FACTORES DE ÉXITO EN EL DESARROLLO DE UN SGSI. Fabián Cárdenas Varela Área de Consultoría NewNet S.A.

Documentos relacionados
DIPLOMADO EN SISTEMAS DE GESTIÓN EN SEGURIDAD Y SALUD OCUPACIONAL OHSAS 18001

Sistemas de Gestión de Seguridad y Salud en el Trabajo. Gonzalo Muñoz Asorey Consultor Internacional de Seguridad y Salud en el Trabajo

AUDITOR INTERNO DE SISTEMAS DE GESTION AMBIENTAL FUNDAMENTOS DE UN SISTEMA DE GESTION AMBIENTAL (ISO 14001)

Riesgos en Banca Electrónica Una perspectiva jurídica desde la certificación digital. ERICK RINCON CARDENAS

PRIMER CONGRESO DE MANTENIMIENTO CANAL DE PANAMÁ

GERENCIA ESTRATÉGICA Conferencia Taller

INFORME FINAL DE AUDITORÍA

PBS 8 Gestión de Riesgos y Controles Internos

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, RIESGOS Y CONTINUIDAD DE NEGOCIOS

Acreditación como herramienta para la seguridad del paciente. Dr. Héctor A. Baptista González

Patrocinio y Mantenimiento de las Iniciativas en Seguridad de la Información

RESPONSABLE: Gerente de Desarrollo Estratégico

Sistema de Gestión Ambiental ISO 14001

Política de Seguridad de la Información de ACEPTA. Pública

AUDITORÍA INTERNA PLANEACIÓN 2016

Departamento Nacional de Planeación.

Sistema de Gestión de la Calidad SGC

ING. SANTANA LEÓN CTN DE GESTIÓN DE LA CALIDAD E INOCUIDAD ALIMENTARIA

POLÍTICA DE HABITUALIDAD

Clasificación por rubros

La Gestión de Activos en el Grupo EPM 9 de mayo de 2013

Política: MARCO DE SEGURIDAD DE LA INFORMACIÓN (Corporativo) Proceso: Gestión de Infraestructura y Plataformas

SUBSISTEMA DE CONTROL ESTRATEGICO AVANCES

Sistema de Gestión en Seguridad y Salud en Construcciones El Condor S.A. Agosto 28 de 2014

Curso: Mejores Prácticas de Auditoría Interna

RETOS Y OPORTUNIDADES DE LA IMPLEMENTACIÓN DEL SISTEMA DE GESTION EFICIENTE DE LA ENERGIA

PROCEDIMIENTO PARA LA INSTAURACION DEL PROCESO DE MEJORA CONTINUA

ISO , por dónde empezamos?

Sistema de Planeación Estratégica. Dirección General de Informática. Julio 2003

Curso Actualización AUDITOR LIDER NORMA ISO 9001:2015

NUESTRA VISIÓN. En el. seremos reconocidos por nuestros clientes como su socio estratégico.

Oscar Martínez Álvaro

CARACTERIZACIÓN DEL PROCESO DE PARTICIPACIÓN CIUDADANA - PPC. FECHA: diciembre 18 de 2014

estudio GERENCIA DE RIESGOS Y SEGUROS Nº

1. PRESENTACIÓN 2. RESUMEN

NORMA TÉCNICA DE CALIDAD PARA LA GESTIÓN PÚBLICA - NTCGP 1000:2009

Sistema de Gestión de Excelencia Operacional

RESULTADOS INDICADOR AUTOEVALUACION DEL CONTROL DE LOS PROCESOS. Octubre 2011

ITIL PRACTICES FOR SERVICE MANAGEMENT ITIL FOUNDATION v3

DIRECCION DE AUDITORIA INTERNA PLANEACIÓN 2014

DIPLOMADO EN GERENCIA PARA LA CALIDAD EDUCATIVA Círculo de reflexión para la calidad

Por qué conformarse con ser bueno si se puede ser mejor

Coordinación de Servicios Informáticos (CSEI)

REGLAMENTO DEL COMITÉ DE AUDITORÍA Y DE BUEN GOBIERNO CORPORATIVO ORGANIZACIÓN TERPEL S.A. CONTENIDO

MANUAL DEL SISTEMA INTEGRADO DE GESTION ISO 9001:2008 Y OHSAS 18001:2007 CAPITULO V

DEPARTAMENTO HSEC. Roles y Funciones

SPT. Empresarial. La Cadena de Valor ARQUITECTURA ARQUITECTURA EMPRESARIAL SPT

PLANEACIÓN ESTRATEGICA APLICADA PEA-

Oficina de Gerencia de Proyectos Gerencia de Proyectos aplicada a proyectos de seguridad de la información

TEMA: PONENTE: PROEXPORT (Colombia) Miguel

Departamento Nacional de Planeación.

DIPLOMADO GESTION DE CLIMA ORGANIZACIONAL, LEY DE ACOSO LABORAL Y COMITES DE CONVIVENCIA LABORAL

Enfoque moderno de la Auditoría Interna y las Normas

SEGURIDAD EN LA CADENA DE SUMINISTRO ISO HOTEL ESTELAR

4.7. OFICINA DE METODOLOGÍAS DE SUPERVISIÓN Y ANÁLISIS DE RIESGO I. IDENTIFICACIÓN. Oficina de Metodologías de Supervisión y Análisis de Riesgo

GESTION DE EFICIENCIA ENERGETICA EN PLANTAS INDUSTRIALES. Ing. Eduardo Tiravanti Zapata CIP 67938

QUÉ ES EL CONTROL INTERNO?

PLANEAR HACER ACTUAR VERIFICAR

PERFIL PROFESIONAL EN COMPETENCIAS PROFESIONALES TÉCNICO SUPERIOR UNIVERSITARIO EN MECATRÓNICA ÁREA AUTOMATIZACIÓN. Versión Ejecutiva PRESENTACIÓN

EL ROL DE AUDITORIA INTERNA Y EL ENFOQUE DE AUDITORIA BASADA EN RIESGOS. Víctor Mancilla Banrural, Guatemala

MANUAL DE CARTAS DESCRIPTIVAS Y PERFILES DECARGO

TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II): LA NORMA ISO Y EL REGLAMENTO EMAS

CONCEPTOS BASICOS DE CALIDAD

EXPERIENCIA DE ACREDITACIÓN EN EL HOSPITAL CIVIL DE IPIALES E.S.E. II NIVEL DE ATENCIÓN

Dependencia/ secretaría. Secretaria General y Administrativa INTRODUCCIÓN

Contaduría Pública Administración Empresas

Medellín, Abril 13 de 2016 CIRCULAR 01 DE: GERENCIA DE SISTEMAS DE GESTIÓN CIDET.

Director de Contabilidad. Administrativa. Sustantiva Órgano Interno de Control Subdirector General de Finanzas. Dirección de Contabilidad

Lo invitamos a solicitar una reunión para conocer más sobre nuestro servicio de Gobierno Corporativo.

DIPLOMADO SISTEMAS INTEGRADOS DE GESTIÓN HSEQ ISO 9001: ISO 14001: OHSAS 18001:2007

SALUD OCUPACIONAL DESDE EL CICLO PHVA

Procedimiento para Gestión de Mejora

ESTRUCTURA ORGANIZACIONAL EP PETROECUADOR

La cultura del Control. Jorge Iván Hincapié Gómez Control Interno Indeportes Antioquia Mayo 22 de 2014

TODOS PREPARADOS. Tranquilidad ante la auditoría. Confianza en el trabajo realizado. Actitud de enfoque hacia la mejora.

Interpretación Resultados Evaluación MECI Vigencia 2014

Cómo realizar una gestión eficaz de la seguridad de la información específica para los servicios sanitarios

MEJORA CONTINUA BROCHURE. Una ventaja competitiva en seguridad y salud en el trabajo SST CONSULTING

PROGRAMA FORMATIVO Experto en Sostenibilidad Empresarial del Medio Ambiente

Norma ISO 9001:2000. Espacio empresarial Ltda.

SALIDAS ACTIVIDADES PROVEEDOR INSUMOS PRODUCTOS CLIENTE Planear

Instituto para el Desarrollo Inmobiliario y de la Vivienda para el Estado de Baja California

PROPUESTAS PARA IMPULSAR LA SEGURIDAD INFORMÁTICA EN MATERIA DE EDUCACIÓN. Panorama General... 1 Objetivo General... 2 Objetivos Particulares...

marketing metrics curso conducente amdd uchile

DESCRIPCIÓN DE PUESTO. Vacante Gerencia de alianzas con instituciones públicas

SISTEMAS DE GESTION EN SALUD Y SEGURIDAD OCUPACIONAL OHSAS Occupational Health and Safety Management Systems

Información General. El Juego de Políticas de Negocios. (The Business Policy Game) INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE CÓMPUTO

REGLAMENTO DE COMITÉ DE AUDITORÍA Y DE BUEN GOBIERNO CORPORATIVO CONTENIDO

Tax and Legal Times. NIIF-Precios de Transferencia.

Contenido. Definición Fuentes de riesgo operacional Principios para el manejo y supervisión. Conclusiones

La gestión por procesos

RESPONSABILIDADES DE LA DIRECCIÓN

MARCO DE REFERENCIA GOBIERNO DE TI PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO

ANEXOS 1.- PLAN ESTRATEGICO 2.- PRESUPUESTO DE INGRESOS DEL HOSPITAL PLAN DE ACCION DE LA UCI 2011

ACUERDO 03 DE (Julio 14)

Política Corporativa de Sostenibilidad

TIPO DE PROCESO Estratégico Misional De Apoyo X Seguimiento y Medición RESPONSABLE

SISTESEG Seguridad y Continuidad para su Negocio

DIPLOMADO EN GERENCIA DE PROYECTOS CON ÉNFASIS EN PMI

Transcripción:

FACTORES DE ÉXITO EN EL DESARROLLO DE UN SGSI Fabián Cárdenas Varela Área de Consultoría NewNet S.A.

Agenda Introducción Qué es un SGSI? Conclusiones 3 Introducción

Introducción INFORMACIÓN Los activos de las empresas no sólo son aquellos que se registran en los libros contables. La información en sí es un activo intangible que se debe valorar y Proteger. Cómo valoramos la información que manejamos en nuestros procesos? 5 Introducción QUÉ ES SEGURIDAD DE LA INFORMACIÓN? Es la Protección de los activos de información contra una amplia gama de amenazas, para preservar el negocio, reduciendo a un nivel aceptable los riesgos. 6

Situación actual Cumplimiento Introducción? Habeas Data, Delitos Informáticos, Normatividad Interna Revisoría Fiscal 7 Situación actual - Negocio Introducción Adaptado de EL ECONOMISTA 8

Situación actual - Riesgos Introducción Riesgos de TI & SI Riesgos Proceso Riesgos de Negocio Gestión Integral de Riesgos? 9 Qué es un SGSI?

Qué es un SGSI? El SGSI es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la información. 11 Qué es un SGSI? 12

Procedimientos, Instrucciones, Registros Qué es un SGSI? Imposibilidad de Restaurar Backups Materiales, Información Modificación no autorizada de información Acceso no autorizado a la información Fuga de información Repudio de Acciones Suplantación Mecanismo Control PROCESO Producto Indisponibilidad de los sistemas de Información y servicios (Correo, Internet) Espionaje Industrial Desastre Natural Pérdida de exactitud de la información Incumplimiento Legal Robo de información Personas, Equipos, Recursos 13 Qué es un SGSI? Organización de la Seguridad (Roles, Responsabilidades, Autoridades) Normatividad de Seguridad (Políticas, Normas, Procedimientos) Procesos de Seguridad (Revisión, Monitoreo, Medición, Mejora) Gestión de Activos Gestión de Riesgos Gestión de Incidentes Gestión de la Continuidad Gestión del Cumplimiento Gestión de la Cultura Gestión de Vulnerabilidades Gestión de la Arquitectura SGSI Otros Sistemas de Gestión Cuadros de Mando Gerenciales Auditoría, Control Interno 14

1. Apoyo de la Dirección Mejora Continua Mitigación ROSI Eficacia Controles 16

2. Definición del alcance ALCANCE FASE I Planear Hacer 1 FASE II Hacer 2 Hacer 3 FASE III Verificar Actuar 17 3. SGSI en el día a día de los procesos Función del Negocio 1 Gestión de Activos Gestión de Riesgos Función del Negocio 2 Mejora Continua Función del Negocio 3 18

4. Gestionar el cambio y la cultura Informarse y conocer Practicar y Mejorar Hacerlo parte del día a día. 19 5. Integrar la Gestión de Riesgos Riesgos del Negocio Riesgos de Procesos (operación, control) Riesgos de Activos (Sistemas de Información, repositorios, personas, contrato) Riesgos de Componentes (Hardware, Software, Servicios, Medios) 20

6. Integrarse a los cuadros de mando Nivel 3 Nivel 2 Nivel 1 Indicadores de Grupo Empresarial Indicadores Corporativos Indicadores de Áreas o Gerencias Indicadores de Procesos Indicadores de Seguridad Indicadores Técnicos 21 7. Integrarse a otros sistemas de gestión ISO 27000 ISO 9000 ISO 18000 Actuar Planear ISO 14000 Verificar Hacer ISO 20000 22

8. Integrar planes de acción 23 9. Automatizar actividades Reporte Vulnerabilidades Incidentes Indicadores Auditoría Normatividad Controles Gestión de Activos Gestión de Riesgos 24

10. Planeación estratégica de seguridad Largo Plazo Objetivos Mediano Plazo Corto Plazo Nivel de Madurez 1 Nivel de Madurez n Gestión Metas Nivel de Madurez 2 25 11. Capacitarse y Crear Competencias 26

Conclusiones Conclusiones Un SGSI en el corto plazo se diseña y se establece, en el mediano plazo se implementa, y en el largo plazo se mantiene y se mejora. A través de un SGSI se puede abordar efectivamente la implementación de un marco de gobierno de seguridad de la información. Es una de las mejores herramientas para la gestión del riesgo y del cumplimiento en seguridad de la información. 28

Conclusiones El SGSI no está en un destino, este hace parte del día a día de la organización. La certificación es la consecuencia de haber logrado un primer nivel de madurez en el SGSI y de haber cerrado como mínimo un primer ciclo PHVA. Es uno de los estándares más aceptados a nivel nacional e internacional y es base de varias iniciativas de cumplimiento. 29 Gracias http://www.newnetsa.com Diagonal (Calle) 16 No. 60-72 Teléfono: 57.1. 4173400 Fax: 57.1. 2605475 BOGOTA DC Carrera 49 No. 52.170 Of. 406 Teléfono: 57.4. 2516353 Fax: 57.4. 2516353 MEDELLIN Calle 18 No. 8-41 Of. 406 Teléfono: 57.6. 3330759 Fax: 57.6. 3359968 PEREIRA Calle 23N No. 3N-33 Piso 6 Teléfono: 57.2. 6671892 Fax: 57.2. 6671892 CALI

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback