Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.
La Gestión de Riesgos en las
Tecnologías de la Información.
Pedro Escarcega, Fundador y Director General de AdPro
12 de Oc...
Pedro Escárcega N
Fundador y Director General
AdPro es una empresa Mexicana dedicada a la consultoría y a la capacitación
...
3
Gestión de Riesgos de TI
La Gestión de Riesgos en las Tecnologías de la
Información.
Un análisis del proceso de Gestión ...
4
Gestión de Riesgos de TI
 Reír es correr el riesgo de presentarse como tonto
 Llorar es correr el riesgo de parecer se...
5
Gestión de Riesgos de TI
Pero los riesgos deben ser tomados porque el mayor peligro en
la vida es no tomar ningún riesgo...
6
Gestión de Riesgos de TI
Agenda
1. Perspectiva general de Gestión de Riesgos
2. Fundamentos de la Gestión de Riesgos
3. ...
7
Gestión de Riesgos de TI
Perspectiva general de Gestión de Riesgos
El riesgo es parte de todas nuestras vidas. Como soci...
8
Gestión de Riesgos de TI
Perspectiva general de Gestión de Riesgos
El papel de la TI en una organización se ha transform...
9
Gestión de Riesgos de TI
Fundamentos de la Gestión de Riesgos
Conceptos Clave
• El riesgo es una medida
del grado en que...
10
Gestión de Riesgos de TI
Fundamentos de la Gestión de Riesgos
Conceptos Clave
Riesgo
• Combinación de la
probabilidad d...
11
Gestión de Riesgos de TI
Fundamentos de la Gestión de Riesgos
Conceptos Clave
Identificación
de riesgos
• Proceso por e...
12
Gestión de Riesgos de TI
Fundamentos de la Gestión de Riesgos
Conceptos Clave
Control de riesgos
• Acciones que
ponen e...
13
Gestión de Riesgos de TI
Fundamentos de la Gestión de Riesgos
Conceptos Clave
• Una metodología de evaluación:
No Activ...
14
Gestión de Riesgos de TI
Fundamentos de la Gestión de Riesgos
Identificar el Riesgo
Identificar los Riesgos de TI aplic...
15
Gestión de Riesgos de TI
Estándares y Normas
• ISO 31000:2009, Gestión del Riesgo Principios y Directrices
(Organizació...
16
Gestión de Riesgos de TI
Estándares y Normas
• ISO/IEC 27000:2009, Tecnología de la Información Técnicas
de seguridad S...
17
Gestión de Riesgos de TI
Buenas Prácticas
• ITSM, ITIL V3.- ITIL (Information Technology Infraestructure
Library o Bibl...
18
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000)
• “TODAS las organizaci...
19
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000:2009)
• Elementos Clave
...
20
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000:2009)
Principios
• Crea ...
21
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000:2009)
Compromiso
de la
D...
22
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000:2009)
Proceso de Gestión...
23
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000:2009)
• Beneficios
 Est...
24
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000:2009)
• Conclusión
 La ...
25
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• ISO/IEC 20000:2011-Parte 1
Es...
26
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
Clientes y otras
partes
interesa...
27
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
6.3. Gestión de la disponibilida...
28
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• Conclusión
 La norma ISO 2000...
29
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
• Toda la información con...
30
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
ISO/IEC 27002:2013
14 Dom...
31
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
ISO 27002:2013 y sus 14 D...
32
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
6.1.2 Evaluación de riesg...
33
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
Evaluación de
Riesgos
Con...
34
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
• Conclusión
 La norma I...
35
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005)
• Un enfoque sistemático ...
36
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005)
• Para ISO/IEC 27005:2011...
37
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005)
7 Establecimiento de cont...
38
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005)
8 Evaluación de Riesgos d...
39
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005)
9 El tratamiento de riesg...
40
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005)
• Conclusión
 La norma I...
41
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ITSM)
ITSM (IT Service Management)
Es una buena...
42
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ITSM)
ITIL es la fuente confiable y
popularment...
43
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ITSM)
Mapa de Procesos de ITIL V3
Estrategia de...
44
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ITSM)
Procesos de ITIL V3 con aportación a la g...
45
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ITSM)
Algunas políticas de seguridad de la Info...
46
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ITSM)
• Conclusión
 ITSM es un marco de refere...
47
Gestión de Riesgos
Gestión de Riesgos de TI desde el enfoque de Gobierno
Empresarial de TI (Cobit 5)
• Análisis y evalu...
48
Gestión de Riesgos
Cobit 5
Source: COBIT® 5, © 2012 ISACA® All rights reserved.
Procesos
relacionados con la
Gestión de...
49
Gestión de Riesgos
Gestión de Riesgos de TI desde el enfoque de Gobierno
Empresarial de TI (Cobit 5)
Source: COBIT® 5, ...
50
Gestión de Riesgos
Gestión de Riesgos de TI desde el enfoque de Gobierno
Empresarial de TI (Cobit 5)
APO12 Gestionar el...
51
Gestión de Riesgos
Gestión de Riesgos de TI desde el enfoque de Gobierno
Empresarial de TI (Cobit 5)
Metas
Cumplimiento...
52
Gestión de Riesgos
Gestión de Riesgos de TI desde el enfoque de Gobierno
Empresarial de TI (Cobit 5)
Conclusión:
Se en...
53
Gestión de Riesgos de TI
Conclusiones Generales
 La Gestión de Riesgos forma parte integral de los Sistemas de Gestión...
?
Preguntas
Muchas Gracias
+52 1 442 467 9510
pescarce@adpro.mx
www.adpro.mx
linkedin.com/in/pedroescarcega
twitter.com/pe...
Ha terminado este documento.
Próximo SlideShare
Taller de Gestión de Riesgos
Siguiente
Próximo SlideShare
Taller de Gestión de Riesgos
Siguiente

Compartir

La Gestión de Riesgos en las Tecnologías de la Información

Un análisis del proceso de Gestión de Riesgos de TI desde las perspectivas distintas de los estándares, las normas y las mejores prácticas de gestión de TI aplicables. Se revisa el enfoque de gestión de riesgos de TI descrito en ITSM/ITIL, ISO 20000, ISO 31000, ISO 27001, ISO 27005, ISO 22301 y COBIT.

Vamos a cubrir:
• Perspectiva general de Gestión de Riesgos
• Normas, estándares y buenas prácticas en la gestión de procesos de TI
• Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000)
• Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)

Presentador:
Pedro Escarcega Navarrete es un profesional con más de 30 años de experiencia como ejecutivo en empresas, en áreas de tecnología y ha desempeñado funciones que van desde la consultoría, capacitación e implementación y gestión de procesos de tecnologías de la información, el diseño y la administración de proyectos, hasta funciones de gerencia y dirección.

Link of the recorded session published on YouTube: https://youtu.be/JF0RIYmH6No

Libros relacionados

Gratis con una prueba de 30 días de Scribd

Ver todo

Audiolibros relacionados

Gratis con una prueba de 30 días de Scribd

Ver todo

La Gestión de Riesgos en las Tecnologías de la Información

  1. 1. La Gestión de Riesgos en las Tecnologías de la Información. Pedro Escarcega, Fundador y Director General de AdPro 12 de Octubre de 2016
  2. 2. Pedro Escárcega N Fundador y Director General AdPro es una empresa Mexicana dedicada a la consultoría y a la capacitación de procesos de TI. Durante los últimos 6 años ha entregado servicios de consultoría para la implantación y mejora de los procesos de gestión de TI en Latinoamérica. Contact Information +52 1 442 467 9510 pescarce@adpro.mx pescarce@adpro.mx linkedin.com/in/pedroescarcega twitter.com/pescarce
  3. 3. 3 Gestión de Riesgos de TI La Gestión de Riesgos en las Tecnologías de la Información. Un análisis del proceso de Gestión de Riesgos de TI desde las perspectivas distintas de los estándares, las normas y las mejores prácticas de gestión de TI aplicables. Se revisa el enfoque de gestión de riesgos de TI descrito en ITSM/ITIL, ISO 20000, ISO 31000, ISO 27001, ISO 27005, ISO 22301 y COBIT.
  4. 4. 4 Gestión de Riesgos de TI  Reír es correr el riesgo de presentarse como tonto  Llorar es correr el riesgo de parecer sentimental  Exponer los sentimientos es arriesgarse a exponer su verdadera yo  Comunicarse con otro es correr el riesgo de involucrarse  Compartir tus ideas, tus sueños ante una multitud es correr el riesgo de perderlos  Amar es correr el riesgo de que no te correspondan  Vivir es correr el riesgo de morir  Intentar es correr el riesgo de fracasar.
  5. 5. 5 Gestión de Riesgos de TI Pero los riesgos deben ser tomados porque el mayor peligro en la vida es no tomar ningún riesgo. La persona que arriesga nada, no hace nada, no tiene nada, y no es nada. No tomar riesgos puede evitar el sufrimiento y el dolor, pero no se puede aprender, sentir, cambiar, crecer, amar y vivir. En encadenados por sus actitudes, son esclavos, han perdido su libertad, sólo la persona que arriesga es libre. Anónimo
  6. 6. 6 Gestión de Riesgos de TI Agenda 1. Perspectiva general de Gestión de Riesgos 2. Fundamentos de la Gestión de Riesgos 3. Normas, estándares y buenas practicas en la gestión de procesos de TI. 4. Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000) 5. Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000) 6. Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001) 7. Gestión de Riesgos en la Gestión del Servicio (ITSM) 8. Gestión de Riesgos de TI desde el enfoque de Gobierno Empresarial de TI (Cobit 5)
  7. 7. 7 Gestión de Riesgos de TI Perspectiva general de Gestión de Riesgos El riesgo es parte de todas nuestras vidas. Como sociedad, debemos tomar riesgos para crecer y desarrollarnos. En energía, infraestructura, cadenas de suministro para la seguridad de los aeropuertos, hospitales a la vivienda, la administración eficaz de los riesgos ayudar a las sociedades a tener éxito. En nuestro mundo acelerado, los riesgos que tenemos que gestionar evolucionan rápidamente. Necesitamos asegurarnos de gestionar los riesgos de manera que podamos minimizar sus amenazas y maximizar su potencial.
  8. 8. 8 Gestión de Riesgos de TI Perspectiva general de Gestión de Riesgos El papel de la TI en una organización se ha transformado en los últimos años y ya no es visto como simple apoyo a la empresa. También permite a las empresas diferenciarse y proporciona a muchas organizaciones una ventaja competitiva. Este resultado convierte a TI en habilitador estratégico, en lugar de un centro de costo. Como resultado, la perspectiva sobre la gestión de riesgo de TI dentro de una organización también ha evolucionado.
  9. 9. 9 Gestión de Riesgos de TI Fundamentos de la Gestión de Riesgos Conceptos Clave • El riesgo es una medida del grado en que una entidad está amenazada por una posible circunstancia o acontecimiento.
  10. 10. 10 Gestión de Riesgos de TI Fundamentos de la Gestión de Riesgos Conceptos Clave Riesgo • Combinación de la probabilidad de un suceso y de su consecuencia. • El término "riesgo" suele utilizarse sólo en el caso de que exista, al menos, una posibilidad de consecuencia negativa. Consecuencia • Resultado de un suceso. Se puede derivar más de una consecuencia de un mismo suceso. • Las consecuencias pueden variar de positivas a negativas. Sin embargo, las consecuencias son siempre negativas en aspectos de seguridad. Probabilidad • Grado en que un suceso puede tener lugar. Gestión de riesgos • Actividades coordinadas para dirigir y controlar una empresa en relación con el riesgo.
  11. 11. 11 Gestión de Riesgos de TI Fundamentos de la Gestión de Riesgos Conceptos Clave Identificación de riesgos • Proceso por el que se encuentran, enumeran y caracterizan elementos de riesgo. Estimación de riesgos • Proceso utilizado para asignar valores a la probabilidad y a las consecuencias de un riesgo. Evaluación de riesgos • Proceso que consiste en comparar el riesgo calculado con ciertos criterios de riesgos para determinar la importancia del riesgo. Tratamiento de riesgos • Proceso de selección y puesta en aplicación de medidas para modificar el riesgo. Riesgo residual • Riesgo que permanece después del tratamiento de riesgos.
  12. 12. 12 Gestión de Riesgos de TI Fundamentos de la Gestión de Riesgos Conceptos Clave Control de riesgos • Acciones que ponen en aplicación las decisiones de la gestión de riesgos. El control de riesgos puede incluir la supervisión, la reevaluación y la conformidad con las decisiones. Reducción de riesgos • Acciones tomadas para reducir la probabilidad, las consecuencias negativas, o ambas, en relación con un riesgo. Transferencia de riesgos • Puesta en común con otra parte de la carga de las pérdidas consecuencia de un riesgo. • Los requisitos legales o estatutarios pueden limitar, prohibir u ordenar la transferencia de cierto riesgo. Retención de riesgos • Aceptación de la carga de las pérdidas consecuencia de un riesgo particular. • La retención de riesgos incluye la aceptación de riesgos que no se han identificado. Aceptación de riesgos • Decisión de aceptar un riesgo. • La aceptación de riesgos depende de los criterios de riesgos.
  13. 13. 13 Gestión de Riesgos de TI Fundamentos de la Gestión de Riesgos Conceptos Clave • Una metodología de evaluación: No Actividad Descripción 1 Identifica Amenazas A partir de los incidentes sufridos, la lista de activos críticos y la priorización de los procesos del negocio. 2 Identifica vulnerabilidades Análisis de la lista de vulnerabilidades asociadas a los activos y a los procesos del negocio. 3 Valora el Riesgo Inherente Se determinan cuáles son los riesgos inherentes a las actividades y funciones de la organización, se valoran, clasifican y se determina el nivel de riesgo. 4 Identifica controles existentes Identificar los controles que actualmente tiene implementados la organización. 5 Valora el riesgo residual. Se evalúa la calidad y eficacia de los controles mitigantes de los riesgos para obtener el nivel de riesgo resultante después de la aplicación de los controles o mitigación. 6 Optimiza Controles. Se propone una serie de mejoras con el fin de optimizar los controles existentes o agregar nuevos controles necesarios para mitigar riesgos atendiendo los criterios de tratamiento de riesgo de la organización. 7 Mantiene un Perfil de Riesgo. Establecer una matriz de Riesgos, controles, monitoreando y manteniendo la efectividad de los controles.
  14. 14. 14 Gestión de Riesgos de TI Fundamentos de la Gestión de Riesgos Identificar el Riesgo Identificar los Riesgos de TI aplicables a partir del los escenarios de riesgo de la empresa, considerando su postura y apetito de riesgo Gestionar el Riesgo Gestionar los Riesgos de TI a través de la implementación de procesos y controles para su prevención y respuesta. Optimizar el Riesgo Establecer procesos y procedimientos para optimizar controles y función de monitoreo de los riesgos. Mitigar el Riesgo Establecer estrategias de Mitigación al impacto de la materialización de los riesgos, así como su rápida recuperación. Marco de Trabajo • Gobierno de TI • Gente • Estándares y Políticas • Procesos y Procedimientos • Mejora Continua
  15. 15. 15 Gestión de Riesgos de TI Estándares y Normas • ISO 31000:2009, Gestión del Riesgo Principios y Directrices (Organización Internacional de Normalización) • ISO/IEC 31010:2009, Gestión del riesgo Técnicas de apreciación del riesgo. • ISO/IEC 20000-1:2011, Tecnología de la información Gestión de servicios. Tecnología de la información Parte 1: Requisitos del sistema de gestión de servicios. • ISO/IEC 20000-2:2012, Tecnología de la información Gestión de servicios Parte 2: Orientación sobre la aplicación de sistemas de gestión de servicios. • ISO 22301:2012, La seguridad social Sistemas de gestión de la continuidad de negocio, Requisitos.
  16. 16. 16 Gestión de Riesgos de TI Estándares y Normas • ISO/IEC 27000:2009, Tecnología de la Información Técnicas de seguridad Sistemas de gestión de seguridad de la Información, Información general y vocabulario. • ISO/IEC 27001:2005, Sistemas de Gestión de Seguridad de la Información Requisitos. • ISO/IEC 27002:2005, Tecnología de la Información Técnicas de seguridad Código de buenas prácticas de gestión de la seguridad de la información. • ISO/IEC 27005:2011, Tecnología de la Información Técnicas de seguridad Gestión de riesgos de seguridad de la Información.
