Workshops Formativos Para Responsables de Seguridad de TI CIOs/CISOs. Enero 2015 v.1.0

Documentos relacionados
Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

Comisión de Auditoría. Propuesta de Política Control y Gestión de Riesgos Madrid, 23/02/2016

DIPLOMADO EN SISTEMAS DE GESTIÓN EN SEGURIDAD Y SALUD OCUPACIONAL OHSAS 18001

DIPLOMADO SISTEMAS INTEGRADOS DE GESTIÓN HSEQ ISO 9001: ISO 14001: OHSAS 18001:2007

1. Los flujogramas o diagramas de flujo son herramientas de: 2. Entre los beneficios del trabajo en grupo se encuentra:

Especialización. en Inteligencia de Negocios

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, RIESGOS Y CONTINUIDAD DE NEGOCIOS

GUIA PARA LA PREPARACION Y EVALUACION DE PROYECTOS DE INVERSION

Líneas de Responsabilidad y Funciones. para la Estructura de Puestos de Caja Rural de Teruel

FUNCIONES BÁSICAS DE LA GERENCIA DE PROYECTOS

FICHA PÚBLICA DEL PROYECTO. ASPEL DE MÉXICO, S.A. DE C.V. ASPEL-TECH Arquitectura de aplicaciones ubicua NUMERO DE PROYECTO EMPRESA BENEFICIADA

2.1 DEFINICIÓN Y OBJETIVOS DE LA GESTIÓN DEL APROVISIONAMIENTO

EL ROL DE AUDITORIA INTERNA Y EL ENFOQUE DE AUDITORIA BASADA EN RIESGOS. Víctor Mancilla Banrural, Guatemala

VENTAJAS COMPETITIVAS DE LA INSCRIPCIÓN EN EL REGISTRO EMAS

Normas Internacionales de Información Financiera NIC-NIIF Calendario adopción en Colombia

Administering System Center Configuration Manager

Universidad Nacional de Lanús

POLÍTICA DE MGS. Fecha 23/09/2016 Versión 5 Tipo de documento POLÍTICA

El fraude y los factores que lo rodean. Liberto Ferrer

Resumen Ejecutivo. Generar ahorros a través de mejores prácticas ambientales

AUDITORÍA INTERNA PLANEACIÓN 2016

Resultados del Observatorio de Eficiencia Energética

CONVERSATORIO No. 30. NICC-1 Norma Internacional de Control de Calidad 1. Moderador: Luis Armando Leal. Relator: Dra. Maribel Albarracín

INTERPRETACIÓN NORMA OHSAS 18001:2007 MÓDULO 1 SESIÓN 1 INTERPRETACIÓN DE LA NORMA OHSAS 18001:2007 DOCENTE: Ing. Dª. Ana I.

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

UNA HERRAMIENTA PARA LA GESTION DE COSTOS. Luis Vaca Guevara

Formación de Auditores Internos para Organismos de Certificación de Personas

I.E.F.P.S. REPÉLEGA G.L.H.B.I. ESPECIFICACIONES DE CURSOS DE CATÁLOGO MODULAR Pág. 1/3

Hacia un Territorio Inteligente Smart Innovation

Sistemas de Gestión de Seguridad y Salud en el Trabajo. Gonzalo Muñoz Asorey Consultor Internacional de Seguridad y Salud en el Trabajo

ETAPA DE PLANIFICAR. Módulo 1.5 DESARROLLO DE PÁGINAS WEB

INGENIERO EN ENERGÍAS RENOVABLES. Este programa educativo se ofrece en las siguientes sedes académicas de la UABC:

PLAN DE NEGOCIO MODELO DE NEGOCIO. Idea de negocio Concepto Oportunidad Creatividad

TÉCNICO SUPERIOR UNIVERSITARIO EN ENERGÍAS RENOVABLES ÁREA CALIDAD Y AHORRO DE ENERGÍA EN COMPETENCIAS PROFESIONALES ASIGNATURA DE CALIDAD

DESCRIPCIÓN DE ELECTIVOS

CÓMO CONTROLAR EL COMBUSTIBLE EN LA LOGÍSTICA DE TU EMPRESA?

Telefónica Soluciones SOC Grandes Clientes. Seguridad desde la Red

Elaboró: Francisco Restrepo Escobar

EL IMPACTO DE LOS INSTRUMENTOS INNOVADORES: QUÉ HACER?

CD INTERACTIVO DE PLANES DE CONTINGENCIA Y SEGURIDAD INFORMÁTICA PARA LA MEDIANA Y GRAN EMPRESA DE EL SALVADOR.

Módulo Práctico: Matriz de evaluación de ideas de Diseño para la Sostenibilidad

ANEXOS 1.- PLAN ESTRATEGICO 2.- PRESUPUESTO DE INGRESOS DEL HOSPITAL PLAN DE ACCION DE LA UCI 2011

Introducción a la Estrategia

IV Plan Director. para la calidad en la gestión

MÁSTER UNIVERSITARIO EN PROTECCIÓN DE DATOS

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN EN COMPETENCIAS PROFESIONALES ASIGNATURA DE ADMINISTRACIÓN DE PROYECTOS DE T.I.

La seguridad informática en la PYME Situación actual y mejores prácticas

Curso Experto. Experto en Responsabilidad Social Corporativa. RSC

Diplomado sobre Control Interno y Riesgos Abril Junio 2016

Ampliación de las funciones docentes:

Información General. El Juego de Políticas de Negocios. (The Business Policy Game) INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE CÓMPUTO

Introducción a la Gerencia de Proyectos

Excelencia en logística: Diferenciación para un desempeño superior

ORÍGENES DEL SENATI. Proceso de Industrialización del país (mediados del siglo XX) Inversión en equipos y maquinarias con tecnología moderna

Elaborar y documentar el Plan de trabajo anual que la Unidad de Auditoría Interna desarrollará durante un período fiscal.

Experto en Dirección de la Seguridad Informática

ECOEFICIENCIA Y PRODUCCIÓN MAS LIMPIA - CÓMO PRODUCIR MÁS CON MENOS

Dirección de Recursos Humanos, 45 horas

TÉCNICO SUPERIOR UNIVERSITARIO EN DESARROLLO DE NEGOCIOS

TÉCNICO SUPERIOR UNIVERSITARIO EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN ÁREA MULTIMEDIA Y COMERCIO ELECTRÓNICO.

Facultad de Ciencias Naturales e Ingenierías Tecnología en Desarrollo de Sistemas Informáticos Selección y Evaluación de Tecnologías ITIL

2. Precios del agua y asignación de recursos

Diplomado Administración Ganadera

EPE INGENIERÍA DE REDES Y COMUNICACIONES

PLAN ESTRATÉGICO IESS DIRECCIÓN NACIONAL DE PLANIFICACIÓN

SISTEMA INTEGRAL DE RIESGOS

IT Essentials I: PC Hardware and Software

Metodología para implantación de AZDigital

ISO 9004:2009: Gestión del éxito sostenido de una organización. Un enfoque de gestión de la calidad

GESTIÓN 3e, S.L. Tfno Mail:

COMPETENCIA Procesar los datos recolectados de acuerdo con requerimientos del proyecto de investigación.

ADMINISTRACIÓN DE SERVIDORES BAJO WINDOWS 2012 MS20410: Instalando y Configurando Windows Server 2012

RESUMEN. Para una mejor comprensión del trabajo, a continuación se detalla la estructura:

InterCLIMA 2012: "Gestión de los Riesgos Climáticos en el Perú " Lima, 29, 30 y 31 de octubre 2012

PLANEACION ESTRATEGICA

Identificación y acceso a requisitos legales y reglamentarios

Competencias y perfiles para el personal TIC de las Universidades

PROJECT MANAGEMENT OFFICE

Reporte de incidente de seguridad informática.

PROPUESTAS PARA IMPULSAR LA SEGURIDAD INFORMÁTICA EN MATERIA DE EDUCACIÓN. Panorama General... 1 Objetivo General... 2 Objetivos Particulares...

PROCEDIMIENTO PARA LA GESTIÓN DE LOS RIESGOS

Dirección de Recursos Humanos

Las NIIF y su relación con los Sistemas de Gestión de Calidad

Curso: Mejores Prácticas de Auditoría Interna

Qué es un Modelo de Negocio?

Top-Down Network Design. Tema 9

SEGUNDO PROGRAMA DE FORMACIÓN: ADMINISTRADORES DEL SISTEMA DE GESTIÓN DE LA CALIDAD BAJO NORMA ISO / IEC 17025:2005

Modelo de Gobierno de INES 30 Septiembre 2010 v2.2

Antes de imprimir este documento piense en el medio ambiente!

Informe Diagnostico Comercial INFORME. Diagnostico Comercial

Nombre de la Asignatura: FORMULACIÓN Y EVALUACIÓN DE PROYECTOS Código: FPR 0 Duración del Ciclo en Semanas: 34 asignaturas aprobadas

INGENIERÍA INDUSTRIAL EN COMPETENCIAS PROFESIONALES

Por qué conformarse con ser bueno si se puede ser mejor

JULIO ALBERTO PARRA ACOTA SUBDIRECTOR DEL SISTEMA DISTRITAL DE ARCHIVOS DIRECCION ARCHIVO DE BOGOTÁ QUITO ECUADOR NOVIEMBRE DE 2012

Visión Estratégica del negocio del servicio

Análisis Costo-Beneficio

MINAET. Ministerio de Ambiente, Energía y Telecomunicaciones. Dirección. Caminos hacia la adaptación y la c-neutralidad

ASESORIA, CONSULTORIA & OBRAS

Oportunidad para Aumentar el Valor de mi Empresa. Prof. Patricio Cortés D. Mayo 2016

PLANIFICACIÓN, PROGRAMACIÓN Y COSTOS DE MANTENIMIENTO

Transcripción:

Workshops Formativos Para Responsables de Seguridad de TI CIOs/CISOs Enero 2015 v.1.0

Workshops Formativos para Responsables de Seguridad de TI 1. Objetivo y marco de trabajo 2. Workshop 1: entendimiento del negocio 3. Workshop 2: riesgos y marcos de gestión de la seguridad 4. Workshop 3: cumplimiento legal y TIC 5. ROSI (Retorno de la inversión en seguridad de la información) y resultados

Objetivo Formar y analizar a alto nivel, cómo complementar los objetivos de negocio con un nivel adecuado (responsable) del riesgo y de la seguridad de los sistemas y tecnologías de la información, que considere el impacto económico asociado. El enfoque basado en riesgos permite decidir qué, dónde, cuándo y cómo proteger el negocio, así como el coste de hacerlo.

Marco de trabajo 4 Entorno Económico (Global o particular) 1 Principales preocupaciones negocio: Pérdida reputación/confianza clientes Parada en la operativa del negocio Violación de cumplimiento Pérdida financiera CEO/CFO/COO CONSERVADOR: Focalizarse en los requerimientos mínimos CRECIMIENTO: Proporcionar valor al negocio a través de la implementación de capacidades robustas y mejoradas 2 3 Pilares 3 Riesgo Cumplimiento (Riesgo Legal) Controles: Técnicos Procedimentales Organizativos Negocio Madurez Tecnológica Capacidades Disponibles

Workshops Formativos para Responsables de Seguridad de TI 1. Objetivo y marco de trabajo 2. Workshop 1: entendimiento del negocio 3. Workshop 2: riesgos y marcos de gestión de la seguridad 4. Workshop 3: cumplimiento legal y TIC 5. ROSI (Retorno de la inversión en seguridad de la información) y resultados

Workshop 1: Entendimiento del Negocio Sesión TEÓRICA (2h) Una manera de conocer el negocio es a través del conocimiento de su modelo. Se explicará la técnica de modelado de negocio conocida como Business Model Canvas. Sesión PRÁCTICA (4h) Sesión de trabajo donde aplicaremos el modelaje de negocios a la organización con el objetivo de conocer sus proveedores, actividades, productos, servicios y canales clave así como los costes e ingresos principales y su origen. Resultados: Business Model Canvas del Negocio Establecimiento a alto nivel de las principales preocupaciones / riesgos en seguridad del negocio

Análisis Modelo Negocio Quiénes son nuestros Proveedores/socios clave? Qué recursos clave estamos adquiriendo de ellos? Qué actividades clave desempeñan? Qué actividades clave/ recursos clave requieren nuestras propuestas de valor, canales de distribución, relaciones con los clientes, fuentes de ingresos? 1 Principales preocupaciones negocio: Pérdida reputación/confianza clientes Parada en la operativa del negocio Violación de cumplimiento Pérdida financiera CEO/CFO/COO Qué valor ofrecemos a los clientes? Cuál de los problemas de nuestros clientes estamos ayudando a resolver? Qué paquetes de productos y servicios estamos ofreciendo? Qué necesidades del cliente estamos satisfaciendo? 2 Negocio 3 Pilares Madurez Tecnológica Capacidades Disponibles CÓMO COSTES QUÉ QUIÉN INGRESOS Quiénes son nuestros clientes más importantes? Qué tipo de relación tenemos con ellos? Cómo los tenemos segmentados? Cómo estamos llegando a ellos? A través de qué canales? Cómo se integran nuestros canales? Cuáles son los mejores? Cuáles son los más rentables? Cuáles son los costos más importantes inherentes a nuestro modelo de negocio? Qué recursos clave son los más caros? Qué actividades clave son las más caras? Por qué valor están pagando nuestros clientes? Cómo están pagando actualmente? Disponemos de otras fuentes de ingresos adicionales?

Análisis Riesgos Negocio 3 Riesgo Cumplimiento (Riesgo Legal) Controles: Técnicos Procedimentales Organizativos 2 Negocio 3 Pilares Madurez Tecnológica Capacidades Disponibles No disponibilidad de un Proveedor/Recurso clave Qué puede afectar la relación con un proveedor clave, cómo puede verse afectada, qué impacto económico Impacto asociado a temas de cumplimiento legales CÓMO COSTES QUÉ QUIÉN INGRESOS Efectos temporales de la no disponibilidad de un, producto, servicio, actividad clave Cómo afectaría una disminución de la calidad de los productos y/o servicios Pérdida de conocimiento/talento y su impacto en la capacidad/competencia Eventos o factores podrían afectar la relación con los clientes Impactos económicos, legales, etc, en y con los clientes de las interrupciones en la prestación de servicios Dependencia frente a la autonomía de sus canales posición relativa (apalancamiento) a través de los diferentes canales Impacto potencial de las variaciones en los componentes de los costes más importantes Condiciones en el mercado que puede tener un impacto en los flujos de costes Vulnerabilidades de seguridad que faciliten el soborno o fraude y afecten a los costes Cómo y cuánto? Eventos, condiciones del mercado o dinámica de la competencia que pueda afectar las ventas y lo que los clientes estarán dispuestos a pagar Pueden las vulnerabilidades de seguridad o fraude afectar sus ingresos? Cómo y cuánto?

Workshops Formativos para Responsables de Seguridad de TI 1. Objetivo y marco de trabajo 2. Workshop 1: entendimiento del negocio 3. Workshop 2: riesgos y marcos de gestión de la seguridad 4. Workshop 3: cumplimiento legal y TIC 5. ROSI (Retorno de la inversión en seguridad de la información) y resultados

Workshop 2: Riesgos y Marcos de Gestión de la Seguridad Sesión TEÓRICA (2h) Explicación de las metodologías análisis y gestión de riesgos (ISO 31000/ ISO 27005). Explicación de los marcos de gestión de la seguridad de TI como ISO 27001/2 y SANS, así como los objetivos de control y controles de seguridad que proponen. Sesión PRÁCTICA (4h) Sesión de trabajo sobre cómo los servicios de TI soportan el negocio y sobre el nivel de madurez tecnológica y capacidades disponibles de la organización tomando como base los marcos de gestión de la seguridad explicados. Sesión de trabajo sobre qué riesgos de TI es prioritario gestionar en función del análisis anterior y del conocimiento del negocio analizado en el workshop 1. Resultados: Informe a alto nivel (de situación) del estado de madurez de seguridad de TI y capacidades asociadas disponibles

Análisis Madurez Tecnológica y Capacidades Disponibles 3 Riesgo Cumplimiento (Riesgo Legal) Controles: Técnicos Procedimentales Organizativos 2 Negocio 3 Pilares Madurez Tecnológica Capacidades Disponibles Gestión de Riesgos Analizar los riesgos y establecer una estructura de gestión eficaz de los mismos. Obtener el apoyo y compromiso de la Dirección. Producir políticas de apoyo a la gestión de riesgos de la información. Movilidad y Trabajo remoto Establecer políticas Adherir a los usuarios Proteger los datos en tránsito Gestión Privilegios Usuario Establecer procesos Limitar cuentas privilegiadas Restringir privilegios usuarios Controlar y auditar accesos Configuración Segura Gestión de parches de seguridad Asegurar configuraciones seguras Disponer de un inventario de sistemas Concienciación y Educación Usuarios Políticas de uso seguro de los recursos Programa de formación Concienciación riesgos cibernéticos Control Dispositivos y Medios Política de control dispositivos Tipos de dispositivos a utilizar Control antimalware de ellos Protección Antimalware Establecer políticas Disponer de soft antimalware Análisis de soft malicioso Gestión Incidencias Establecer capacidades recuperación incidencias y desastres (formación incluida) Crear y probar los planes de respuesta y recuperación Monitorización Definir estrategia monitorización Seguimiento sistemas y redes Análisis registros de actividad inusual Seguridad de Redes Filtrado de acceso y contenido malicioso Protección contra ataques externos e internos Administración del perímetro Monitorización y prueba de los controles

