Subido por yazmintor

Normas para la Gestion Riesgos

Anuncio
GESTIÓN DE RIESGOS EN
TECNOLOGÍAS DE LA
INFORMACIÓN
1
Agenda
2
1
2
3
4
5
6
Fundamentos de la Gestión de Riesgos - Conceptos
Marco de Referencia Genérico en la Gestión de Riesgos - ISO 31000:2018
Gestión de Riesgos en la Gestión del Servicio – ISO/IEC 20000
Gestión de Riesgos en la Seguridad de la Información – ISO/IEC 27005
Gestión de Riesgos de TI desde el enfoque de Gobierno Empresarial –
Cobit 5
Gestión de Riesgos en la Gestión del Servicio – ITSM (ITIL v3)
2.
ISO 31000 : 2018
Gestión del Riesgo - Directrices
3
ISO 27001 : 2013
ISO 9001 : 2015
De riesgos y oportunidades
asociados con el context y los
objetivos de la organización
Evaluación y tratamiento
los riesgos de seguridad
información adaptados a
necesidades
de
organización.
de
de
las
la
ISO 31000 : 2009
Principios y directrices para la
gestión de cualquier tipo de riesgo
de una manera sistemática,
transparente y creíble, dentro de
cualquier ámbito y contexto.
Realización de la evaluación de
risgos que consiste en la
identificación de riesgos, análisis y
evaluación.
4
Concepto Gestión de Riesgo
Norma ISO 31000 : 2009
5
Norma ISO 31000 : 2018
Integrada
Mejora
Continua
Factores
Humanos
y
Culturales
Estructurada
y exhaustiva
Creación y
Protección
del Valor
Adaptada
Integración
Mejor
información
disponible
Diseño
Mejora
Liderazgo y
Compromiso
Inclusiva
Dinámica
Principios
Implementación
Valoración
6
Marco de Referencia
Proceso
Beneficios
Base confiable
Mejorar los controles
2
Tratamiento del riesgo
3
Eficiacia y Eficiencia
4
6
7
1
Prevención y Manejo
Capacidad de recuperación
5
1.
COBIT 5 PARA RIESGOS
Visión general
8
“
◆ COBIT = Control Objectives for Information and related
Technology (Objetivos de Control para la información y tecnología
relacionada).
◆ ISACA = Information Systems Audit and Control Association
(Asociación de Control y Auditoria de Sistemas de Información)
para la gestión de la TI y el Gobierno de TI.
9
COBIT
Es un conjunto de herramientas de soporte
que permite a la gerencia de las
organizaciones, cerrar la brecha entre los
requerimientos de control, problemas
técnicos y los riesgos del negocio. (IT
Governance Institute, 2007)
10
Evolución de COBIT 5
Evolución del Alcance
Gobierno Corporativo de TI
Gobierno de TI
Val IT 2.0
Administración
(2008)
Control
Risk IT
(2009)
Auditoría
COBIT1
1996
11
Un Marco
Empresarial de
ISACA, en
www.isaca.org/cobit
COBIT2
1998
COBIT3
2000
© 2012 ISACA® Todos los derechos reservados.
COBIT4.0/4.1
2005/7
COBIT 5
2012
Principios COBIT 5
4.
2.
Hacer posible
un Enfoque
Holístico
Cubrir la
empresa
extremo a
extremo
5.
1.
Satisfacer las
necesidades
de las partes
interesadas
12
3.
Aplicar un
Marco de
Referencia
Único
Intregrado
Separar al
Gobierno de la
Gestión
Principio 1 - COBIT 5
Satisfacer las necesidades
de las partes interesadas
Necesidades
de las partes
interesadas
Objetivos del Gobierno:
Realización
de Beneficios
13
Creación de Valor
Optimización
de Riesgos
Optimización
de Recursos
Fuente: COBIT® 5. 2012 ISACA® Todos los derechos reservados.
Principio 2 - COBIT 5
Objetivo del Gobierno: Creación de Valor
Realización
de Beneficios
Optimización
de Riesgos
Optimización
de Recursos
Cubrir la empresa extremo a
extremo
Habilitadores
de Gobierno
Alcance del
Gobierno
Los Componentes Claves de un
Sistema de Gobierno
Roles, Actividades y Relaciones
Fuente COBIT® 5, 2012 ISACA® Todos los derechos reservados.
Roles, Actividades y Relaciones
Dueños y
Partes
Interesadas
14
Delegan
Ente
Regulador
Rendición de
Cuentas
Fijar
Directivas
Administración
Instruir y
Alinear
Monitorear
Fuente COBIT® 5, 2012 ISACA® Todos los derechos reservados.
Informar
Operaciones
y
Ejecución
Principio 3 - COBIT 5
Aplicar un
Marco de
Referencia
Único
Intregrado
15
Fuente:https://es.slideshare.net/RevistaSG/introduccin-a-cobit-5-24068563?qid=38a695a6-ea84-48a4-be78-0d5723a2d07e&v=&b=&from_ search=4
Administración del Desempeño de
los Habilitadores
Hacer posible un
Enfoque Holístico
Dimensión de Habilitadores
Principio 4 - COBIT 5
16
Partes
Interesadas
• Internas
• Externas
¿Se atienden las
Necesidades de las Partes
Interesadas?
Metas
• Calidad Intrínseca
• Calidad Contextual
(Relevancia,
Efectividad)
• Accesabilidad y
Seguridad
¿Se Logran las Metas de los
Habilitadores?
Métricas para el Logro de las Metas
(Indicadores de Resultados)
Ciclo de Vida
Buenas Prácticas
• Planificar
• Diseñar
•Construir/Adquirir/
Crear/Implementar
• Usar/Operar
• Evaluar/Monitorear
• Actualizar/Disponer
• Prácticas
• Productos de Trabajo
(Entradas/Salidas)
¿Se administra el Ciclo
de Vida?
¿Se aplican Buenas
Prácticas?
Métricas para la Aplicación de Prácticas
(Indicadores de Desempeño)
Fuente: COBIT® 5, 2012 ISACA® Todos derechos reservados.
Principio 5 - COBIT 5
Necesidades del Negocio
Separar al
Gobierno de la
Gestión
Gobierno
Evaluar
Dirijir
Retroalimentación Gerencial
Monitorear
Administración
Planificar
(APO)
Construir
(BAI)
Operar
(DSS)
Fuente: COBIT® 5, 2012 ISACA® Todos derechos reservados.
17
Monitorear
(MEA)
Habilitadores de COBIT 5
2. Procesos
3. Estructuras
Organizacionales
4. Cultura, Ética
y
Comportamiento
1. Principios, Políticas y Marcos
5. Información
6. Servicios,
Infraestructura
y Aplicaciones
7. Personas,
Habilidades y
Competencias
RECURSOS
18
Fuente: COBIT® 5, 2012 ISACA® Todos los Derechos Reservados
Procesos de Gobierno de TI Empresarial
Procesos
relacionados
con la Gestión
del Riesgo
Procesos que
apoyan la Gestión
del Riesgo
19
Fuente: COBIT® 5, 2012
ISACA® Todos derechos
reservados.
Ciclo de Vida de Implementación
•
Gestión del Programa
(anillo exterior)
•
Habilitación del Cambio
(anillo medio)
•
Ciclo de Vida de Mejora
Continua (anillo interior)
20
Fuente: COBIT® 5, 2012 ISACA® Todos los Derechos Reservados
Metodologías para Gestión de Riesgos
OCTAVE
◆
OCTAVE (Operationally Critical Threat, Asset,
and Vulnerability Evaluation) se encuentra
disponible gratuitamente (en inglés) y es un
conjunto de herramientas, técnicas y métodos
para desarrollar análisis de riesgos basados
en gestión y la planeación estratégica de la
organización.
MAGERIT
◆
21
MAGERIT es una metodología de Análisis de Riesgos
de carácter público elaborada por el Ministerio de
Administraciones Públicas, siendo probablemente la
metodología más utilizada en España. El nombre de
MAGERIT responde a "Metodología de Análisis y
Gestión de Riesgos de IT”.
Metodologías para Gestión de Riesgos
COSO ERM
◆
22
Incluye los métodos y procesos utilizados por las
organizaciones para gestionar los riesgos y
aprovechar las oportunidades relacionadas con
el logro de sus objetivos.
Fuente: https://www.emprendedorinteligente.com/que-significa-coso-en-erm/
Proceso en la Gestión de Riesgos
NOMBRAMIENTO DE
RESPONSABLES
ANÁLISIS DE LOS
RIESGOS
• Delegar a
coordinación de
labores.
• Grupos de trabajo no
mayores a 10
miembros.
• Establecer una
valoración y
priorización de los
riesgos.
• Diseñar escalas
cualitativas.
1
•
•
•
•
•
DEFINICIÓN DE
OBJETIVOS
Objetivos del Proceso.
Alcance.
Difusión.
Presupuesto.
Recursos necesarios.
23
2
ALCANCE,
CONTEXTO Y
CRITERIOS
3
IDENTIFICACIÓN DE
LOS RIESGOS
4
• Factores que influyen en
los procesos.
• Priorizar factores en EVALUACIÓN
función del impacto. DEL RIESGO
PLAN DE TRATAMIENTO
5
•
•
•
•
•
•
Mejora de los controles.
Monitoreo.
Actualización.
Intervención.
Corto plazo.
Evaluaciones periódicas
o auditorías.
DEFINICIÓN DE LAS
RESPUESTAS
•
•
•
•
•
Supresión.
Transferencia.
Mitigación.
Explotación.
Aceptación.
6
TRATAMIENTO
DEL RIESGO
Parámetros de Valoración de Riesgos
Matriz de Valoración del
Riesgo
24
Criterios de Aceptación
del Riesgo
In two or three columns
25
Yellow
Blue
Red
Is the color of gold, butter
and ripe lemons. In the
spectrum of visible light,
yellow is found between
green and orange.
Is the colour of the clear
sky and the deep sea. It is
located between violet and
green on the optical
spectrum.
Is the color of blood, and
because of this it has
historically been
associated with sacrifice,
danger and courage.
A picture is worth a thousand words
A complex idea can be
conveyed with just a single
still image, namely making it
possible to absorb large
amounts of data quickly.
26
Use charts to explain your ideas
White
27
Gray
Black
And tables to compare data
A
B
C
Yellow
10
20
7
Blue
30
15
10
5
24
16
Orange
28
89,526,124
Whoa! That’s a big number, aren’t you proud?
29
89,526,124$
That’s a lot of money
185,244 users
And a lot of users
100%
30
Total success!
Our process is easy
first
31
second
last
Let’s review some concepts
32
Yellow
Blue
Red
Is the color of gold, butter and
ripe lemons. In the spectrum
of visible light, yellow is found
between green and orange.
Is the colour of the clear sky
and the deep sea. It is located
between violet and green on
the optical spectrum.
Is the color of blood, and
because of this it has
historically been associated
with sacrifice, danger and
courage.
Yellow
Blue
Red
Is the color of gold, butter and
ripe lemons. In the spectrum
of visible light, yellow is found
between green and orange.
Is the colour of the clear sky
and the deep sea. It is located
between violet and green on
the optical spectrum.
Is the color of blood, and
because of this it has
historically been associated
with sacrifice, danger and
courage.
Place your screenshot here
Android project
Show and explain your
web, app or software
projects using these
gadget templates.
33
Place your screenshot
here
iPhone project
Show and explain your
web, app or software
projects using these
gadget templates.
34
Place your screenshot here
Tablet project
Show and explain your
web, app or software
projects using these
gadget templates.
35
Place your screenshot here
Desktop project
Show and explain your
web, app or software
projects using these
gadget templates.
36
Thanks!
Any questions?
You can find me at @username & [email protected]
37
Bibliografía
◆ ISOTools. Norma ISO 31000 El Valor de la Gestion de Riesgos en las Organizaciones. ISOTools Plataforma Tecnológica
para la Gestión de la Excelencia. Recuperado de, https://www.isotools.org/pdfs-pro/ebook-iso-3
◆ Yrigoyen, G. (2012). COBIT 5 Implementación COBIT 5 an ISACA Framework. Academia. Recuperado de,
https://www.academia.edu/14438434/COBIT5_ Implementation_ Spanish
◆1000-gestion-riesgos-organizaciones.pdf
38
SlidesCarnival icons are editable shapes.
This means that you can:
●
Resize them without losing quality.
●
Change fill color and opacity.
●
Change line color, width and style.
Isn’t that nice? :)
Examples:
39
😉
Now you can use any emoji as an icon!
And of course it resizes without losing quality and you can change the color.
How? Follow Google instructions
https://twitter.com/googledocs/status/730087240156643328
✋👆👉👍👤👦👧👨👩👪💃🏃💑❤😂
😉😋😒😭👶😸🐟🍒🍔💣📌📖🔨🎃🎈
🎨🏈🏰🌏🔌🔑 and many more...
40
Descargar