  17. 17. 17 Gestión de Riesgos de TI Buenas Prácticas • ITSM, ITIL V3.- ITIL (Information Technology Infraestructure Library o Biblioteca de Infraestructura de Tecnologías de la Información) (ITIL®), estándar mundial de de facto en la Gestión de Servicios Informáticos. Information Technology Service Management (ITSM). • Cobit 5.- COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el gobierno y la gestión de las TI corporativas. ISACA ha emitido escenarios de riesgo utilizando COBIT 5 para proporcionar orientación de riesgo.
  18. 18. 18 Gestión de Riesgos de TI Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000) • “TODAS las organizaciones, no importa cuán grande o pequeño, se enfrentan a factores internos y externos que generan incertidumbre sobre si serán capaces de alcanzar sus objetivos. El efecto de esta incertidumbre es RIESGO y es inherente a todas las actividades.” Kevin W. Knight Presidente del grupo de trabajo de la ISO 31000
  19. 19. 19 Gestión de Riesgos de TI Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000:2009) • Elementos Clave Los principios de gestión del riesgo. El marco de trabajo para la gestión de riesgos. El proceso de gestión de riesgo. Nueva definición de Riesgo.- “El riesgo es el efecto de la incertidumbre sobre los objetivos”
  20. 20. 20 Gestión de Riesgos de TI Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000:2009) Principios • Crea valor • Está integrada en los procesos de una organización • Forma parte de la toma de decisiones • Trata explícitamente la incertidumbre • Es sistemática, estructurada y adecuada • Está basada en la mejor información disponible • Está hecha a medida • Tiene en cuenta factores humanos y culturales • Es transparente e inclusiva • Es dinámica, iterativa y sensible al cambio • Facilita la mejora continua de la organización.
  21. 21. 21 Gestión de Riesgos de TI Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000:2009) Compromiso de la Dirección Marco de Trabajo
  22. 22. 22 Gestión de Riesgos de TI Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000:2009) Proceso de GestiónComunicaciónyConsulta Evaluación de Riesgos Establecer el Contexto Identificación de Riesgos Análisis de Riesgos Valoración de los Riesgos Tratamiento de los Riesgos MonitoreoyRevisión
  23. 23. 23 Gestión de Riesgos de TI Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000:2009) • Beneficios  Establecer una base confiable para la toma de decisiones y la planificación  Mejorar los controles  Efectivamente asignar y utilizar recursos para el tratamiento del riesgo  Mejorar la eficacia y eficiencia operativa  Mejorar la salud y de seguridad, así como la protección del medio ambiente  Mejorar la prevención de pérdidas y de manejo de incidentes  Reduzca al mínimo las pérdidas  Mejorar el aprendizaje organizacional  Mejorar la capacidad de recuperación de la organización.
  24. 24. 24 Gestión de Riesgos de TI Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000:2009) • Conclusión  La norma ISO 31000:2009 ofrece un nuevo concepto de riesgo y define la necesidad de incorporar la gestión de riesgos en todos los procesos y prácticas de las organizaciones. Introduce el Tema de la rendición de cuentas al gestionar los riesgos.  La norma ISO 31000:2009 se puede aplicar en CUALQUIER ORGANIZACIÓN sea privada, publica, sin fines de lucro, asociación, grupo o individuo sin importar su tamaño, ya que la norma no es especifica para ningún sector.  Se puede aplicar a cualquier tipo de riesgo, cualquiera sea su naturaleza, causa u origen.
  25. 25. 25 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000) • ISO/IEC 20000:2011-Parte 1 Esta parte de la norma ISO/IEC 20000 es un sistema de administración de servicios (SMS) estándar. Especifica requisitos para el proveedor de servicio para planificar, establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SMS. Los requisitos incluyen el diseño, la transición, la entrega y la mejora de los servicios para cumplir con los requisitos de servicio.
  26. 26. 26 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000) Clientes y otras partes interesadas Clientes y otras partes interesadas Requerimientos de Servicio Servicios SISTEMA DE GESTIÓN DE SERVICIOS (SGS) Responsabilidad de la Dirección. Establecer y Mejorar el SGS. Gobernabilidad de los Procesos Operadospor Otras Partes. Gestión de Documentos. Gestión de Recursos. Diseño y Transición de Servicios Nuevos o Modificados Procesosde la Provisión del Servicio Gestión dela Capacidad. Gestiónde la Continuidad y Disponibilidad del Servicio. Gestión de Nivel de Servicio. Informes del Servicio. Gestión de la Seguridad de la Información. Presupuesto y Contabilidad de los Servicios. Procesos de control Gestiónde laConfiguración. Gestióndel Cambio. GestióndeLiberacióny Despliegue. Procesos deResolución Gestiónde IncidentesySolicitudes deServicio. GestióndeProblemas. Procesos deRelaciones Gestiónde lasRelaciones con elNegocio. GestióndeProveedores.
  27. 27. 27 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000) 6.3. Gestión de la disponibilidad y continuidad del servicio 6.3.1. La continuidad del servicio y los requisitos de disponibilidad El proveedor del servicio deberá evaluar y documentar los riesgos para la continuidad del servicio y la disponibilidad de los servicios. 6.6. La gestión de la seguridad de la información 6.6.1. La política de seguridad de la información Con la debida autoridad de gestión se aprobará una política de seguridad de la información teniendo en cuenta las necesidades de servicio, los requisitos legales y normativos y las obligaciones contractuales y de administración.
  28. 28. 28 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000) • Conclusión  La norma ISO 20000:2011 tiene una orientación fundamental a la gestión de los servicios de TI, pero atiende puntualmente el tema de gestión de riesgos desde el proceso de seguridad de la información.  Algunos procesos de la norma en si mismos apoyan la optimización del proceso de gestión de riesgos.  Se recomienda ampliamente considerar las normas ISO 27005 o ISO 31000 cuando se gestione la Seguridad de La información en la implementación de la norma ISO/IEC 20000:2011 .
  29. 29. 29 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001) • Toda la información contenida y procesada por una organización está sujeta a las amenazas de ataque, error de la naturaleza (por ejemplo, inundaciones o incendios), etc., y está sujeto a las vulnerabilidades inherentes a su utilización. • El término seguridad de la información generalmente se basa en la información que se considera como un activo que tiene un valor que requiere una protección adecuada, por ejemplo, frente a la pérdida de disponibilidad, confidencialidad e integridad. • Habilitar la información completa y precisa para estar disponible en forma oportuna para aquellos con una necesidad autorizado es un catalizador para la eficiencia empresarial.
  30. 30. 30 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001) ISO/IEC 27002:2013 14 Dominios 35 Objetivos de Control 114 Controles
  31. 31. 31 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001) ISO 27002:2013 y sus 14 Dominios • Políticas de Seguridad. • Aspectos Organizativos de la Seguridad de la Información. • Seguridad Ligada a los Recursos Humanos. • Gestión de Activos. • Control de Accesos. • Cifrado. • Seguridad Física y Ambiental. • Seguridad en la Operativa. • Seguridad en las Telecomunicaciones. • Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información. • Relaciones con Proveedores. • Gestión de Incidentes en la Seguridad de la Información. • Aspectos de Seguridad de la Información en la Gestión de la Continuidad del Negocio. • Cumplimiento.
  32. 32. 32 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001) 6.1.2 Evaluación de riesgos para la seguridad de la información La organización definirá y aplicará un proceso de evaluación de riesgos para la seguridad de la información 6.1.3 Tratamiento de riesgos para la seguridad de la información La organización definirá y aplicará un proceso de tratamiento de riesgos para la seguridad de la información 8.2 Evaluación de riesgos para la seguridad de la información La organización llevará a cabo evaluaciones de riesgos para la seguridad de la información a intervalos planificados o cuando se planeen u ocurran cambios importantes, teniendo en cuenta los criterios establecidos en 6.1.2 a). 8.3 Tratamiento de riesgos de seguridad de la información La organización deberá implementar un plan de tratamiento de riesgos de seguridad de la información.
  33. 33. 33 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001) Evaluación de Riesgos Controles y Objetivos de Control Autorización para la Implementación y Operación de un ISMS Evaluación de Riesgos Aprobación para la Implementación de un ISMS Aceptación de Riesgos Residuales Declaración de Aplicabilidad (SOA), Controles y Objetivos de Control Metodología para la Evaluación de Riesgos Reporte de Evaluación de Riesgos Relación de Controles y Objetivos de Control Plan de Tratamiento de Riesgos
  34. 34. 34 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001) • Conclusión  La norma ISO/IEC 27001:2013 tiene una orientación fundamental a los riesgos de seguridad de la información de TI.  ISO/IEC 27001 no especifica el enfoque de evaluación/gestión del riesgo que se debe usar. Depende de la organización especificar qué usar.  ISO/IEC 27001 se alinea a la norma ISO 31000 para la gestión de riesgos como se describe en la nota de la clausula 6.1.3. NOTE The information security risk assessment and treatment process in this International Standard aligns with the principles and generic guidelines provided in ISO 31000.  ISO/IEC 27001 presenta el marco e ISO/IEC 27005, cierta información de mayor utilidad
  35. 35. 35 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005) • Un enfoque sistemático de la gestión de riesgos de seguridad de la información es necesaria para identificar las necesidades de la organización en relación con los requisitos de seguridad de la información y crear un eficaz sistema de gestión de seguridad de información (ISMS). Este enfoque debe ser adecuado para el entorno de la empresa y, en particular, deben estar alineados con la gestión de riesgos empresariales generales. • Los esfuerzos deben abordar los riesgos de seguridad de una manera eficaz y oportuna cuando y donde sean necesarios.
