SlideShare una empresa de Scribd logo

Taller gestion de riesgos

Maurice Frayssinet
Maurice Frayssinet

Taller de Gestión de Riesgos, como parte de la seguridad de la información es importante gestionar adecuadamente los riesgos. En este taller veremos los conceptos y enfoques de riesgos para seguridad de la información

Tecnología
1 de 77
Descargar para leer sin conexión
Ing. CIP Maurice Frayssinet Delgado LI 27001, LA 27001 Oficina Nacional de Gobierno Electrónico e Informática Taller de Gestión de Riesgos
ONGEI - Seguridad de la Información Agenda www.ongei.gob.pe Introducción Definiciones Enfoque a procesos ¿Que son los riesgos? Gestión del Riesgo Gestión de riesgos de seguridad de la información Norma ISO/IEC 27005 Norma ISO/IEC 31000 Metodología de Gestión de Riesgos Taller practico
Introducción
ONGEI - Seguridad de la Información •La gestión de riesgos (traducción del inglés Risk management) es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza, a través de una secuencia de actividades. •Las estrategias incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular. •Algunas veces, el manejo de riesgos se centra en la contención de riesgo por causas físicas o legales (por ejemplo, desastres naturales o incendios, accidentes, muerte o demandas). •Por otra parte, la gestión de riesgo financiero se enfoca en los riesgos que pueden ser manejados usando instrumentos financieros y comerciales La gestión del Riesgo Introducción www.ongei.gob.pe
Definiciones
ONGEI - Seguridad de la Información Riesgo: Efecto de la incertidumbre sobre la consecución de los objetivos. NOTA 1 Un efecto es una desviación, positiva y/o negativa, respecto a lo previsto. NOTA 2 Los objetivos pueden tener diferentes aspectos (tales como financieros, de salud y seguridad, o ambientales) y se pueden aplicar a diferentes niveles (tales como, nivel estratégico, nivel de un proyecto, de un producto, de un proceso o de una organización completa). NOTA 3 Con frecuencia, el riesgo se caracteriza por referencia a sucesos potenciales y a sus consecuencias , o a una combinación de ambos. NOTA 4 Con frecuencia, el riesgo se expresa en términos de combinación de las consecuencias de un suceso (incluyendo los cambios en las circunstancias) y de su probabilidad (3.6.1.1). NOTA 5 La incertidumbre es el estado, incluso parcial, de deficiencia en la información relativa a la comprensión o al conocimiento de un suceso, de sus consecuencias o de su probabilidad. Definiciones ISO/IEC GUÍA 73:2009 (1.1)
ONGEI - Seguridad de la Información Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo. Definiciones ISO/IEC GUÍA 73:2009 (2.1)
ONGEI - Seguridad de la Información Marco de trabajo de la gestión del riesgo: Conjunto de elementos que proporcionan los fundamentos y las disposiciones de la organización para el diseño, la implantación, el seguimiento, la revisión y la mejora continua de la gestión del riesgo en toda la organización. Política de gestión del riesgo: Declaración de las intenciones y orientaciones generales de una organización en relación con la gestión del riesgo. Plan de gestión del riesgo: Esquema incluido en el marco de trabajo de la gestión del riesgo que especifica el enfoque, los componentes de gestión y los recursos a aplicar para la gestión del riesgo). Definiciones ISO/IEC GUÍA 73:2009 (2.1.1, 2.1.2, 2.1.3))
ONGEI - Seguridad de la Información Proceso de gestión del riesgo: Aplicación sistemática de políticas, procedimientos y prácticas de gestión a las actividades de comunicación, consulta, establecimiento del contexto, e identificación, análisis, evaluación, tratamiento, seguimiento y revisión del riesgo. Definiciones ISO/IEC GUÍA 73:2009 (3.1)
ONGEI - Seguridad de la Información Análisis del riesgo: Proceso que permite comprender la naturaleza del riesgo y determinar el nivel de riesgo). Probabilidad (likehood): Posibilidad de que algún hecho se produzca. Exposición: Grado al que se somete una organización y/o una parte interesada en caso de un suceso. Consecuencia: Resultado de un suceso que afecta a los objetivos. Frecuencia: Número de sucesos o de efectos en una unidad de tiempo definida. Definiciones ISO/IEC GUÍA 73:2009 (3.6.1, 3.6.1.1,3.6.1.2,3.6.1.5)
ONGEI - Seguridad de la Información Definiciones ISO/IEC GUÍA 73:2009 (3.6.1.6,3.6.1.7,3.6.1.8) Vulnerabilidad: Propiedades intrínsecas de que algo produzca como resultado una sensibilidad a una fuente de riesgo que puede conducir a un suceso con una consecuencia . Matriz de riesgo: Herramienta que permite clasificar y visualizar los riesgos , mediante la definición de categorías de consecuencias y de su probabilidad. Nivel de riesgo: Magnitud de un riesgo o combinación de riesgos, expresados en términos de la combinación de las consecuencias y de su probabilidad.
ONGEI - Seguridad de la Información Evaluación del riesgo: Proceso de comparación de los resultados del análisis del riesgo con los criterios de riesgo para determinar si el riesgo y/o su magnitud son aceptables o tolerables. Actitud ante el riesgo: Enfoque de la organización para apreciar un riesgo y eventualmente buscarlo, retenerlo, tomarlo o rechazarlo. Apetito por el riesgo: Cantidad y tipo de riesgo que una organización está preparada para buscar o retener. Definiciones ISO/IEC GUÍA 73:2009 (3.7.1,3.7.1.1,3.7.1.2)
ONGEI - Seguridad de la Información Tolerancia al riesgo: Disponibilidad de una organización o de las partes interesadas para soportar el riesgo después del tratamiento del riesgo con objeto de conseguir sus objetivos. Aversión al riesgo: Actitud de rechazar el riesgo Agregación de riesgos: Combinación de un número de riesgos en un solo riesgo para desarrollar una comprensión más completa del riesgo general. Aceptación del riesgo: Decisión informada en favor de tomar un riesgo particular. Definiciones ISO/IEC GUÍA 73:2009 (3.7.1.3,3.7.1.4,3.7.1.5,3.7.1.6)
Enfoque a Procesos
ONGEI - Seguridad de la Información Enfoque a procesos ISO 9000 (2.4) Cualquier actividad, o conjunto de actividades, que utiliza recursos para transformar elementos de entrada en resultados puede considerarse como un proceso. Para que las organizaciones operen de manera eficaz, tienen que identificar y gestionar numerosos procesos interrelacionados y que interactúan. A menudo el resultado de un proceso constituye directamente el elemento de entrada del siguiente proceso. La identificación y gestión sistemática de los procesos empleados en la organización y en particular las interacciones entre tales procesos se conoce como "enfoque basado en procesos".
ONGEI - Seguridad de la Información Enfoque a procesos ¿Qué es un proceso? Un proceso es un conjunto de actividades recurrentes mediante las cuales se transforma un grupo de entradas en un grupo de salidas valiosas para un cliente (interno o externo)
ONGEI - Seguridad de la Información Enfoque a procesos Ejemplo de procesos •Ventas •Compras •Producción •Presupuesto •Cierre Contable
ONGEI - Seguridad de la Información Enfoque a procesos Detalle de procesos MacroProcesos Gestión Logística
ONGEI - Seguridad de la Información Enfoque a procesos Ejemplo 1: Proceso Comercial (simple) Estudiante que compra cuadernos en una librería •Identificación del Cliente •Identificación de las entradas del Proceso •Identificación de las actividades principales del proceso •Identificación de las salidas/resultados del proceso
ONGEI - Seguridad de la Información Enfoque a procesos Ejemplo 1: Proceso Comercial (simple)
ONGEI - Seguridad de la Información Enfoque a procesos Ejemplo 1: Proceso Comercial (simple)
ONGEI - Seguridad de la Información Enfoque a procesos Ejemplo 2: Proceso Abastecimiento Requerimiento de compra de papel para fabricar Cuadernos Trabajo individual 5 minutos
ONGEI - Seguridad de la Información Enfoque a procesos Ejemplo 2: Proceso Abastecimiento
ONGEI - Seguridad de la Información Enfoque a procesos Ejemplo 2: Proceso Abastecimiento
ONGEI - Seguridad de la Información Enfoque a procesos Procesos y estructura Los procesos atraviesan áreas o unidades (departamentos) dentro de una empresa. Varias áreas o unidades de una empresa pueden realizar actividades de un mismo proceso. Los procesos son anónimos.
ONGEI - Seguridad de la Información Enfoque a procesos Elementos de un Proceso En todos los casos debemos: 1. Identificar el objetivo del proceso 2. Identificar el “cliente” (interno o externo) 3. Identificar el desde y el hasta (alcance) 4. Identificar las entradas 5. Definir los sub procesos, actividades, etapas, etc. (Niveles de detalle) 6. Describirlos (presentando las interrelaciones) 7. Identificar las salidas
ONGEI - Seguridad de la Información Enfoque a procesos Ejemplo de elementos de un Proceso de compras Objetivo: Gestionar las compras de insumos y materiales necesarios para realizar las actividades de la empresa, en tiempo y forma, cumpliendo además con las especificaciones de calidad, precios, fecha y lugar de entrega. Entradas: Pedido de insumos de las distintas áreas de la empresa Actividades principales: – Solicitar cotizaciones – Seleccionar proveedor – Recepcionar y controlar insumos – Entregar insumos al Area solicitante de la empresa – Pagar al Proveedor
ONGEI - Seguridad de la Información Tareas de “Solicitar una cotización”: – Buscar datos de los proveedores – Completar el formulario de pedido de cotización – Enviar por fax a cada proveedor – Archivar el pedido de cotización Pasos en la tarea de “Completar pedido de cotización”: – Buscar la libreta de formularios de pedido de cotización – Escribir la fecha – Escribir el nombre del primer proveedor a consultar – Especificar los datos de la mercadería – Firmar el formulario A diferencia de las tareas, los pasos no tienen resultados por sí mismos Enfoque a procesos Ejemplo de elementos de un Proceso de compras
ONGEI - Seguridad de la Información Enfoque a procesos Herramientas para la descripción de Procesos Tabla de actividades por área interviniente
ONGEI - Seguridad de la Información Se sugiere usar notación BPM Enfoque a procesos Herramientas para la descripción de Procesos Representación gráfica (Flujograma)
ONGEI - Seguridad de la Información Se sugiere usar notación BPM Enfoque a procesos Herramientas para la descripción de Procesos Dibujogramas
ONGEI - Seguridad de la Información Enfoque a procesos Categorías de Procesos
ONGEI - Seguridad de la Información La CADENA de VALOR es una forma de representar al MODELO de PROCESOS de la empresa Enfoque a procesos Cadena de Valor
ONGEI - Seguridad de la Información Enfoque a procesos Mapa de Procesos
ONGEI - Seguridad de la Información
ONGEI - Seguridad de la Información
ONGEI - Seguridad de la Información
ONGEI - Seguridad de la Información
¿Que son los riesgos?
ONGEI - Seguridad de la Información ¿Qué son los riesgos? Riesgos Comunes
ONGEI - Seguridad de la Información ¿Qué son los riesgos? Peligro y Riesgo
ONGEI - Seguridad de la Información •Riesgo se puede definir como: “La exposición a las consecuencias de la incertidumbre”. •La incertidumbre puede originarse en factores internos o externos. •Riesgo es la vulnerabilidad ante un potencial perjuicio o daño para las unidades, personas, organizaciones o entidades. RIESGO = PROBABILIDAD X IMPACTO ¿Qué son los riesgos? Definición
ONGEI - Seguridad de la Información ¿Qué son los riesgos? Manera de expresar el riesgo
ONGEI - Seguridad de la Información Probabilidad 1=Muy baja 2=Baja 3=Mediana 4=Alta 5=Muy Alta Probabilidad Muy baja Baja Mediana Alta Muy Alta Probabilidad 0.01 a 0.33 = Baja 0.34 a 0.66 = Media 0.67 a 1.00 = Alta ¿Qué son los riesgos? Peligro y Riesgo ¿Qué son los riesgos? Escalas
Gestión del Riesgo
ONGEI - Seguridad de la Información Gestión del Riesgo Definición •Es un proceso de toma de decisiones. •Enfrentar eventos que afectan los objetivos del negocio. •Asegurar que las decisiones se implementan en forma de controles.
ONGEI - Seguridad de la Información Gestión del Riesgo La gestión
ONGEI - Seguridad de la Información •Estructura conceptual formada por diversos elementos (política, procesos, recursos, estructura organizacional, documentos). •Los elementos están relacionados de tal manera que permiten: –Planificar –Implementar –Controlar y –Tomar acción para la mejora continua. Gestión del Riesgo Sistema de Gestión
ONGEI - Seguridad de la Información •Instinto Natural. •Gestión de Préstamos. •Siglo 17: Primeros aseguradores, el riesgo como negocio. •1963: los profesores de la Universidad de Illinois, Robert Mehr and Bob •Hedges, publican “Risk Management in the Business Enterprise”. •Gestión de Riesgos = Gestión de Seguros (Riesgos Puros). •1970: riesgos financieros y de mercado. Enfoque de “silos”. •1980 y 1990: Gestión de riesgo parte de objetivos estratégicos y creación de valor para el accionista. •2000: grandes fraudes Enron, WorldCom. •Mayor enfoque en control financiero y contable, Gobierno Corporativo, LeySabarnes-Oxley, COSO, FERMA, ANZI. •Enfoque holístico, parte fundamental del planeamiento, estrategia y reporte de las empresas. Surge el concepto EWRM. •2009: aparece ISO 31000 como norma unificada. Gestión del Riesgo Evolución
ONGEI - Seguridad de la Información Gestión del Riesgo Tipos de análisis de riesgos
ONGEI - Seguridad de la Información Gestión del Riesgo Tipos de análisis de riesgos
Gestión de riesgos de seguridad de la información
ONGEI - Seguridad de la Información Porque el negocio se sustenta a partir de la información que maneja. Porque no sólo es un tema “tecnológico”. Porque la seguridad de la información tiene un costo, pero la inseguridad tiene un costo aún mayor. Principales fallas de seguridad Violaciones de seguridad que involucra a terceros - 25 % Errores de los empleados u omisiones - 20 % Adaptación tardía a nuevas tecnologías - 18 % Abuso del empleado de los sistemas e información de TI - 17 % Otros - 20% Informe TMT Predicciones 2012 de Deloitte Gestión de Riesgo de la SI Seguridad de la información ¿Por qué?
ONGEI - Seguridad de la Información Seguridad de la Información: conjunto de medidas para salvaguardar la información preservando su confidencialidad, integridad y disponibilidad. Gestión de Riesgo de la SI Seguridad de la información ¿Por qué?
ONGEI - Seguridad de la Información •Activo de información: Los activos de información generan, procesan y/o almacenan la información necesaria para la operación y el cumplimiento de los objetivos de la compañía Tiene valor para la compañía. •Existen varios tipos: Procesos Documentos físicos y electrónicos Software Hardware Personas Gestión de Riesgo de la SI Activo de Información
ONGEI - Seguridad de la Información •Riesgo de Seguridad de la Información: El potencial de que una amenaza dada explote las vulnerabilidades de un activo o grupo de activos, causando pérdida o daño a la organización [ISO/IEC 27005:2008] •Combinación de la probabilidad de un evento y sus consecuencias [ISO/IEC 27002:2005] Gestión de Riesgo de la SI Riesgo de SI
ONGEI - Seguridad de la Información Gestión de Riesgo de la SI Riesgo de SI
ONGEI - Seguridad de la Información La siguientes son las atributos de seguridad de la información: •Confidencialidad: La información se revela únicamente si así está estipulado, a personas, procesos o entidades autorizadas y en el momento autorizado. •Integridad: La información es precisa, coherente y completa desde su creación hasta su destrucción. •Disponibilidad: La información es accedida por las personas o sistemas autorizados en el momento y en el medio que se requiere. DISPONIBILIDAD INFORMACION Gestión de Riesgo de la SI Principios o pilares de la SI
Norma ISO/IEC 27005
ONGEI - Seguridad de la Información •ISO/IEC 27005 es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. •La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001. Norma ISO/IEC 27005 Definición
ONGEI - Seguridad de la Información •ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización. •No recomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria. Norma ISO/IEC 27005 Definición
ONGEI - Seguridad de la Información Prefacio Introducción Referencias normativas. Términos y definiciones. Estructura.Fondo. Descripción del proceso de ISRM. Establecimiento Contexto. Información sobre la evaluación de riesgos de seguridad (ISRA). Tratamiento de Riesgos Seguridad de la Información. Admisión de Riesgos Seguridad de la información. Comunicación de riesgos de seguridad de información. Información de seguridad Seguimiento de Riesgos y Revisión. Anexo A: Definición del alcance del proceso. Anexo B: Valoración de activos y evaluación de impacto. Anexo C: Ejemplos de amenazas típicas. Anexo D: Las vulnerabilidades y métodos de evaluación de la vulnerabilidad. Anexo E: Enfoques ISRA Norma ISO/IEC 27005 Estructura
ONGEI - Seguridad de la Información Norma ISO/IEC 27005 Procesos
Norma ISO/IEC 31000
ONGEI - Seguridad de la Información •La ISO 31000 es una norma internacional que ofrece las directrices y principios para gestionar el riesgo de las organizaciones. •Esta norma fue publicada en noviembre del 2009 por la Organización Internacional de Normalización (ISO) en colaboración con IEC, y tiene por objetivo que organizaciones de todos los tipos y tamaños puedan gestionar los riesgos en la empresa de forma efectiva, por lo que recomienda que las organizaciones desarrollen, implanten y mejoren continuamente un marco de trabajo cuyo objetivo es integrar el proceso de gestión de riesgos en cada una de sus actividades. Norma ISO/IEC 31000 Definiciones
ONGEI - Seguridad de la Información 1.Alcance 2.Términos y definiciones 3.Principios 4.Framework 5.Procesos Norma ISO/IEC 31000 Estructura
ONGEI - Seguridad de la Información Norma ISO/IEC 31000 Visión General
ONGEI - Seguridad de la Información Norma ISO/IEC 31000 Procesos
Metodología de Gestión de Riesgos
ONGEI - Seguridad de la Información Metodología de Gestión de Riesgo Octave •OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) se encuentra disponible gratuitamente (en inglés) y es un conjunto de herramientas, técnicas y métodos para desarrollar análisis de riesgos basados en gestión y la planeación estratégica de la organización. •Son todas las acciones que necesitan ser llevadas a cabo dentro de la organización para realizar la gestión de activos, conocer posibles amenazas y evaluar vulnerabilidades. http://www.cert.org/resilience/products-services/octave/
ONGEI - Seguridad de la Información Metodología de Gestión de Riesgo Magerit MAGERIT es una metodología de Análisis de Riesgos de carácter público elaborada por el Ministerio de Administraciones Públicas, siendo probablemente la metodología más utilizada en España. El nombre de MAGERIT responde a "Metodología de Análisis y Gestión de Riesgos de IT”, y es un método formal orientado a activos, cuya misión es descubrir los riesgos a los que se encuentran expuestos nuestros sistemas de información y recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos. https://www.ccn-cert.cni.es/publico/herramientas/pilar5/magerit/
ONGEI - Seguridad de la Información COSO ERM, incluye los métodos y procesos utilizados por las organizaciones para gestionar los riesgos y aprovechar las oportunidades relacionadas con el logro de sus objetivos. Coso ERM proporciona un marco para la gestión de riesgos , que generalmente implica la identificación de eventos o circunstancias particulares pertinentes a los objetivos de la organización (riesgos y oportunidades), la evaluación en términos de probabilidad y la magnitud del impacto, que determinan una estrategia de respuesta, y el monitoreo del progreso. Metodología de Gestión de Riesgo Coso ERM http://www.coso.org/-erm.htm
ONGEI - Seguridad de la Información La norma ISO/IEC 27001, no especifica que se utilice una metodología de riesgos en particular, de hecho usted puede crear una propia, cumpliendo con lo estipulado en la norma
Taller Practico
ONGEI - Seguridad de la Información
ONGEI - Seguridad de la Información No olvide Cuidado mucha información esta en nuestros equipos moviles ya mitigo este riesgo…
Contacto: Ing. CIP Maurice Frayssinet Delgado mfrayssinet@gmail.com Teléfono rpm # 963-985-125 www.ongei.gob.pe Muchas Gracias

Recomendados

Actividad 3 Métodos de evaluación del riesgo.
Actividad 3 Métodos de evaluación del riesgo.Actividad 3 Métodos de evaluación del riesgo.
Actividad 3 Métodos de evaluación del riesgo.Joanna Patricia
 
Metodos de analisis de riesgos
Metodos de analisis de riesgosMetodos de analisis de riesgos
Metodos de analisis de riesgosgermangalvis3
 
Auditoría del SIG con adopción del pensamiento basado en riesgos
Auditoría del SIG con adopción del pensamiento basado en riesgosAuditoría del SIG con adopción del pensamiento basado en riesgos
Auditoría del SIG con adopción del pensamiento basado en riesgosLB Consultor
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
Key changes to ISO 9001:2015 and 7 steps of 7Epsilon
Key changes to ISO 9001:2015 and 7 steps of 7EpsilonKey changes to ISO 9001:2015 and 7 steps of 7Epsilon
Key changes to ISO 9001:2015 and 7 steps of 7EpsilonMeghana Ransing
 
Risk Based Thinking ISO 9001 Presentation.pdf
Risk Based Thinking ISO 9001 Presentation.pdfRisk Based Thinking ISO 9001 Presentation.pdf
Risk Based Thinking ISO 9001 Presentation.pdfHimanshuMishra203021
 
Auditoria del sig
Auditoria del sigAuditoria del sig
Auditoria del sigMercedes Tomaylla
 
Infografia iso 31000
Infografia iso 31000 Infografia iso 31000
Infografia iso 31000 Aura Breeze
 

Recomendados

Actividad 3 Métodos de evaluación del riesgo.
Actividad 3 Métodos de evaluación del riesgo.Actividad 3 Métodos de evaluación del riesgo.
Actividad 3 Métodos de evaluación del riesgo.Joanna Patricia
 
Metodos de analisis de riesgos
Metodos de analisis de riesgosMetodos de analisis de riesgos
Metodos de analisis de riesgosgermangalvis3
 
Auditoría del SIG con adopción del pensamiento basado en riesgos
Auditoría del SIG con adopción del pensamiento basado en riesgosAuditoría del SIG con adopción del pensamiento basado en riesgos
Auditoría del SIG con adopción del pensamiento basado en riesgosLB Consultor
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
Key changes to ISO 9001:2015 and 7 steps of 7Epsilon
Key changes to ISO 9001:2015 and 7 steps of 7EpsilonKey changes to ISO 9001:2015 and 7 steps of 7Epsilon
Key changes to ISO 9001:2015 and 7 steps of 7EpsilonMeghana Ransing
 
Risk Based Thinking ISO 9001 Presentation.pdf
Risk Based Thinking ISO 9001 Presentation.pdfRisk Based Thinking ISO 9001 Presentation.pdf
Risk Based Thinking ISO 9001 Presentation.pdfHimanshuMishra203021
 
Auditoria del sig
Auditoria del sigAuditoria del sig
Auditoria del sigMercedes Tomaylla
 
Infografia iso 31000
Infografia iso 31000 Infografia iso 31000
Infografia iso 31000 Aura Breeze
 
Metodos de valoracion del riesgo
Metodos de valoracion del riesgoMetodos de valoracion del riesgo
Metodos de valoracion del riesgoSergio Guillen
 
Bases datos eventos_perdida_riesgos_operacionales
Bases datos eventos_perdida_riesgos_operacionales Bases datos eventos_perdida_riesgos_operacionales
Bases datos eventos_perdida_riesgos_operacionales IDDEA
 
Iso 14 sistema integrado de gestion
Iso 14 sistema integrado de gestionIso 14 sistema integrado de gestion
Iso 14 sistema integrado de gestionPrimala Sistema de Gestion
 
Ai iso 19011-2018 (iso 17025-2017)
Ai iso 19011-2018 (iso 17025-2017)Ai iso 19011-2018 (iso 17025-2017)
Ai iso 19011-2018 (iso 17025-2017)LUIS GONZALEZ BACA
 
AI02 Proceso de auditoría
AI02 Proceso de auditoríaAI02 Proceso de auditoría
AI02 Proceso de auditoríaPedro Garcia Repetto
 
Presentación de indicadores de gestión
Presentación de indicadores de gestiónPresentación de indicadores de gestión
Presentación de indicadores de gestiónCarlos Andrés Rincón V
 
Diapositivas de workshop Parte 1
Diapositivas de workshop Parte 1Diapositivas de workshop Parte 1
Diapositivas de workshop Parte 1Safety Control Peru
 
Soluciones para la administración de Riesgos
Soluciones para la administración de RiesgosSoluciones para la administración de Riesgos
Soluciones para la administración de RiesgosPECB
 
Best Approach to Integrate ISO 9001 and ISO 27001 Simultaneously
Best Approach to Integrate ISO 9001 and ISO 27001 SimultaneouslyBest Approach to Integrate ISO 9001 and ISO 27001 Simultaneously
Best Approach to Integrate ISO 9001 and ISO 27001 SimultaneouslyPECB
 
Administracion del control de perdidas
Administracion del control de perdidasAdministracion del control de perdidas
Administracion del control de perdidasOverallhealth En Salud
 
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOSMETODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOSavaloslaulen
 
ISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSJuan Carlos Bajo Albarracín
 
ISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosPrimala Sistema de Gestion
 
Acción correctiva y preventiva 3
Acción correctiva y preventiva 3Acción correctiva y preventiva 3
Acción correctiva y preventiva 3alcaldiamariquita
 
1. Pengantar Manajemen Risiko MRD - 2021.pptx
1. Pengantar Manajemen Risiko MRD - 2021.pptx1. Pengantar Manajemen Risiko MRD - 2021.pptx
1. Pengantar Manajemen Risiko MRD - 2021.pptxnurlailli2
 
IATF 16949:2016 Clause Modification & Add
IATF 16949:2016 Clause Modification & AddIATF 16949:2016 Clause Modification & Add
IATF 16949:2016 Clause Modification & AddNeerav Poothia (Urgently need a Change)
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Infografia NTC ISO 31000
Infografia NTC ISO 31000Infografia NTC ISO 31000
Infografia NTC ISO 31000lecary
 
Qms auditing powerpoint
Qms auditing powerpointQms auditing powerpoint
Qms auditing powerpointPat Kilbane
 
Caso practico Indicadores de desempeño
Caso practico Indicadores de desempeñoCaso practico Indicadores de desempeño
Caso practico Indicadores de desempeñojesuscarmonauft
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Descubre la iso 31000 para la gestion de riesgos
Descubre la iso 31000 para la gestion de riesgosDescubre la iso 31000 para la gestion de riesgos
Descubre la iso 31000 para la gestion de riesgosgedpro project management experts
 

Más contenido relacionado

La actualidad más candente

Metodos de valoracion del riesgo
Metodos de valoracion del riesgoMetodos de valoracion del riesgo
Metodos de valoracion del riesgoSergio Guillen
 
Bases datos eventos_perdida_riesgos_operacionales
Bases datos eventos_perdida_riesgos_operacionales Bases datos eventos_perdida_riesgos_operacionales
Bases datos eventos_perdida_riesgos_operacionales IDDEA
 
Ai iso 19011-2018 (iso 17025-2017)
Ai iso 19011-2018 (iso 17025-2017)Ai iso 19011-2018 (iso 17025-2017)
Ai iso 19011-2018 (iso 17025-2017)LUIS GONZALEZ BACA
 
Diapositivas de workshop Parte 1
Diapositivas de workshop Parte 1Diapositivas de workshop Parte 1
Diapositivas de workshop Parte 1Safety Control Peru
 
Soluciones para la administración de Riesgos
Soluciones para la administración de RiesgosSoluciones para la administración de Riesgos
Soluciones para la administración de RiesgosPECB
 
Best Approach to Integrate ISO 9001 and ISO 27001 Simultaneously
Best Approach to Integrate ISO 9001 and ISO 27001 SimultaneouslyBest Approach to Integrate ISO 9001 and ISO 27001 Simultaneously
Best Approach to Integrate ISO 9001 and ISO 27001 SimultaneouslyPECB
 
Administracion del control de perdidas
Administracion del control de perdidasAdministracion del control de perdidas
Administracion del control de perdidasOverallhealth En Salud
 
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOSMETODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOSavaloslaulen
 
Acción correctiva y preventiva 3
Acción correctiva y preventiva 3Acción correctiva y preventiva 3
Acción correctiva y preventiva 3alcaldiamariquita
 
1. Pengantar Manajemen Risiko MRD - 2021.pptx
1. Pengantar Manajemen Risiko MRD - 2021.pptx1. Pengantar Manajemen Risiko MRD - 2021.pptx
1. Pengantar Manajemen Risiko MRD - 2021.pptxnurlailli2
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Infografia NTC ISO 31000
Infografia NTC ISO 31000Infografia NTC ISO 31000
Infografia NTC ISO 31000lecary
 
Qms auditing powerpoint
Qms auditing powerpointQms auditing powerpoint
Qms auditing powerpointPat Kilbane
 
Caso practico Indicadores de desempeño
Caso practico Indicadores de desempeñoCaso practico Indicadores de desempeño
Caso practico Indicadores de desempeñojesuscarmonauft
 

La actualidad más candente (20)

Metodos de valoracion del riesgo
Metodos de valoracion del riesgoMetodos de valoracion del riesgo
Metodos de valoracion del riesgo
 
Bases datos eventos_perdida_riesgos_operacionales
Bases datos eventos_perdida_riesgos_operacionales Bases datos eventos_perdida_riesgos_operacionales
Bases datos eventos_perdida_riesgos_operacionales
 
Iso 14 sistema integrado de gestion
Iso 14 sistema integrado de gestionIso 14 sistema integrado de gestion
Iso 14 sistema integrado de gestion
 
Ai iso 19011-2018 (iso 17025-2017)
Ai iso 19011-2018 (iso 17025-2017)Ai iso 19011-2018 (iso 17025-2017)
Ai iso 19011-2018 (iso 17025-2017)
 
AI02 Proceso de auditoría
AI02 Proceso de auditoríaAI02 Proceso de auditoría
AI02 Proceso de auditoría
 
Presentación de indicadores de gestión
Presentación de indicadores de gestiónPresentación de indicadores de gestión
Presentación de indicadores de gestión
 
Diapositivas de workshop Parte 1
Diapositivas de workshop Parte 1Diapositivas de workshop Parte 1
Diapositivas de workshop Parte 1
 
Soluciones para la administración de Riesgos
Soluciones para la administración de RiesgosSoluciones para la administración de Riesgos
Soluciones para la administración de Riesgos
 
Best Approach to Integrate ISO 9001 and ISO 27001 Simultaneously
Best Approach to Integrate ISO 9001 and ISO 27001 SimultaneouslyBest Approach to Integrate ISO 9001 and ISO 27001 Simultaneously
Best Approach to Integrate ISO 9001 and ISO 27001 Simultaneously
 
Administracion del control de perdidas
Administracion del control de perdidasAdministracion del control de perdidas
Administracion del control de perdidas
 
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOSMETODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
 
ISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOS
 
ISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de Riesgos
 
Acción correctiva y preventiva 3
Acción correctiva y preventiva 3Acción correctiva y preventiva 3
Acción correctiva y preventiva 3
 
1. Pengantar Manajemen Risiko MRD - 2021.pptx
1. Pengantar Manajemen Risiko MRD - 2021.pptx1. Pengantar Manajemen Risiko MRD - 2021.pptx
1. Pengantar Manajemen Risiko MRD - 2021.pptx
 
IATF 16949:2016 Clause Modification & Add
IATF 16949:2016 Clause Modification & AddIATF 16949:2016 Clause Modification & Add
IATF 16949:2016 Clause Modification & Add
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
 
Infografia NTC ISO 31000
Infografia NTC ISO 31000Infografia NTC ISO 31000
Infografia NTC ISO 31000
 
Qms auditing powerpoint
Qms auditing powerpointQms auditing powerpoint
Qms auditing powerpoint
 
Caso practico Indicadores de desempeño
Caso practico Indicadores de desempeñoCaso practico Indicadores de desempeño
Caso practico Indicadores de desempeño
 

Destacado

Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Ilustración de la Administración de Riesgos con ISO 31000:2009
Ilustración de la Administración de Riesgos con ISO 31000:2009Ilustración de la Administración de Riesgos con ISO 31000:2009
Ilustración de la Administración de Riesgos con ISO 31000:2009David Solis
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasMaurice Frayssinet
 
Inteligencia de negocios la informacin como factor crtico de exito
Inteligencia de negocios la informacin como factor crtico de exitoInteligencia de negocios la informacin como factor crtico de exito
Inteligencia de negocios la informacin como factor crtico de exitoMaurice Frayssinet
 
NUEVA UNE-EN ISO 9001:2015
NUEVA UNE-EN ISO 9001:2015NUEVA UNE-EN ISO 9001:2015
NUEVA UNE-EN ISO 9001:2015albertpetit.com
 
ISO 9001:2015 NUEVO DESARROLLO (COMPARACIÓN CON LA ISO 9001:2008)
ISO 9001:2015 NUEVO DESARROLLO (COMPARACIÓN CON LA ISO 9001:2008)ISO 9001:2015 NUEVO DESARROLLO (COMPARACIÓN CON LA ISO 9001:2008)
ISO 9001:2015 NUEVO DESARROLLO (COMPARACIÓN CON LA ISO 9001:2008)KAIZEN CERTIFICATION S.A.C
 
Presentació hospitality 2015, 7 juny 2011
Presentació hospitality 2015, 7 juny 2011Presentació hospitality 2015, 7 juny 2011
Presentació hospitality 2015, 7 juny 2011e3cett
 
PECB Webinar: ¿Por qué toda organización necesita un CISO?
PECB Webinar: ¿Por qué toda organización necesita un CISO?PECB Webinar: ¿Por qué toda organización necesita un CISO?
PECB Webinar: ¿Por qué toda organización necesita un CISO?PECB
 
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso223012.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301Maricarmen García de Ureña
 
Creando una cultura de gestión de riesgos v2
Creando una cultura de gestión de riesgos v2Creando una cultura de gestión de riesgos v2
Creando una cultura de gestión de riesgos v2Hernan Huwyler
 

Destacado (20)

Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
 
Descubre la iso 31000 para la gestion de riesgos
Descubre la iso 31000 para la gestion de riesgosDescubre la iso 31000 para la gestion de riesgos
Descubre la iso 31000 para la gestion de riesgos
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
 
ISO 31000:2009 GESTION DE RIESGO
ISO 31000:2009 GESTION DE RIESGOISO 31000:2009 GESTION DE RIESGO
ISO 31000:2009 GESTION DE RIESGO
 
Ilustración de la Administración de Riesgos con ISO 31000:2009
Ilustración de la Administración de Riesgos con ISO 31000:2009Ilustración de la Administración de Riesgos con ISO 31000:2009
Ilustración de la Administración de Riesgos con ISO 31000:2009
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologias
 
Presentación ISO 31000
Presentación ISO 31000Presentación ISO 31000
Presentación ISO 31000
 
Etical hacking
Etical hackingEtical hacking
Etical hacking
 
Inteligencia de negocios la informacin como factor crtico de exito
Inteligencia de negocios la informacin como factor crtico de exitoInteligencia de negocios la informacin como factor crtico de exito
Inteligencia de negocios la informacin como factor crtico de exito
 
Iso 31000
Iso 31000Iso 31000
Iso 31000
 
NUEVA UNE-EN ISO 9001:2015
NUEVA UNE-EN ISO 9001:2015NUEVA UNE-EN ISO 9001:2015
NUEVA UNE-EN ISO 9001:2015
 
ISO 9001:2015 NUEVO DESARROLLO (COMPARACIÓN CON LA ISO 9001:2008)
ISO 9001:2015 NUEVO DESARROLLO (COMPARACIÓN CON LA ISO 9001:2008)ISO 9001:2015 NUEVO DESARROLLO (COMPARACIÓN CON LA ISO 9001:2008)
ISO 9001:2015 NUEVO DESARROLLO (COMPARACIÓN CON LA ISO 9001:2008)
 
GESTION DEL RIESGO
GESTION DEL RIESGOGESTION DEL RIESGO
GESTION DEL RIESGO
 
GESTION DE RIESGOS
GESTION DE RIESGOSGESTION DE RIESGOS
GESTION DE RIESGOS
 
Presentació hospitality 2015, 7 juny 2011
Presentació hospitality 2015, 7 juny 2011Presentació hospitality 2015, 7 juny 2011
Presentació hospitality 2015, 7 juny 2011
 
Sinergia Gestión De Riesgos
Sinergia Gestión De RiesgosSinergia Gestión De Riesgos
Sinergia Gestión De Riesgos
 
Iso 31000 2009 risk management
Iso 31000 2009 risk managementIso 31000 2009 risk management
Iso 31000 2009 risk management
 
PECB Webinar: ¿Por qué toda organización necesita un CISO?
PECB Webinar: ¿Por qué toda organización necesita un CISO?PECB Webinar: ¿Por qué toda organización necesita un CISO?
PECB Webinar: ¿Por qué toda organización necesita un CISO?
 
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso223012.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
 
Creando una cultura de gestión de riesgos v2
Creando una cultura de gestión de riesgos v2Creando una cultura de gestión de riesgos v2
Creando una cultura de gestión de riesgos v2
 

Similar a Taller gestion de riesgos

Si semana11 taller_gestion_de_riesgos
Si semana11 taller_gestion_de_riesgosSi semana11 taller_gestion_de_riesgos
Si semana11 taller_gestion_de_riesgosJorge Pariasca
 
Taller de Gestión de Riesgos
Taller de Gestión de RiesgosTaller de Gestión de Riesgos
Taller de Gestión de RiesgosSandraDuranG
 
Iso 27001
Iso 27001Iso 27001
Iso 27001mar778
 
CLASE 1 . INTRODUCCION A GESTION DEL RIESGOS.pptx
CLASE 1 . INTRODUCCION A GESTION DEL RIESGOS.pptxCLASE 1 . INTRODUCCION A GESTION DEL RIESGOS.pptx
CLASE 1 . INTRODUCCION A GESTION DEL RIESGOS.pptxkarenSoledad7
 
Conferencia del Ingeniero Ernesto Ng.pdf
Conferencia del Ingeniero Ernesto Ng.pdfConferencia del Ingeniero Ernesto Ng.pdf
Conferencia del Ingeniero Ernesto Ng.pdfFedericoRodrguez27
 
Métodos de evaluación de riesgos
Métodos de evaluación de riesgosMétodos de evaluación de riesgos
Métodos de evaluación de riesgosAndrea Guzmán
 
GESTION DEL RIESGOCSJ10052021.pptx
GESTION DEL RIESGOCSJ10052021.pptxGESTION DEL RIESGOCSJ10052021.pptx
GESTION DEL RIESGOCSJ10052021.pptxEdgar Barrientos
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Metodos para la evaluacion del riesgo
Metodos para la evaluacion del riesgoMetodos para la evaluacion del riesgo
Metodos para la evaluacion del riesgoDiana Rodriguez
 
Metodos para la evaluacion del riesgo
Metodos para la evaluacion del riesgoMetodos para la evaluacion del riesgo
Metodos para la evaluacion del riesgoDiana Rodriguez
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02lizardods
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoMarcos Harasimowicz
 

Similar a Taller gestion de riesgos (20)

Si semana11 taller_gestion_de_riesgos
Si semana11 taller_gestion_de_riesgosSi semana11 taller_gestion_de_riesgos
Si semana11 taller_gestion_de_riesgos
 
Taller de Gestión de Riesgos
Taller de Gestión de RiesgosTaller de Gestión de Riesgos
Taller de Gestión de Riesgos
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
CLASE 1 . INTRODUCCION A GESTION DEL RIESGOS.pptx
CLASE 1 . INTRODUCCION A GESTION DEL RIESGOS.pptxCLASE 1 . INTRODUCCION A GESTION DEL RIESGOS.pptx
CLASE 1 . INTRODUCCION A GESTION DEL RIESGOS.pptx
 
Conferencia del Ingeniero Ernesto Ng.pdf
Conferencia del Ingeniero Ernesto Ng.pdfConferencia del Ingeniero Ernesto Ng.pdf
Conferencia del Ingeniero Ernesto Ng.pdf
 
Métodos de evaluación de riesgos
Métodos de evaluación de riesgosMétodos de evaluación de riesgos
Métodos de evaluación de riesgos
 
GESTION DEL RIESGOCSJ10052021.pptx
GESTION DEL RIESGOCSJ10052021.pptxGESTION DEL RIESGOCSJ10052021.pptx
GESTION DEL RIESGOCSJ10052021.pptx
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005
 
Sgsi
SgsiSgsi
Sgsi
 
Gestion de Riesgos
Gestion de RiesgosGestion de Riesgos
Gestion de Riesgos
 
Infosecu
InfosecuInfosecu
Infosecu
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Metodos para la evaluacion del riesgo
Metodos para la evaluacion del riesgoMetodos para la evaluacion del riesgo
Metodos para la evaluacion del riesgo
 
Metodos para la evaluacion del riesgo
Metodos para la evaluacion del riesgoMetodos para la evaluacion del riesgo
Metodos para la evaluacion del riesgo
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de Riesgo
 

Último

certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 

Último (20)

certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 

Taller gestion de riesgos

  • 1. Ing. CIP Maurice Frayssinet Delgado LI 27001, LA 27001 Oficina Nacional de Gobierno Electrónico e Informática Taller de Gestión de Riesgos
  • 2. ONGEI - Seguridad de la Información Agenda www.ongei.gob.pe Introducción Definiciones Enfoque a procesos ¿Que son los riesgos? Gestión del Riesgo Gestión de riesgos de seguridad de la información Norma ISO/IEC 27005 Norma ISO/IEC 31000 Metodología de Gestión de Riesgos Taller practico
  • 4. ONGEI - Seguridad de la Información •La gestión de riesgos (traducción del inglés Risk management) es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza, a través de una secuencia de actividades. •Las estrategias incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular. •Algunas veces, el manejo de riesgos se centra en la contención de riesgo por causas físicas o legales (por ejemplo, desastres naturales o incendios, accidentes, muerte o demandas). •Por otra parte, la gestión de riesgo financiero se enfoca en los riesgos que pueden ser manejados usando instrumentos financieros y comerciales La gestión del Riesgo Introducción www.ongei.gob.pe
  • 6. ONGEI - Seguridad de la Información Riesgo: Efecto de la incertidumbre sobre la consecución de los objetivos. NOTA 1 Un efecto es una desviación, positiva y/o negativa, respecto a lo previsto. NOTA 2 Los objetivos pueden tener diferentes aspectos (tales como financieros, de salud y seguridad, o ambientales) y se pueden aplicar a diferentes niveles (tales como, nivel estratégico, nivel de un proyecto, de un producto, de un proceso o de una organización completa). NOTA 3 Con frecuencia, el riesgo se caracteriza por referencia a sucesos potenciales y a sus consecuencias , o a una combinación de ambos. NOTA 4 Con frecuencia, el riesgo se expresa en términos de combinación de las consecuencias de un suceso (incluyendo los cambios en las circunstancias) y de su probabilidad (3.6.1.1). NOTA 5 La incertidumbre es el estado, incluso parcial, de deficiencia en la información relativa a la comprensión o al conocimiento de un suceso, de sus consecuencias o de su probabilidad. Definiciones ISO/IEC GUÍA 73:2009 (1.1)
  • 7. ONGEI - Seguridad de la Información Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo. Definiciones ISO/IEC GUÍA 73:2009 (2.1)
  • 8. ONGEI - Seguridad de la Información Marco de trabajo de la gestión del riesgo: Conjunto de elementos que proporcionan los fundamentos y las disposiciones de la organización para el diseño, la implantación, el seguimiento, la revisión y la mejora continua de la gestión del riesgo en toda la organización. Política de gestión del riesgo: Declaración de las intenciones y orientaciones generales de una organización en relación con la gestión del riesgo. Plan de gestión del riesgo: Esquema incluido en el marco de trabajo de la gestión del riesgo que especifica el enfoque, los componentes de gestión y los recursos a aplicar para la gestión del riesgo). Definiciones ISO/IEC GUÍA 73:2009 (2.1.1, 2.1.2, 2.1.3))
  • 9. ONGEI - Seguridad de la Información Proceso de gestión del riesgo: Aplicación sistemática de políticas, procedimientos y prácticas de gestión a las actividades de comunicación, consulta, establecimiento del contexto, e identificación, análisis, evaluación, tratamiento, seguimiento y revisión del riesgo. Definiciones ISO/IEC GUÍA 73:2009 (3.1)
  • 10. ONGEI - Seguridad de la Información Análisis del riesgo: Proceso que permite comprender la naturaleza del riesgo y determinar el nivel de riesgo). Probabilidad (likehood): Posibilidad de que algún hecho se produzca. Exposición: Grado al que se somete una organización y/o una parte interesada en caso de un suceso. Consecuencia: Resultado de un suceso que afecta a los objetivos. Frecuencia: Número de sucesos o de efectos en una unidad de tiempo definida. Definiciones ISO/IEC GUÍA 73:2009 (3.6.1, 3.6.1.1,3.6.1.2,3.6.1.5)
  • 11. ONGEI - Seguridad de la Información Definiciones ISO/IEC GUÍA 73:2009 (3.6.1.6,3.6.1.7,3.6.1.8) Vulnerabilidad: Propiedades intrínsecas de que algo produzca como resultado una sensibilidad a una fuente de riesgo que puede conducir a un suceso con una consecuencia . Matriz de riesgo: Herramienta que permite clasificar y visualizar los riesgos , mediante la definición de categorías de consecuencias y de su probabilidad. Nivel de riesgo: Magnitud de un riesgo o combinación de riesgos, expresados en términos de la combinación de las consecuencias y de su probabilidad.
  • 12. ONGEI - Seguridad de la Información Evaluación del riesgo: Proceso de comparación de los resultados del análisis del riesgo con los criterios de riesgo para determinar si el riesgo y/o su magnitud son aceptables o tolerables. Actitud ante el riesgo: Enfoque de la organización para apreciar un riesgo y eventualmente buscarlo, retenerlo, tomarlo o rechazarlo. Apetito por el riesgo: Cantidad y tipo de riesgo que una organización está preparada para buscar o retener. Definiciones ISO/IEC GUÍA 73:2009 (3.7.1,3.7.1.1,3.7.1.2)
  • 13. ONGEI - Seguridad de la Información Tolerancia al riesgo: Disponibilidad de una organización o de las partes interesadas para soportar el riesgo después del tratamiento del riesgo con objeto de conseguir sus objetivos. Aversión al riesgo: Actitud de rechazar el riesgo Agregación de riesgos: Combinación de un número de riesgos en un solo riesgo para desarrollar una comprensión más completa del riesgo general. Aceptación del riesgo: Decisión informada en favor de tomar un riesgo particular. Definiciones ISO/IEC GUÍA 73:2009 (3.7.1.3,3.7.1.4,3.7.1.5,3.7.1.6)
  • 15. ONGEI - Seguridad de la Información Enfoque a procesos ISO 9000 (2.4) Cualquier actividad, o conjunto de actividades, que utiliza recursos para transformar elementos de entrada en resultados puede considerarse como un proceso. Para que las organizaciones operen de manera eficaz, tienen que identificar y gestionar numerosos procesos interrelacionados y que interactúan. A menudo el resultado de un proceso constituye directamente el elemento de entrada del siguiente proceso. La identificación y gestión sistemática de los procesos empleados en la organización y en particular las interacciones entre tales procesos se conoce como "enfoque basado en procesos".
  • 16. ONGEI - Seguridad de la Información Enfoque a procesos ¿Qué es un proceso? Un proceso es un conjunto de actividades recurrentes mediante las cuales se transforma un grupo de entradas en un grupo de salidas valiosas para un cliente (interno o externo)
  • 17. ONGEI - Seguridad de la Información Enfoque a procesos Ejemplo de procesos •Ventas •Compras •Producción •Presupuesto •Cierre Contable
  • 18. ONGEI - Seguridad de la Información Enfoque a procesos Detalle de procesos MacroProcesos Gestión Logística
  • 19. ONGEI - Seguridad de la Información Enfoque a procesos Ejemplo 1: Proceso Comercial (simple) Estudiante que compra cuadernos en una librería •Identificación del Cliente •Identificación de las entradas del Proceso •Identificación de las actividades principales del proceso •Identificación de las salidas/resultados del proceso
  • 20. ONGEI - Seguridad de la Información Enfoque a procesos Ejemplo 1: Proceso Comercial (simple)
  • 21. ONGEI - Seguridad de la Información Enfoque a procesos Ejemplo 1: Proceso Comercial (simple)
  • 22. ONGEI - Seguridad de la Información Enfoque a procesos Ejemplo 2: Proceso Abastecimiento Requerimiento de compra de papel para fabricar Cuadernos Trabajo individual 5 minutos
  • 23. ONGEI - Seguridad de la Información Enfoque a procesos Ejemplo 2: Proceso Abastecimiento
  • 24. ONGEI - Seguridad de la Información Enfoque a procesos Ejemplo 2: Proceso Abastecimiento
  • 25. ONGEI - Seguridad de la Información Enfoque a procesos Procesos y estructura Los procesos atraviesan áreas o unidades (departamentos) dentro de una empresa. Varias áreas o unidades de una empresa pueden realizar actividades de un mismo proceso. Los procesos son anónimos.
  • 26. ONGEI - Seguridad de la Información Enfoque a procesos Elementos de un Proceso En todos los casos debemos: 1. Identificar el objetivo del proceso 2. Identificar el “cliente” (interno o externo) 3. Identificar el desde y el hasta (alcance) 4. Identificar las entradas 5. Definir los sub procesos, actividades, etapas, etc. (Niveles de detalle) 6. Describirlos (presentando las interrelaciones) 7. Identificar las salidas
  • 27. ONGEI - Seguridad de la Información Enfoque a procesos Ejemplo de elementos de un Proceso de compras Objetivo: Gestionar las compras de insumos y materiales necesarios para realizar las actividades de la empresa, en tiempo y forma, cumpliendo además con las especificaciones de calidad, precios, fecha y lugar de entrega. Entradas: Pedido de insumos de las distintas áreas de la empresa Actividades principales: – Solicitar cotizaciones – Seleccionar proveedor – Recepcionar y controlar insumos – Entregar insumos al Area solicitante de la empresa – Pagar al Proveedor
  • 28. ONGEI - Seguridad de la Información Tareas de “Solicitar una cotización”: – Buscar datos de los proveedores – Completar el formulario de pedido de cotización – Enviar por fax a cada proveedor – Archivar el pedido de cotización Pasos en la tarea de “Completar pedido de cotización”: – Buscar la libreta de formularios de pedido de cotización – Escribir la fecha – Escribir el nombre del primer proveedor a consultar – Especificar los datos de la mercadería – Firmar el formulario A diferencia de las tareas, los pasos no tienen resultados por sí mismos Enfoque a procesos Ejemplo de elementos de un Proceso de compras
  • 29. ONGEI - Seguridad de la Información Enfoque a procesos Herramientas para la descripción de Procesos Tabla de actividades por área interviniente
  • 30. ONGEI - Seguridad de la Información Se sugiere usar notación BPM Enfoque a procesos Herramientas para la descripción de Procesos Representación gráfica (Flujograma)
  • 31. ONGEI - Seguridad de la Información Se sugiere usar notación BPM Enfoque a procesos Herramientas para la descripción de Procesos Dibujogramas
  • 32. ONGEI - Seguridad de la Información Enfoque a procesos Categorías de Procesos
  • 33. ONGEI - Seguridad de la Información La CADENA de VALOR es una forma de representar al MODELO de PROCESOS de la empresa Enfoque a procesos Cadena de Valor
  • 34. ONGEI - Seguridad de la Información Enfoque a procesos Mapa de Procesos
  • 35. ONGEI - Seguridad de la Información
  • 36. ONGEI - Seguridad de la Información
  • 37. ONGEI - Seguridad de la Información
  • 38. ONGEI - Seguridad de la Información
  • 39. ¿Que son los riesgos?
  • 40. ONGEI - Seguridad de la Información ¿Qué son los riesgos? Riesgos Comunes
  • 41. ONGEI - Seguridad de la Información ¿Qué son los riesgos? Peligro y Riesgo
  • 42. ONGEI - Seguridad de la Información •Riesgo se puede definir como: “La exposición a las consecuencias de la incertidumbre”. •La incertidumbre puede originarse en factores internos o externos. •Riesgo es la vulnerabilidad ante un potencial perjuicio o daño para las unidades, personas, organizaciones o entidades. RIESGO = PROBABILIDAD X IMPACTO ¿Qué son los riesgos? Definición
  • 43. ONGEI - Seguridad de la Información ¿Qué son los riesgos? Manera de expresar el riesgo
  • 44. ONGEI - Seguridad de la Información Probabilidad 1=Muy baja 2=Baja 3=Mediana 4=Alta 5=Muy Alta Probabilidad Muy baja Baja Mediana Alta Muy Alta Probabilidad 0.01 a 0.33 = Baja 0.34 a 0.66 = Media 0.67 a 1.00 = Alta ¿Qué son los riesgos? Peligro y Riesgo ¿Qué son los riesgos? Escalas
  • 46. ONGEI - Seguridad de la Información Gestión del Riesgo Definición •Es un proceso de toma de decisiones. •Enfrentar eventos que afectan los objetivos del negocio. •Asegurar que las decisiones se implementan en forma de controles.
  • 47. ONGEI - Seguridad de la Información Gestión del Riesgo La gestión
  • 48. ONGEI - Seguridad de la Información •Estructura conceptual formada por diversos elementos (política, procesos, recursos, estructura organizacional, documentos). •Los elementos están relacionados de tal manera que permiten: –Planificar –Implementar –Controlar y –Tomar acción para la mejora continua. Gestión del Riesgo Sistema de Gestión
  • 49. ONGEI - Seguridad de la Información •Instinto Natural. •Gestión de Préstamos. •Siglo 17: Primeros aseguradores, el riesgo como negocio. •1963: los profesores de la Universidad de Illinois, Robert Mehr and Bob •Hedges, publican “Risk Management in the Business Enterprise”. •Gestión de Riesgos = Gestión de Seguros (Riesgos Puros). •1970: riesgos financieros y de mercado. Enfoque de “silos”. •1980 y 1990: Gestión de riesgo parte de objetivos estratégicos y creación de valor para el accionista. •2000: grandes fraudes Enron, WorldCom. •Mayor enfoque en control financiero y contable, Gobierno Corporativo, LeySabarnes-Oxley, COSO, FERMA, ANZI. •Enfoque holístico, parte fundamental del planeamiento, estrategia y reporte de las empresas. Surge el concepto EWRM. •2009: aparece ISO 31000 como norma unificada. Gestión del Riesgo Evolución
  • 50. ONGEI - Seguridad de la Información Gestión del Riesgo Tipos de análisis de riesgos
  • 51. ONGEI - Seguridad de la Información Gestión del Riesgo Tipos de análisis de riesgos
  • 52. Gestión de riesgos de seguridad de la información
  • 53. ONGEI - Seguridad de la Información Porque el negocio se sustenta a partir de la información que maneja. Porque no sólo es un tema “tecnológico”. Porque la seguridad de la información tiene un costo, pero la inseguridad tiene un costo aún mayor. Principales fallas de seguridad Violaciones de seguridad que involucra a terceros - 25 % Errores de los empleados u omisiones - 20 % Adaptación tardía a nuevas tecnologías - 18 % Abuso del empleado de los sistemas e información de TI - 17 % Otros - 20% Informe TMT Predicciones 2012 de Deloitte Gestión de Riesgo de la SI Seguridad de la información ¿Por qué?
  • 54. ONGEI - Seguridad de la Información Seguridad de la Información: conjunto de medidas para salvaguardar la información preservando su confidencialidad, integridad y disponibilidad. Gestión de Riesgo de la SI Seguridad de la información ¿Por qué?
  • 55. ONGEI - Seguridad de la Información •Activo de información: Los activos de información generan, procesan y/o almacenan la información necesaria para la operación y el cumplimiento de los objetivos de la compañía Tiene valor para la compañía. •Existen varios tipos: Procesos Documentos físicos y electrónicos Software Hardware Personas Gestión de Riesgo de la SI Activo de Información
  • 56. ONGEI - Seguridad de la Información •Riesgo de Seguridad de la Información: El potencial de que una amenaza dada explote las vulnerabilidades de un activo o grupo de activos, causando pérdida o daño a la organización [ISO/IEC 27005:2008] •Combinación de la probabilidad de un evento y sus consecuencias [ISO/IEC 27002:2005] Gestión de Riesgo de la SI Riesgo de SI
  • 57. ONGEI - Seguridad de la Información Gestión de Riesgo de la SI Riesgo de SI
  • 58. ONGEI - Seguridad de la Información La siguientes son las atributos de seguridad de la información: •Confidencialidad: La información se revela únicamente si así está estipulado, a personas, procesos o entidades autorizadas y en el momento autorizado. •Integridad: La información es precisa, coherente y completa desde su creación hasta su destrucción. •Disponibilidad: La información es accedida por las personas o sistemas autorizados en el momento y en el medio que se requiere. DISPONIBILIDAD INFORMACION Gestión de Riesgo de la SI Principios o pilares de la SI
  • 60. ONGEI - Seguridad de la Información •ISO/IEC 27005 es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. •La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001. Norma ISO/IEC 27005 Definición
  • 61. ONGEI - Seguridad de la Información •ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización. •No recomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria. Norma ISO/IEC 27005 Definición
  • 62. ONGEI - Seguridad de la Información Prefacio Introducción Referencias normativas. Términos y definiciones. Estructura.Fondo. Descripción del proceso de ISRM. Establecimiento Contexto. Información sobre la evaluación de riesgos de seguridad (ISRA). Tratamiento de Riesgos Seguridad de la Información. Admisión de Riesgos Seguridad de la información. Comunicación de riesgos de seguridad de información. Información de seguridad Seguimiento de Riesgos y Revisión. Anexo A: Definición del alcance del proceso. Anexo B: Valoración de activos y evaluación de impacto. Anexo C: Ejemplos de amenazas típicas. Anexo D: Las vulnerabilidades y métodos de evaluación de la vulnerabilidad. Anexo E: Enfoques ISRA Norma ISO/IEC 27005 Estructura
  • 63. ONGEI - Seguridad de la Información Norma ISO/IEC 27005 Procesos
  • 65. ONGEI - Seguridad de la Información •La ISO 31000 es una norma internacional que ofrece las directrices y principios para gestionar el riesgo de las organizaciones. •Esta norma fue publicada en noviembre del 2009 por la Organización Internacional de Normalización (ISO) en colaboración con IEC, y tiene por objetivo que organizaciones de todos los tipos y tamaños puedan gestionar los riesgos en la empresa de forma efectiva, por lo que recomienda que las organizaciones desarrollen, implanten y mejoren continuamente un marco de trabajo cuyo objetivo es integrar el proceso de gestión de riesgos en cada una de sus actividades. Norma ISO/IEC 31000 Definiciones
  • 66. ONGEI - Seguridad de la Información 1.Alcance 2.Términos y definiciones 3.Principios 4.Framework 5.Procesos Norma ISO/IEC 31000 Estructura
  • 67. ONGEI - Seguridad de la Información Norma ISO/IEC 31000 Visión General
  • 68. ONGEI - Seguridad de la Información Norma ISO/IEC 31000 Procesos
  • 70. ONGEI - Seguridad de la Información Metodología de Gestión de Riesgo Octave •OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) se encuentra disponible gratuitamente (en inglés) y es un conjunto de herramientas, técnicas y métodos para desarrollar análisis de riesgos basados en gestión y la planeación estratégica de la organización. •Son todas las acciones que necesitan ser llevadas a cabo dentro de la organización para realizar la gestión de activos, conocer posibles amenazas y evaluar vulnerabilidades. http://www.cert.org/resilience/products-services/octave/
  • 71. ONGEI - Seguridad de la Información Metodología de Gestión de Riesgo Magerit MAGERIT es una metodología de Análisis de Riesgos de carácter público elaborada por el Ministerio de Administraciones Públicas, siendo probablemente la metodología más utilizada en España. El nombre de MAGERIT responde a "Metodología de Análisis y Gestión de Riesgos de IT”, y es un método formal orientado a activos, cuya misión es descubrir los riesgos a los que se encuentran expuestos nuestros sistemas de información y recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos. https://www.ccn-cert.cni.es/publico/herramientas/pilar5/magerit/
  • 72. ONGEI - Seguridad de la Información COSO ERM, incluye los métodos y procesos utilizados por las organizaciones para gestionar los riesgos y aprovechar las oportunidades relacionadas con el logro de sus objetivos. Coso ERM proporciona un marco para la gestión de riesgos , que generalmente implica la identificación de eventos o circunstancias particulares pertinentes a los objetivos de la organización (riesgos y oportunidades), la evaluación en términos de probabilidad y la magnitud del impacto, que determinan una estrategia de respuesta, y el monitoreo del progreso. Metodología de Gestión de Riesgo Coso ERM http://www.coso.org/-erm.htm
  • 73. ONGEI - Seguridad de la Información La norma ISO/IEC 27001, no especifica que se utilice una metodología de riesgos en particular, de hecho usted puede crear una propia, cumpliendo con lo estipulado en la norma
  • 75. ONGEI - Seguridad de la Información
  • 76. ONGEI - Seguridad de la Información No olvide Cuidado mucha información esta en nuestros equipos moviles ya mitigo este riesgo…
  • 77. Contacto: Ing. CIP Maurice Frayssinet Delgado mfrayssinet@gmail.com Teléfono rpm # 963-985-125 www.ongei.gob.pe Muchas Gracias