Cambio de paradigma para la gestión de seguridad de la información?
1. PECB Standards Insights Conference
Gestión de Riesgos por Objetivos.
Cambio de paradigma para la gestión
de seguridad de la información?
Standards, Security, and Audit
2. 2
AVISO IMPORTANTE
La presente información fue elaborada por Restrepo Oramas SAS con
propósitos exclusivamente académicos, teniendo como base la
experiencia profesional adquirida en los últimos 27 años, lo cual
permitió realizar un juicioso análisis y conceptualización sobre los
documentos originales de las normas ISO. Restrepo Oramas SAS, no
se hace responsable sobre cualquier tipo de decisión tomada con base
en la información de carácter académico incluida en esta presentación.
El presente documento es para uso exclusivo de quien recibe de
manera directa esta información por parte de Restrepo Oramas SAS;
quedando prohibida la reproducción total o parcial.
Se recomienda adquirir las normas oficiales ISO en las entidades
autorizadas para su venta.
3. 3
Carlos A. Restrepo Oramas
CEO Restrepo Oramas SAS Colombia
(CISA, CISM, CGEIT, CRISC, CBCP, Lead Implementer ISO 22301, ISO 27001, ISO 20000 Lead
Auditor ISO 22301, ISO 27001, ISO 20000, Lead Risk Manager ISO 31000, ITIL V3, COBIT 5 F)
Professional with more than 25 years of experience, having held management positions in
internationally recognized organizations such as VISA, Synapsis, IQ Outsourcing, Superintendencia
Financiera de Colombia and Deloitte. Carlos A. Restrepo is part of the team of experts representing
Colombia on the ISO Technical Committee 262, Working Group 2, responsible for reviewing and
updating the ISO 31000 international standard for risk management. Additionally, in recognition of
promoting the risk culture in 16 Latin American countries, Carlos was nominated as the best teacher in
2016 by the newspaper “Portafolio” specialized in economy and business. He is the person from Latin
America that taught the most international certification courses in risk and auditing in the world in the
last 36 months (112 in 16 countries).
His ability to combine knowledge and experience as a lecturer, professor,
consultant, auditor, implementer of Integral Risk Management Systems as
well as his roles as Process and Risk Manager in VISA Colombia and ERS
Consultant in Deloitte have allowed him to obtain the highest evaluation in
terms of quality and satisfaction for all the executive training he delivered in
Mexico, Costa Rica, Honduras, Nicaragua, Guatemala, Panama, El Salvador,
Dominican Republic, Colombia, Venezuela, Peru, Bolivia, Chile, Ecuador,
Paraguay, and Argentina.
(57) 3003161468 www.ro-sas.com
10. 10
PRINCIPIOS ISO 31000
Crear y
proteger
valor
Integrado
Estructurado
Adaptado
Inclusivo
Dinámico y
responde a
los cambios
Basado en
mejor
información
disponible
Factores
humanos y
culturales
Mejora
continua
Fuente ISO 31000
11. 11
MARCO DE REFERENCIA ISO 31000
Diseño
Evaluación
Contexto externo
Contexto interno
Liderazgo
y
compromiso
M
e
j
o
r
a
I
m
p
l
e
m
e
n
t
a
c
i
ó
n
Fuente ISO 31000
12. 12
PROCESO ISO 31000
Estableciendo
el contexto
Valoración del riesgoTratamiento de riesgo
Comunicación
y consulta
Registro y reporte
Monitoreo y revisión
Fuente ISO 31000
13. 13
DEFINICIÓN DE RIESGO
RISK: Efecto de la incertidumbre sobre los objetivos
RiskLikelihood Consequence
Fuente ISO 31000