  36. 36. 36 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005) • Para ISO/IEC 27005:2011 el modelo de proceso es el mismo que se define en ISO 31000.ComunicaciónyConsulta Evaluación de Riesgos Establecer el Contexto Identificación de Riesgos Análisis de Riesgos Valoración de los Riesgos Tratamiento de los Riesgos MonitoreoyRevisión
  37. 37. 37 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005) 7 Establecimiento de contexto 7.1 Consideraciones Generales 7.2 Criterios básicos 7.2.1 Enfoque de gestión de riesgos 7.2.2 Los criterios de evaluación de riesgo 7.2.3 criterios de impacto 7.2.4 criterios de aceptación de riesgos 7.3 Alcance y límites 7.4 Organización de la gestión de riesgos de seguridad de la información
  38. 38. 38 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005) 8 Evaluación de Riesgos de Seguridad de la Información 8.1 Descripción General Evaluación de Riesgos de Seguridad de la Información 8.2 Identificación del Riesgo 8.2.1 Introducción a la Identificación del Riesgo 8.2.2 Identificación de Activos 8.2.3 Identificación de Amenazas 8.2.4 Identificación de controles existentes 8.2.5 Identificación de vulnerabilidades 8.3 Análisis del Riesgo 8.3.1 Metodologías de Análisis del Riesgo 8.3.2 Evaluación de las Consecuencias 8.3.3 Evaluación de la Probabilidad de los Incidentes 8.3.4 Determinación del Nivel de Riesgo 8.4 Evaluación de los Riesgos
  39. 39. 39 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005) 9 El tratamiento de riesgos de seguridad de la información 9.1 Descripción general del tratamiento de riesgos 9.2 Modificación de riesgo 9.3 Retención de riesgo 9.4 Evitar el riesgo 9.5 Compartir el riesgo 10 Aceptación del riesgo de la seguridad de la información 11 Comunicación y consulta de riesgos de la seguridad de la información 12 Monitoreo y revisión de riesgos de seguridad de la información 12.1 Monitoreo y revisión de los factores de riesgo 12.2 Seguimiento, revisión y mejora de la gestión del riesgo
  40. 40. 40 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005) • Conclusión  La norma ISO/IEC 27005:2011 Es aplicable para todas las organizaciones (tamaño, tipo de empresa, etc.) que requieran administrar los riesgos de seguridad de la información.  ISO/IEC 27005 Está orientada la gestión del riesgo del SGSI para apoyar la evaluación, tratamiento y gestión del riesgo, y al cumplimiento de los requisitos de los controles definidos en la norma 27001.  ISO/IEC 27005 se alinea a la norma ISO 31000 para la gestión de riesgos.  ISO/IEC 27005 Proporciona una orientación detallada para los implementadores del SGSI, encargados de la gestión del riesgo y oficiales de seguridad.
  41. 41. 41 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ITSM) ITSM (IT Service Management) Es una buena práctica, que no un estándar, dedicada a la definición de procesos para la ejecución y gestión de servicios de TI de calidad que satisfagan las necesidades del negocio. La gestión de servicios de TI la llevan a cabo proveedores de servicios de TI a través de la combinación adecuada de personas, procesos y tecnologías de información (herramientas)”.
  42. 42. 42 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ITSM) ITIL es la fuente confiable y popularmente aceptada de las mejores prácticas para la Gestión de Servicios de TI (ITSM). Las mejores prácticas son procesos o actividades probadas que han sido utilizadas con éxito por varias organizaciones. Mejora Continua del Servicio Transición del Servicio Estrategia de Servicio Operación del Servicio Diseño del Servicio ITIL = Information Technology Infrastructure Library (Biblioteca de Infraestructura de Tecnología de la Información)
  43. 43. 43 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ITSM) Mapa de Procesos de ITIL V3 Estrategia del Servicio Gestión de la Estrategia de Servicios de TI Gestión de la Demanda Gestión del Portafolio de Servicios Gestión Financiera de Servicios de TI Gestión de Relaciones con el Negocio Diseño del Servicio Gestión del Nivel de Servicio (SLM) Gestión del Catálogo de Servicios Gestión de la Disponibilidad Gestión de la Seguridad de la Información (ISM) Gestión de Proveedores Gestión de la Capacidad Gestión de la Continuidad de Servicios de TI (ITSCM) Transición del Servicio Gestión de Cambios Gestión de la Configuración y Activos del Servicio Gestión del Conocimiento Gestión de Liberación e Implementación Operación del Servicio Gestión de Incidentes Gestión de Problemas Gestión de Eventos Gestión de Peticiones (o solicitudes) Gestión de Accesos Mejora Continua del Servicio Retorno sobre Inversión Evaluaciones Benchmarking Medición del Servicio Métricas Presentación de Informes del Servicio
  44. 44. 44 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ITSM) Procesos de ITIL V3 con aportación a la gestión de riesgos Estrategia del Servicio Gestión de la Estrategia de Servicios de TI Gestión de la Demanda Gestión del Portafolio de Servicios Gestión Financiera de Servicios de TI Gestión de Relaciones con el Negocio Diseño del Servicio Gestión del Nivel de Servicio (SLM) Gestión del Catálogo de Servicios Gestión de la Disponibilidad Gestión de la Seguridad de la Información (ISM) Gestión de Proveedores Gestión de la Capacidad Gestión de la Continuidad de Servicios de TI (ITSCM) Transición del Servicio Gestión de Cambios Gestión de la Configuración y Activos del Servicio Gestión del Conocimiento Gestión de Liberación e Implementación Operación del Servicio Gestión de Incidentes Gestión de Problemas Gestión de Eventos Gestión de Peticiones (o solicitudes) Gestión de Accesos Mejora Continua del Servicio Retorno sobre Inversión Evaluaciones Benchmarking Medición del Servicio Métricas Presentación de Informes del Servicio
  45. 45. 45 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ITSM) Algunas políticas de seguridad de la Información según ITSM Política de Seguridad de la información Política de Control d Accesos Política de Internet Política de Correo Electrónico Política de Clasificación de Documentos Política de Clasificación de la Información Política de Desecho de Activos Política de Control de Passwords Política de Uso de Activos de TI Política de Antivirus Política de Acceso Remoto Política de Acceso a Activos de TI por proveedores.
  46. 46. 46 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ITSM) • Conclusión  ITSM es un marco de referencia de buenas prácticas que está fuertemente orientado a soportar la norma ISO/IEC 20000.  ITSM considera el proceso de gestión de riesgos embebido en el proceso de Gestión de Seguridad de la Información y sugiere actividades de diseño, implementación y operación de un sistema de gestión de la seguridad de la información.  ITSM no proporciona suficiente detalle para la gestión de riesgos.
  47. 47. 47 Gestión de Riesgos Gestión de Riesgos de TI desde el enfoque de Gobierno Empresarial de TI (Cobit 5) • Análisis y evaluación de riesgos es un enfoque esencial para aportar realismo, percepción, compromiso organizacional, mejorar el análisis y la estructura a la compleja cuestión de los riesgos de TI. • Escenarios de riesgo son una representación tangible y evaluable del riesgo, y son uno de los elementos clave de información necesaria para identificar, analizar y responder al riesgo (COBIT 5 Proceso APO12).
  48. 48. 48 Gestión de Riesgos Cobit 5 Source: COBIT® 5, © 2012 ISACA® All rights reserved. Procesos relacionados con la Gestión del Riesgo Procesos que apoyan a la Gestión del Riesgo
  49. 49. 49 Gestión de Riesgos Gestión de Riesgos de TI desde el enfoque de Gobierno Empresarial de TI (Cobit 5) Source: COBIT® 5, © 2012 ISACA® All rights reserved.
  50. 50. 50 Gestión de Riesgos Gestión de Riesgos de TI desde el enfoque de Gobierno Empresarial de TI (Cobit 5) APO12 Gestionar el Riesgo Subprocesos  APO12.01 Recopilar datos.  APO12.02 Analizar el riesgo.  APO12.03 Mantener un perfil de riesgo.  APO12.04 Expresar el riesgo.  APO12.05 Definir un portafolio de acciones para la gestión de riesgos.  APO12.06 Responder al riesgo.
  51. 51. 51 Gestión de Riesgos Gestión de Riesgos de TI desde el enfoque de Gobierno Empresarial de TI (Cobit 5) Metas Cumplimiento y soporte de las TI al cumplimiento del negocio de las leyes y regulaciones externas Riesgos de negocio relacionados con las TI gestionados Transparencia de los costos, beneficios y riesgo de las TI Seguridad de la información, infraestructura de procesamiento y aplicaciones Entrega de programas que proporcionen beneficios a tiempo, dentro del presupuesto y satisfaciendo los requisitos y normas de calidad
  52. 52. 52 Gestión de Riesgos Gestión de Riesgos de TI desde el enfoque de Gobierno Empresarial de TI (Cobit 5) Conclusión: Se enfoca en aplicar los habilitadores de COBIT 5 al riesgo.  Provee una guía de alto nivel en como identificar, analizar y responder a los riesgos utilizando procesos de COBIT 5 y con el uso de escenarios de riesgo. Define actividades, metas, métricas y las relaciones con otros procesos para facilitar la implementación. Provee un enlace entre los escenarios de riesgo y los habilitadores de COBIT 5 que puede ser usado para mitigar el riesgo. Se alinea con los principales estándares y marcos de referencia en gestión de riesgos.
  53. 53. 53 Gestión de Riesgos de TI Conclusiones Generales  La Gestión de Riesgos forma parte integral de los Sistemas de Gestión de las Tecnologías de la Información cualquiera que sea su orientación y enfoque.  Los Sistemas de Gestión de la TI dedicados a la gestión de los servicios de TI como ISO 20000, ITSM, ITIL, etc. abordan la Gestión de Riesgos sin proporcionar suficiente detalle de su implementación y operación.  Cobit 5 como parte de las buenas prácticas del Gobierno Empresarial de TI es una excelente opción cuando la Gestión de Riesgos requiere ser implementada en los distintos niveles de responsabilidad de una organización.  La Gestión de Riesgos de TI está fuertemente ligada a la Seguridad de la Información por los que las normas ISO 27005 e ISO 31000 deben ser consideradas como la opción que ofrece mayores ventajas cuando la organización busca gestionar los riesgos de acuerdo con los requisitos de la norma ISO 27001.  Las organizaciones que ya han implementado procesos de Gestión de Servicios tendrán una gran plataforma para implementar la norma ISO 27005 o buscar la certificación de ISO 27001.
  54. 54. ? Preguntas Muchas Gracias +52 1 442 467 9510 pescarce@adpro.mx www.adpro.mx linkedin.com/in/pedroescarcega twitter.com/pescarce
  • ericdelessert

    Mar. 21, 2021
  • EdwinHenriquez7

    Aug. 11, 2020
  • danielxml5

    Jul. 27, 2020
  • luisjdominguezp

    Jul. 16, 2020
  • kahonelcuevas1

    Mar. 11, 2020
  • PATRICIATorres237

    Feb. 28, 2020
  • auranvelasco

    Feb. 19, 2020
  • CatalinaLugoPulgarin

    Nov. 27, 2019
  • fredemil2015

    Nov. 7, 2019
  • sammytorres564

    Oct. 7, 2019
  • CAMALOTE9

    Apr. 1, 2019
  • miroslavpaul

    Mar. 5, 2019
  • JulioRodrguezBenito

    Feb. 21, 2019
  • roussetoolmels

    Feb. 11, 2019
  • MaricelLuceroAlberto

    Sep. 24, 2018
  • agatim

    Sep. 14, 2018
  • AleksandrNightroad

    May. 7, 2018
  • preshe2549

    Mar. 4, 2018
  • ElkinSuarez

    Jan. 29, 2018
  • DefendientoALosAnimales

    May. 25, 2017

Un análisis del proceso de Gestión de Riesgos de TI desde las perspectivas distintas de los estándares, las normas y las mejores prácticas de gestión de TI aplicables. Se revisa el enfoque de gestión de riesgos de TI descrito en ITSM/ITIL, ISO 20000, ISO 31000, ISO 27001, ISO 27005, ISO 22301 y COBIT. Vamos a cubrir: • Perspectiva general de Gestión de Riesgos • Normas, estándares y buenas prácticas en la gestión de procesos de TI • Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000) • Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000) • Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001) Presentador: Pedro Escarcega Navarrete es un profesional con más de 30 años de experiencia como ejecutivo en empresas, en áreas de tecnología y ha desempeñado funciones que van desde la consultoría, capacitación e implementación y gestión de procesos de tecnologías de la información, el diseño y la administración de proyectos, hasta funciones de gerencia y dirección. Link of the recorded session published on YouTube: https://youtu.be/JF0RIYmH6No

Vistas

Total de vistas

12.193

En Slideshare

0

De embebidos

0

Número de embebidos

316

Acciones

Descargas

0

Compartidos

0

Comentarios

0

Me gusta

25

×