Workshops Formativos para Responsables de Seguridad de TI 1. Objetivo y marco de trabajo 2. Workshop 1: entendimiento del negocio 3. Workshop 2: riesgos y marcos de gestión de la seguridad 4. Workshop 3: cumplimiento legal y TIC 5. ROSI (Retorno de la inversión en seguridad de la información) y resultados

Workshop 3: Cumplimiento Legal y TIC Sesión TEÓRICA (2 h) Explicación de la tendencia asociada a la gestión de riesgos legales. Explicación de marcos de cumplimiento como la nueva ISO 19.600 (soft law). Implicación de leyes existentes como el código penal (responsabilidad penal de las personas jurídicas y debido control), la LOPD y venideras como la nueva regulación europea sobre protección de datos (Data Privacy Officer, Privacy Impact Analisys ) (law). Sesión PRÁCTICA (4 h) Sesión de trabajo sobre los requerimientos legales que afectan al negocio y su relación con los riesgos de TI existentes y los controles de seguridad. Resultado: Informe a alto nivel (de situación) del estado de madurez de seguridad en cuanto a cumplimiento legal se refiere.

Áreas de Seguridad Influencia de los temas de cumplimiento legal en las TIC Gestión Privilegios Control Dispositivos Monitorización Protección Antimalware Riesgos R1 R2 Rn Control 1 Control 2 3 Riesgo Cumplimiento (Riesgo Legal) Controles: Técnicos Procedimentales Organizativos Es necesario tener en cuenta los temas de cumplimiento legal y sus implicaciones en los controles de seguridad a implementar... Control 3... Puntos de la ley

Workshops Formativos para Responsables de Seguridad de TI 1. Objetivo y marco de trabajo 2. Workshop 1: entendimiento del negocio 3. Workshop 2: riesgos y marcos de gestión de la seguridad 4. Workshop 3: cumplimiento legal y TIC 5. ROSI (Retorno de la inversión en seguridad de la información) y resultados

ROSI. Retorno de la Inversión en Seguridad 1. Reducción de riesgos. Minimizar o eliminar los riegos para el negocio resultantes de la materialización de las amenazas existentes sobre la seguridad de la información. 2. Ahorro de costes. Racionalización de los recursos en base a la eliminación de inversiones innecesarias o ineficientes debido a la infra o sobre estimación de los riesgos. 3. Cumplimiento con la legislación vigente. Aseguramiento del cumplimiento del marco legal que protege a la empresa eliminando riesgos y sanciones asociadas. 4. Mejora de la competitividad en el mercado. Tener un buen nivel de seguridad de la información mejora la confianza en el negocio entre los clientes, proveedores y socios con los que se intercambia y/o comparte información. 1 Principales preocupaciones negocio: Pérdida reputación/confianza clientes Parada en la operativa del negocio Violación de cumplimiento Pérdida financiera CEO/CFO/COO

Resumen Workshops Condiciones 4 Entorno Económico (Global o particular) Resultado final: Mapa de Ruta para desarrollar una estrategia de seguridad acorde con el negocio e impacto económico asociado CONSERVADOR: Focalizarse en los requerimientos mínimos Los workshops se realizarán in situ, en casa del cliente. Podrán participar más de una persona en ellos. La información se obtendrá en base a entrevistas y uso de cuestionarios (preguntas clave). CRECIMIENTO: Proporcionar valor al negocio a través de la implementación de capacidades robustas y mejoradas s s LEÍDO Y CONFORME Firmado: ABAST SYSTEMS, S.A. Firmado: David Ortega Resp. Área Consultoría TI Condiciones y Estimación económica: 1. Importe económico (sin IVA): 2.500 2. Facturación y forma de pago: Facturación a la aceptación de los servicios Pago por transferencia bancaria a 60 días f.f.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback