SGPIC - Sistemas de Gestión de Protección de Infraestructuras críticas

Documentos relacionados
Sílabo de Auditoría de Sistemas

SELLO DE CIBERSEGURIDAD

CURSO DE PREPARACIÓN PARA EL EXAMEN INTERNACIONAL COMO GERENTE CERTIFICADO EN SEGURIDAD DE LA INFORMACIÓN C.I.S.M 2017

[Documento promocional] Maestría en Ciberseguridad

Caso Práctico: Proyecto de Certificación ISO 27001

TALLER. 19 y 20 de Julio 2016 Hotel Park Inn, San José. ISO-IEC Seguridad de la Información orientada al Negocio

MANUAL QHSE CARACTERIZACIÓN PROCESO GERENCIAL

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

DESPLIEGUE DEL MACROPROCESO DE ADMINISTRACIÓN Y MEJORAMIENTO DEL SISTEMA DE GESTIÓN

UNIVERSIDAD EXTERNADO DE COLOMBIA FACULTAD DE CONTADURIA PÚBLICA PROGRAMA DE PREGRADO ENFASIS PROFESIONAL NOMBRE DE LA MATERIA DISEÑO DE CONTROL

QUALITY MANAGER ISO 9001:2015 CERTIFICADO Con énfasis en gestión de riesgos bajo la norma ISO 31000

CASO PRÁCTICO PARA LA EJECUCIÓN DE UN BIA

Introducción a la Norma ISO 9001:2008

Auditoría de Controles usando COBIT 5 e ISO Carlos Lobos Medina, CISA, CISM Academico Universidad Diego Portales

Sustantiva Órgano Interno de Control. Subdirector de Infraestructura. Dirección de Infraestructura

Sistemas de Gestión de Calidad- Requisitos

ANEXO A: Síntesis del estándar ISO/IEC 27001:2005 [J]

Ciberseguridad. Viceministerio de Comunicaciones Hacia un Perú Digital. Lima, agosto de 2017

FACTORES DE ÉXITO EN EL DESARROLLO DE UN SGSI. Fabián Cárdenas Varela Área de Consultoría NewNet S.A.

Programa : Especialista en Gestión de la Seguridad de la Información- SGSI Con Certificación Internacional en ISO e ISO SYLLABUS

Introducción ECUADOR

APLICACIÓN DE LA NORMA ISO A LA GESTIÓN DEL RIESGO DE FRAUDE

SEMINARIO /TALLER RISK MANAGER FUNDAMENTADO EN LA NORMA ISO 31000:2009

Norma Heriberto Tirado Pinzon Carlos Andres Velasquez Luis Ernesto Guerrero

Nueva ISO 9001 Una norma que se adapta a su tiempo

INFRAESTRUCTURA CRÍTICA CIBERNÉTICA

EMISIÓN. Aplica a todos los procesos definidos dentro del alcance de cada Sistema de Gestión de Pronósticos para la Asistencia Pública.

Todos los derechos reservados para XM S.A.E.S.P.

CURSO PRÁCTICO Business Continuity Manager Basado en mejores prácticas del DRII, BCI, y las normas ISO e ISO 31000

PORTAFOLIO DE SERVICIOS EN PREVENCIÓN. Consultoría, Educación Empresarial, Auditoría y Evaluación

SISTEMAS DE GESTIÓN DE CALIDAD CON BASE EN LAS NORMAS ISO

PRESENTACIÓN CORPORATIVA. w w w. g l o b a l s u i t e. e s

ANÁLISIS ESTRATÉGICO DEL CONTEXTO

Liderazgo y revisión gerencial

Control de Actualizaciones

Auditorías de Seguridad de la Información

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

Infraestructura. estrategias de los altos 1. Liderazgo

SEGURIDAD DE INFORMACIÓN EN LAS EMPRESAS PERUANAS

UNIVERSIDAD DE GUADALAJARA Centro Universitario de la Costa Sur

MEJORES PRÁCTICAS CORPORATIVAS

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 21 de diciembre de 2015 POL-01-03

Política de seguridad

COBIT 5: Transforming Cybersecuriry

Gestión de la seguridad y Salud Ocupacional OHSAS 18001:2007 vrs ISO 45001:2017. Leonel de la Roca Phd

SALIDAS ACTIVIDADES PROVEEDOR INSUMOS PRODUCTOS CLIENTE Planear

Estructura 9001:2015

INTRODUCCIÓN ISO 9001:2015 QUÉ DOCUMENTAR?

SOLICITUD DE INFORMACIÓN PARA LA ELABORACION DEL ESTUDIO DE MERCADO

PLAN DE TRANSICIÓN DE LA CERTIFICACIÓN CON LA NORMA NTC 6001 (Fecha de emisión )

ISO 19011:2018. DIRECTRICES PARA LA AUDITORÍA DE SISTEMAS DE GESTIÓN

Sesión 2 Procesos Gerenciales Revisión de los Requisitos 4,5 y 6 ISO 9001:2015

Planificación estratégica de tecnología de información el primer paso para la atención integral del riesgo tecnológico en las organizaciones

CARTA IDENTIFICACIÓN OCUPACIONAL CARGO: GERENTE DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN. Coordinador TIC. Líder De Mejoramiento

Metodologías de Seguridad de la Información. Dr. Erbert Osco M.

Ciberseguridad, conciencia y retos para el Gobierno de Costa Rica

INSTITUTO FONACOT. Instituto del Fondo Nacional para el Consumo de los Trabajadores ( INFONACOT )

El papel de los profesionales ante la serie de normas ISO 30300

MODELO ESTÁNDAR DE CONTROL INTERNO- MECI DIRECCIÓN DE CONTROL INTERNO

POLÍTICA PARA LA ADMINISTRACIÓN DE RIESGOS

Smart decisions. Lasting value. Presentación de Servicios Sistemas de Gestión de Seguridad de la Información - Ciberseguridad

Sistemas de gestión de seguridad y salud en el trabajo como herramienta en la prevención de riesgos laborales

Plan Estratégico de Seguridad y Privacidad de la Información

BLOQUE ADMINSTRATIVO MAESTRIA EN ALTA DIRECCIÓN CORPORATIVA

Mejores Prácticas en la Operación de la Ciber Seguridad. Octubre del 2017

Desempeño Alineación Riesgo

Diana Rocio Plata Arango, Fabian Andrés Medina Becerra. Universidad Pedagógica y Tecnológica de Colombia,

Director de Tecnologías de la Información. Sustantiva Órgano Interno de Control. Dirección de Tecnologías de la Información

Formación de auditores internos OHSAS 18001:2007 Parte 1

ESTABLECIMIENTO DEL SGC INTERPRETACIÓN N DE LA ISO 9001:2000

PLAN DE TRABAJO MODELO ESTÁNDAR DE CONTROL INTERNO

NORMA TÉCNICA DE CALIDAD PARA LA GESTIÓN PÚBLICA - NTCGP 1000:2009

MANUAL DE CALIDAD SECCION 5 RESPONSABILIDAD DE LA DIRECCION

PATRIMONIO AUTÓNOMO FONDO COLOMBIA EN PAZ PA-FCP. CONVOCATORIA PÚBLICA No. 020 de 2018 ANÁLISIS PRELIMINAR DE LA CONTRATACIÓN

Importancia del fortalecimiento e Implementación del Sistema de Control Interno

Interpretación Resultados Evaluación MECI Vigencia 2014

CONVOCATORIA EXTERNA No CARGO. Cúcuta con posibles desplazamientos a nivel nacional OBJETO DE LA CONTRATACION

IMPLEMENTADOR LÍDER ISO 27001

Curso de Fundamentos de COBIT 5

Sistema de Gestión de la Seguridad y Salud en el Trabajo

Subdirector de Infraestructura. Sustantiva Órgano Interno de Control. Director de Infraestructura. Dirección de Infraestructura

Dirección de Planeación y Evaluación 1

CONVENIOS Y ALIANZAS NORMALIZACION DE COMPETENCIAS LABORALES DISEÑO CURRICULAR ADMINISTRACIÓN EDUCATIVA EJECUCIÓN DE LA FORMACIÓN

BIENVENIDOS TALLER ISO

INFORME FINAL DE AUDITORÍA

Matriz de correlación

Ciberseguridad industrial

DESPLIEGUE DE MACROPROCESO DE GESTIÓN DE INFORMACIÓN (GESTIÓN DE TECNOLOGÍA INFORMÁTICA Y DE TELECOMUNICACIONES Y GESTIÓN DOCUMENTAL)

La actualización de las normas ISO 9001 e ISO y la transición de la certificación de los sistemas de gestión

NORMA ISO IEC REQUISITOS PARA ORGANISMOS DE CERTIFICACIÓN DE PERSONAS

Workshops Formativos Para Responsables de Seguridad de TI CIOs/CISOs. Enero 2015 v.1.0

Implementador Líder en Ciberseguridad Certificado ISO/IEC 27032

SERVICIO CIBERSEGURIDAD y OCC (Oficina de Coordinación Cibernética) SECCIÓN DE PROYECTOS

UNIVERSIDAD DE CÓRDOBA

ADMINISTRACIÓN Y AUDITORIA TI (ITIL - COBIT) FUNDAMENTOS ITIL V3

Desempeño Alineación Riesgo

Los estándares internacionales para gestión de servicios y su relevancia en el mercado Latinoamericano. Pablo Corona

Estandarización y efectividad en el desarrollo de normas para los comités técnicos de ISO. Mayor alineamiento y compatibilidad entre normas.

Transcripción:

SGPIC - Sistemas de Gestión de Protección de Infraestructuras críticas CARLOS VILLAMIZAR R. Director Desarrollo de Negocios LATAM CISA, CISM, CGEIT, CRISC, CFC, ISO27001 LA, ISO 22301 LI

AGENDA 1. Introducción 2. Definiciones 3. Capacidad de seguridad cibernética 4. Elementos del SGPIC 5. Preguntas Pág.2

AGENDA 1. Introducción 2. Definiciones 3. Capacidad de seguridad cibernética 4. Elementos del SGPIC 5. Preguntas Pág.3

Introducción Ficción? Pág.4

Introducción O realidad? Qué fue primero el huevo o la gallina? 21/09/2016 Pág.5

Introducción Homeland Security: Control Systems Security Program National CyberSecurity Division Defense in depth 2004: PEPIC Programa Europeo de Protección de Infraestructuras Críticas Directiva 2008/114 Lineamientos de Política para Ciberseguridad, Ciberdefensa y Seguridad Digital CONPES 3701 2011 CONPES 3854-2016 Ley 8/2011: Protección de Infraestructuras Críticas Pag. 6

AGENDA 1. Introducción 2. Definiciones 3. Capacidad de seguridad cibernética 4. Elementos del SGPIC 5. Preguntas Pág.7

Definiciones Infraestructura crítica cibernética nacional: aquella soportada por las TIC y por tecnologías de operación, cuyo funcionamiento es indispensable para la prestación de servicios esenciales para los ciudadanos y para el Estado. Su afectación, suspensión o destrucción puede generar consecuencias negativas en el bienestar económico de los ciudadanos, o en el eficaz funcionamiento de las organizaciones e instituciones, así como de la administración pública. CONPES 3854 Pag. 8

Definiciones Quienes son infraestructuras críticas? Qué servicios críticos brindan? Qué amenazas afectan la seguridad / disponibilidad de tales servicios críticos? Cómo garantizar a la comunidad que no se verá afectada por la suspensión de servicios críticos? Pag. 9

Definiciones Concepto de SGPIC Es la suma de Sistema de Gestión + Protección de Infraestructura Crítica SG PIC SGPIC Por qué crear un Sistema de Gestión para la Protección de Infraestructuras Críticas? R/ La idea parte de la necesidad de gestionar adecuadamente la seguridad y continuidad de los servicios esenciales. Pag. 10

Definiciones Concepto de SGPIC Modelo para la definición, implementación, mantenimiento y mejora continua de un sistema de gestión para la protección de infraestructuras críticas Pag. 11

AGENDA 1. Introducción 2. Definiciones 3. Capacidad de seguridad cibernética 4. Elementos del SGPIC 5. Preguntas Pág.12

Capacidad de Seguridad Cibernética El modelo de madurez de la capacidad de seguridad cibernética es una medida que permite calificar su madurez desde inicial (1) hasta dinámico (5). Inicial Formativo Establecido Estratégico Dinámico 1 2 3 4 5 Estatus actual Promedio Meta 1- Nada existe / naturaleza embrionaria. 2- Elementos casuales, desorganizadas, mal definidas. 3- Elementos establecidos y funcionando, mala asignación de recursos. 4- Se logra el resultado esperado de circunstancias particulares 5- Se logra adaptar la estrategia en función de circunstancias imperantes (toma de decisiones rápida, reasignación de recursos y atención constante a los cambios del entorno. La calificación anterior muestra el estatus de la posición actual y propuesta con relación a las mejores prácticas, estándares y directrices de la industria. Pag. 13

Informe Ciberseguridad 2016 - Colombia Pag. 14

AGENDA 1. Introducción 2. Definiciones 3. Capacidad de seguridad cibernética 4. Elementos del SGPIC 5. Preguntas Pág.15

Planificar Contexto Organizacional Entendimiento de la entidad (legal, tecnológico, etc.) Requerimientos de las partes interesadas Alcance del SGPIC Liderazgo Liderazgo y Compromiso Políticas PIC Roles y responsabilidades Planeación Soporte Estrategia de PIC Objetivos de PIC Inventario de activos críticos Análisis de Riesgos Análisis de impacto al negocio Recursos (dinero, personas, herramientas) Marcos de referencia (NIST, ISA99, NERC CIP, otros) Competencias Concienciación Documentación Pag. 16

Planificar Activos Críticos Evaluación de Riesgos Matriz de Riesgos Pag. 17 BIA s

Planificar Pag. 18

Operar Gestión de Riesgos Gestión de incidencias, incidentes o problemas Gestión de Continuidad del Negocio Infraestructuras críticas

Defensa en Profundidad DATOS DATOS APLICACIÓN APLICACIÓN SERVIDORES SERVIDORES RED RED PERIMETRO PERIMETRO SEGURIDAD FÍSICA SEGURIDAD FÍSICA PROCEDIMIENTOS PROCEDIMIENTOS Fuente: I3P INSTITUTE FOR INFORMATION INFRASTRUCTURE PROTECTION Pag. 20

Verificar Monitoreo Métricas Indicadores Auditoría Interna Tercera parte Revisión por la Dirección Informe gerencial Pag. 21

Mejora Continua No conformidades y Acciones correctivas Mejora continua Mejorar requiere tiempo y dedicación Pag. 22

Certificación En Junio de 2016 se lanzó en España el Sello de Ciberseguridad de la AEI (Cluster de Innovación en Ciberseguridad ) quien ha desarrollado un esquema de certificación completo dirigido a infraestructuras críticas, su cadena de proveedores y en general a toda entidad pública o privada que quiera demostrar que cumple con unos requisitos específicos de Ciberseguridad, que incluyen: Protocolos de comunicaciones Protección de datos Infraestructura Recursos Humanos Proveedores Servicios Mayor información: www.aeiciberseguridad.es Pag. 23

AGENDA 1. Introducción 2. Definiciones 3. Capacidad de seguridad cibernética 4. Elementos del SGPIC 5. Preguntas Pág.24

Más información CARLOS VILLAMIZAR R. Director Desarrollo de Negocios LATAM cvillamizar@globalsuite.es www.globalsuite.es

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback