio Procesos de Áreas de Negocio Negocio soportados por la tecnología Operaciones Nivel de Cumplimiento Tecnología de la Información Arquitectura Desarrollo Sistemas de Procesamiento Seguridad Organizacional Seguridad de la Información Seguridad Informática Seguridad Física Seguridad Legal 7

Como llegar a la mejor versión Principales actividades para una remediación efectiva Definición de estrategias en función de observaciones, alcances y experiencia Identificación de recursos técnicos y humanos Definición de roles y funciones bien definidos Conformación de equipos de trabajo Capacitación a los diferentes equipos de acuerdo a su visión de objetivo y a su participación en la remediación Definición de las evidencias a obtener y su formato Seleccionar la documentación que nos sirva para operar, seguir y controlar la remediación 8

Resultado del análisis de brecha Cantidad de Plataformas Alcance de Observaciones Aplicaciones alcanzadas Configuraciones técnicas Magnitud de No- Conformidades Cuentas de usuario Accesos, permisos y privilegios Aporta a Documentación de Soporte Conformación de los Equipos de Trabajo 9

Orden lógico de ejecución 1 Sistema Operativo Parámetros Carpetas compartidas Cuentas de Usuario Permisos Servicios 2 Base de Datos Parámetros Cuentas de Usuario Permisos 3 Aplicación Parámetros Cuentas de usuario Funciones Inconsistencia en el software de base que generan demoras y retrabajo sobre la aplicación (Interfaces, Tareas Programadas, Cuentas Especiales, Servicios, etc.) 10

Equipos de Trabajo Capacitación y definiciones de cumplimiento Jefes de Aplicación o Líderes Funcionales de Sistemas Conocedores del funcionamiento aplicativo para responder a los requerimientos del Negocio Compliance Seguridad de la Información Tecnología Servicio consultivo y de soporte técnico Líderes de Proyecto Adm SO Adm BBDD Operación Acompañamiento y operación de relevamiento y remediación 11

Identificación de argumentos de remediación Normas Estándares Remediación posible y cumpliendo los plazos Remediación posible pero fuera de plazo con Plan de Trabajo Matriz de Revisión No se puede remediar y debe exceptuarse Aplicaciones Plataformas Definición de Registros y Documentos para Control y Seguimiento 12

Definición de registros para evidencias Tipo y formato de evidencia Completitud de datos a obtener por evidencia Estrategia de Generación y administración de evidencias Certifica que la remediación ha sido efectiva y evidencia aceptada por una probable Auditoría Optimiza la operación de obtención y el volumen de archivos de datos a tratar y almacenar 13

Gestión de Excepciones Análisis de mitigantes Respaldar Registrar Limitaciones Funcionales CIA Obsolescencia Tecnológica 14

Diseñar la Capacitación (Ampliar la Visión) Equipo Técnico Entendimiento del Proyecto y motivos de los cambios Equipo Funcional Estrategias asumidas Roles y funciones Contexto Aplicativo (Procesos de Negocio, Manuales) Componentes del Marco Normativo Excepciones 15

Plan definido para la mejora Análisis de brecha Orden de Ejecución Armado de Equipos de trabajo Argumentos de Remediación Diseño de Capacitación Gestión de Excepciones Definición de Registros Ejecución ordenada en el tiempo especificado, orientada al resultado y de bajo impacto en el Negocio 16

Recordemos que todos somos el Negocio Valoremos cada participación que tengamos en los diferentes frentes de trabajo y aprendamos que la tarea en equipo nutre de conocimiento y 17

Muchas gracias por su atención FABIÁN DESCALZO Gerente de Governance, Risk & Compliance CYBSEC S.A. - www.cybsec.com (5411) 4371-4444 fdescalzo@cybsec.com 18

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback