Information Security vs. Data Governance vs. Data Protection: What Is the Rea...PECB
This webinar will provide more information on the importance of information security and how you can take security well beyond compliance, an approach on building strong information security, privacy and data governance programs, and the importance of strong data governance in relation to privacy and information security requirements.
The webinar covers
• Information Security
• Importance Of Information Security Today
• Taking Information Security Beyond A Compliance First
• Importance Of Data Governance In Information Security
• Privacy
• Changing And Evolving Privacy Requirements
• Importance Of Data Governance In Privacy
• Data Governance And Data Privacy
• Data Privacy - Data Processing Principles
Presenters:
Moji is a Senior Business Process Analyst working with GemaltoThales, a leading firm in the IT industry. Moji has over fifteen years of experience in leading projects to improve processes, create and implement processes leading to increased revenue generation and eliminate redundancies.
She has a zeal for adding value and increasing revenue for organizations. Moji is very passionate about Data Privacy and its application in business and consumer rights.
Hardeep Mehrotara has 20+ years of senior leadership experience in Information Technology and Cyber Security working for public and private organizations building security programs from the ground up. He has been featured on Canadian television as a cyber expert and provided advice to various communities on implementing cybersecurity strategy, best practices and controls. He has been a co-author on numerous leading industry security control frameworks, technical benchmarks and industry best practice standards.
-------------------------------------------------------------------------------
Find out more about ISO training and certification services
Training: https://pecb.com/whitepaper/iso-27001-information-technology--security-techniques-information-security--management-systems---requirements
https://pecb.com/en/education-and-certification-for-individuals/iso-iec-27701
Webinars: https://pecb.com/webinars
Articles: https://pecb.com/article
Whitepapers: https://pecb.com/whitepaper
-------------------------------------------------------------------------------
For more information about PECB:
Website: https://pecb.com/
LinkedIn: https://www.linkedin.com/company/pecb/
Facebook: https://www.facebook.com/PECBInternational/
Slideshare: http://www.slideshare.net/PECBCERTIFICATION
YouTube video: https://youtu.be/aQcS5-RFIEY
Website link: https://pecb.com/
This presentation was discussed in a Webinar with MetricStream in September 2016. It is applicable for small, medium and large businesses when considering information and cyber security risk.
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdfFabián Descalzo
📢 𝐈𝐒𝐂𝟐 𝐀𝐫𝐠𝐞𝐧𝐭𝐢𝐧𝐚 | 𝐏𝐫𝐢𝐯𝐚𝐜𝐢𝐝𝐚𝐝 𝐲 𝐜𝐢𝐛𝐞𝐫𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝
Reviví nuestra charla sobre privacidad de datos y ciberseguridad, invitados por el ISC2 Capítulo Buenos Aires, donde tratamos entre otros los siguientes temas:
• Antecedentes de la privacidad e ISO/IEC 27701
• Organización para la protección de la privacidad de datos
• Requisitos de protección de la privacidad
• Privacidad desde el diseño en proyectos tecnológicos
• La privacidad y su relación con otros estándares
• Controles y auditoría de privacidad
• Riesgos y oportunidades en los programas de privacidad
👉 Link al video: https://youtu.be/x-_dGMeB6H4
BDO Argentina
#privacidad #ciberseguridad #iso27701 #GDPR #bdoasesoresdelfuturo #bdotambienesseguridad #seguridaddelainformacion #Webinar #Ciberseguridad #GobiernoIT
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...PECB
This webinar will provide more information on the importance of information security and how you can take security well beyond compliance, an approach on building strong information security, privacy and data governance programs, and the importance of strong data governance in relation to privacy and information security requirements.
The webinar covers
• Information Security
• Importance Of Information Security Today
• Taking Information Security Beyond A Compliance First
• Importance Of Data Governance In Information Security
• Privacy
• Changing And Evolving Privacy Requirements
• Importance Of Data Governance In Privacy
• Data Governance And Data Privacy
• Data Privacy - Data Processing Principles
Presenters:
Moji is a Senior Business Process Analyst working with GemaltoThales, a leading firm in the IT industry. Moji has over fifteen years of experience in leading projects to improve processes, create and implement processes leading to increased revenue generation and eliminate redundancies.
She has a zeal for adding value and increasing revenue for organizations. Moji is very passionate about Data Privacy and its application in business and consumer rights.
Hardeep Mehrotara has 20+ years of senior leadership experience in Information Technology and Cyber Security working for public and private organizations building security programs from the ground up. He has been featured on Canadian television as a cyber expert and provided advice to various communities on implementing cybersecurity strategy, best practices and controls. He has been a co-author on numerous leading industry security control frameworks, technical benchmarks and industry best practice standards.
-------------------------------------------------------------------------------
Find out more about ISO training and certification services
Training: https://pecb.com/whitepaper/iso-27001-information-technology--security-techniques-information-security--management-systems---requirements
https://pecb.com/en/education-and-certification-for-individuals/iso-iec-27701
Webinars: https://pecb.com/webinars
Articles: https://pecb.com/article
Whitepapers: https://pecb.com/whitepaper
-------------------------------------------------------------------------------
For more information about PECB:
Website: https://pecb.com/
LinkedIn: https://www.linkedin.com/company/pecb/
Facebook: https://www.facebook.com/PECBInternational/
Slideshare: http://www.slideshare.net/PECBCERTIFICATION
YouTube video: https://youtu.be/aQcS5-RFIEY
Website link: https://pecb.com/
This presentation was discussed in a Webinar with MetricStream in September 2016. It is applicable for small, medium and large businesses when considering information and cyber security risk.
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdfFabián Descalzo
📢 𝐈𝐒𝐂𝟐 𝐀𝐫𝐠𝐞𝐧𝐭𝐢𝐧𝐚 | 𝐏𝐫𝐢𝐯𝐚𝐜𝐢𝐝𝐚𝐝 𝐲 𝐜𝐢𝐛𝐞𝐫𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝
Reviví nuestra charla sobre privacidad de datos y ciberseguridad, invitados por el ISC2 Capítulo Buenos Aires, donde tratamos entre otros los siguientes temas:
• Antecedentes de la privacidad e ISO/IEC 27701
• Organización para la protección de la privacidad de datos
• Requisitos de protección de la privacidad
• Privacidad desde el diseño en proyectos tecnológicos
• La privacidad y su relación con otros estándares
• Controles y auditoría de privacidad
• Riesgos y oportunidades en los programas de privacidad
👉 Link al video: https://youtu.be/x-_dGMeB6H4
BDO Argentina
#privacidad #ciberseguridad #iso27701 #GDPR #bdoasesoresdelfuturo #bdotambienesseguridad #seguridaddelainformacion #Webinar #Ciberseguridad #GobiernoIT
Penetration testing reporting and methodologyRashad Aliyev
This paper covering information about Penetration testing methodology, standards reporting formats and comparing reports. Explained problem of Cyber Security experts when they making penetration tests. How they doing current presentations.
We will focus our work in penetration testing methodology reporting form and detailed information how to compare result and related work information.
This is the Second Chapter of Cisco Cyber Security Essentials course Which discusses the types of threats, attack vectors, vulnerabilities faced by Information Systems. It describes about the types of Malware.
What is Cyber Security? | Introduction to Cyber Security | Cyber Security Tra...Edureka!
** Cyber Security Course: https://www.edureka.co/cybersecurity-certification-training **
This Edureka tutorial on "What is Cyber Security" gives an introduction to the Cyber Security world and talks about its basic concepts. You get to know different kinds of attack in today's IT world and how cybersecurity is the solution to these attacks. Below are the topics covered in this tutorial:
1. Why we need Cyber Security?
2. What is Cyber Security?
3. The CIA Triad
4. Vulnerability, Threat and Risk
5. Cognitive Cyber Security
Cybersecurity Training Playlist: https://bit.ly/2NqcTQV
Risk management is the process of analyzing exposure to risk and determining how to best handle such exposure.
Issues important to top management typically receive lot of attention from many quarters. Since top management cares about risk management, a number of popular IT risk-management frameworks have emerged.
Penetration testing reporting and methodologyRashad Aliyev
This paper covering information about Penetration testing methodology, standards reporting formats and comparing reports. Explained problem of Cyber Security experts when they making penetration tests. How they doing current presentations.
We will focus our work in penetration testing methodology reporting form and detailed information how to compare result and related work information.
This is the Second Chapter of Cisco Cyber Security Essentials course Which discusses the types of threats, attack vectors, vulnerabilities faced by Information Systems. It describes about the types of Malware.
What is Cyber Security? | Introduction to Cyber Security | Cyber Security Tra...Edureka!
** Cyber Security Course: https://www.edureka.co/cybersecurity-certification-training **
This Edureka tutorial on "What is Cyber Security" gives an introduction to the Cyber Security world and talks about its basic concepts. You get to know different kinds of attack in today's IT world and how cybersecurity is the solution to these attacks. Below are the topics covered in this tutorial:
1. Why we need Cyber Security?
2. What is Cyber Security?
3. The CIA Triad
4. Vulnerability, Threat and Risk
5. Cognitive Cyber Security
Cybersecurity Training Playlist: https://bit.ly/2NqcTQV
Risk management is the process of analyzing exposure to risk and determining how to best handle such exposure.
Issues important to top management typically receive lot of attention from many quarters. Since top management cares about risk management, a number of popular IT risk-management frameworks have emerged.
FACULTAD DE INFORMATICA
UNIVERSIDAD COMPLUTENSE DE MADRID
INGENIERIA INFORMATICA
AUDITORIA INFORMATICA
Auditoria Informatica - Tema AI03 Analis y gestion de riesgos
Estado del Arte de la Gestión de RiesgosPRAGMACERO
Las metodologías de Gestión De Riesgos Operativos han evolucionado desde su comienzo derivado de los requerimientos normativos por parte de los entes reguladores.
¿Cómo reducir la subjetividad al momento de calificar los riesgos? es una de las problemáticas que más complican la definición y evolución de las metodologías y modelos.
Modelos Internacionales de Gestión de la Calidad TotalNormas de certificaciónJulio Alonso Arévalo
Martín-Rodero, H., & Alonso-Arévalo, J. Modelos Internacionales de Gestión de la Calidad TotalNormas de certificación, 2006. In Conferencia Virtual en el marco del Proyecto de Educación Virtual Continuada del Programa de Alfabetización Digital de la OPS/OMS,Conference OnLine,9 November 2006.(Unpublished) [Presentation].
La calidad total es un sistema de gestión que abarca todas las actividades y a todas las relaciones tanto internas como externas de la organización, poniendo especial énfasis en la satisfacción de los clientes y en la mejora continua del sistema de organización. Se plantea la necesidad de evaluar, las fases Proceso de Evaluación EFQM. Y se describen los Modelos de Gestión de Calidad Total - Excelencia: • Modelo Deming (1951, Japón). • Modelo Malcolm Baldrige (1987, EEUU). • Modelo EFQM (1988, Europa). • Modelo Iberoamericano de Excelencia (1998, Iberoamérica). Conclusiones: Existen escasas diferencias entre los diferentes modelos, asi como una convergencia entre las normas ISO 9000 y modelos TQM, todos conceden una gran importancia al liderazgo, se centran en la satisfacción del cliente, organizan el trabajo como proceso, miden los resultados, y fomentan la cultura de mejora continua
Curso: Comunicación de datos y redes: 10 Redes de área amplia.
Dictado en la Universidad Telesup -UPT, Lima - Perú, en los ciclos 2008-2 (noviembre/2008), 2009-1 (marzo/2009), 2010-0 (enero/2010), 2010-1 (marzo/2010), 2011-1 (marzo/2011).
Curso: Administración de proyectos informáticos: 08 Métricas de proyectosJack Daniel Cáceres Meza
Curso: Administración de proyectos informáticos: 08 Métricas de proyectos.
Dictado en la Universidad Telesup, Lima - Perú, en los ciclos 2007-2 (noviembre/2007), 2008-1 (febrero/2008), 2009-1 (marzo/2009), 2010-1 (marzo/2010), 2011-1 (marzo/2011).
Curso: Planeamiento estratégico (administración): 01 Introducción.
Dictado en la Universidad Telesup -UPT, Lima - Perú, en los ciclos 2008-2 (noviembre/2008), 2010-2 (agosto/2010).
Curso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicioJack Daniel Cáceres Meza
Curso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicio
Dictado en la Universidad Tecnológica del Perú, Lima - Perú, ciclos 2011-3 (octubre/2011) y 2012-1 (abril/2012).
ITIL® es un modelo de referencia que resume un extenso conjunto de procesos de gestión que ayudan a las organizaciones a lograr calidad y eficiencia en sus operaciones de TI. La adecuada gestión de los servicios de TI es clave para la Gobernabilidad de TI cuyo objetivo es asegurar que el área de TI, a través de indicadores y controles apropiados y confiables, está actuando como verdadero soporte de las estrategias del negocio y no como un silo, y así coadyuvar al negocio en lograr grandes ventajas competitivas. Por ejemplo, ITIL® ha sido adoptado por miles de organizaciones en todo el mundo, entre otras la NASA, Microsoft y HSBC.
ITIL® es un modelo de referencia que resume un extenso conjunto de procesos de gestión que ayudan a las organizaciones a lograr calidad y eficiencia en sus operaciones de TI. La adecuada gestión de los servicios de TI es clave para la Gobernabilidad de TI cuyo objetivo es asegurar que el área de TI, a través de indicadores y controles apropiados y confiables, está actuando como verdadero soporte de las estrategias del negocio y no como un silo, y así coadyuvar al negocio en lograr grandes ventajas competitivas. Por ejemplo, ITIL® ha sido adoptado por miles de organizaciones en todo el mundo, entre otras la NASA, Microsoft y HSBC.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
1. Control de Acceso y Seguridad Desarrollo
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Sesión 05
Gestión de riesgos
2. 2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Bibliografía
avantium.es
ISO 31000:2009
sistemasdecalidad.com
Maxitana Cevallos, Jennifer Dennise. Administración de Riesgos de Tecnología
de Información de una Empresa del Sector Informático. 2005.
Del Carpio Gallegos, Javier. Análisis del riesgo en la administración de
proyectos de tecnología de información. 2006.
Jack Daniel Cáceres Meza, Iván Cárdenas, Alex Chávez, Bayron Chávez. Panel de
administración de riesgos. Maestría UTP. 2011.
http://biblio.juridicas.unam.mx/libros/2/909/5.pdf
www.cisco.com/en/US/solutions/collateral/ns170/ns896/ns895/white_paper_
c11-499060.html
http://www.mailxmail.com/curso-delitos-informaticos/accesos-no-autorizados
3. 3
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Recordemos el entorno complejo en que nos desenvolvemos
Seguridad de mis clientes o socios
Seguridad en mi red
Quién accede a mis aplicaciones
Configuraciones de seguridad que tengo que actualmente
Respuesta a incidentes
Vídeo: Análisis y gestión de riesgos
(https://www.youtube.com/watch?v=EgiYIIJ8WnU)
4. 4
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Procesos de Gestión de los riesgos
5. 5
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gestión Tradicional Gestión Eficiente
Improvisación Estrategias y Procesos
Unipersonal / Autoritario Equipos Comprometidos
Comunicación Informal Comunicación Efectiva
Cierre – Memoria Lecciones aprendidas
Duplicación / Omisión Distribución Efectiva
Fuera de Plazo Plazos Predecibles
Fuera de Presupuesto Control Presupuestal
Riesgos de Alto Impacto Gestión de Riesgos
Alto Desgaste Calidad de Vida
Gestión Tradicional vs Gestión Eficiente
6. 6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Controlar riesgos hoy implica controlar pérdidas mañana
La Tecnología de Información (TI) se ha convertido en el corazón
de las operaciones de cualquier organización.
Existe una creciente necesidad entre los usuarios de los
servicios de Tecnología de Información de implementar
estándares y herramientas para ayudar a mitigar el riesgo.
7. 7
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Principales riesgos informáticos de los negocios
Riesgos de Integridad
Interface del usuario
Procesamiento
Procesamiento de errores
Interface
Administración de cambios
Información
Riesgos de relación
Riesgos de acceso
Procesos de negocio
Aplicación
Administración de la información
Entorno de procesamiento
Redes
Nivel físico
Riesgos en la infraestructura
Planeación organizacional
Definición de las aplicaciones
Administración de seguridad
Operaciones de red y
computacionales
Administración de sistemas de
bases de datos
Información / Negocio
Riesgos de seguridad general
Riesgos de choque de eléctrico
Riesgos de incendio
Riesgos de niveles inadecuados
de energía eléctrica
Riesgos de radiaciones
Riesgos mecánicos
8. 8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Riesgos
Las organizaciones, no importa cual sea su actividad y tamaño, afrontan una
serie de riesgos que pueden afectar a la consecución de sus objetivos.
Todas las actividades de una organización están sometidas de forma
permanente a una serie de amenazas, lo cual las hace altamente vulnerables,
comprometiendo su estabilidad. Accidentes operacionales, enfermedades,
incendios u otras catástrofes naturales, son una muestra de este panorama, sin
olvidar las amenazas propias del negocio.
Tradicionalmente, las organizaciones han tratado estos riesgos mediantes
estrategias de reacción y soluciones puntuales. No obstante, la experiencia ha
demostrado que los elementos que conforman los riesgos y los factores que
determinan el impacto de sus consecuencias sobre un sistema, son los mismos
que intervienen para todos los riesgos en una organización. Por ello, la
tendencia moderna es utilizar un enfoque integral de manejo de los mismos
conocido como “Enterprise Risk Management” (ERM), con el fin de evaluar,
administrar y comunicar estos riesgos de una manera integral, basados en los
objetivos estratégicos de la organización.
avantium.es
9. 9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Estadísticas
Riesgo Estadísticas
El uso de
aplicaciones no
autorizadas
78 por ciento de los empleados acceden a correo electrónico personal desde
computadoras de negocios.
63 por ciento de los empleados admite haber utilizado una computadora para uso
personal todos los días.
70 por ciento de los profesionales de TI creen que el uso de programas no autorizados
da como resultado al menos la mitad de los incidentes de sus empresas la pérdida de
datos.
El mal uso de los
ordenadores
corporativos
Pasar por alto las políticas corporativas de TI y la configuración de seguridad
-China: el 42 por ciento
-Brasil: el 26 por ciento
- India: 20 por ciento
Compartir información corporativa sensible fuera de la empresa
-Brasil: el 47 por ciento
-India: el 27 por ciento
-El Reino Unido: el 26 por ciento
- Italia: el 22 por ciento
- Alemania: el 24 por ciento
Comparten dispositivos de trabajo con los no empleados
-China: el 43 por ciento
-India: el 28 por ciento
- En general: 44 por ciento (32 por ciento de los encuestados compartieron dispositivos
con compañeros de trabajo, y el 19 por ciento compartió con los que no son empleados
de la familia y amigos)
10. 10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Estadísticas
Riesgo Estadísticas
Acceso físico
no autorizado
y la Red
39 por ciento de los profesionales de TI, dijo que se han ocupado de
acceso a partes no autorizadas de la red de una empresa o
establecimiento.
El acceso no autorizado y físico a la red fue más frecuente entre las
empresas medianas (46 por ciento), pero las pequeñas empresas
también tienen frecuentes incidentes (32 por ciento).
22 por ciento de los empleados alemanes no permiten a los
empleados a dar vueltas por las oficinas de supervisión
Seguridad de
los
trabajadores a
distancia
46 por ciento de los empleados realizan transferencia de archivos
entre el trabajo y ordenadores personales cuando trabajan desde
casa.
Más del 75 por ciento de los empleados no usan un protector de
privacidad cuando se trabaja de forma remota en un lugar público.
68 por ciento de la gente no piensa acerca de hablar en voz baja en
el teléfono cuando están en lugares públicos fuera de la oficina.
13 por ciento de las personas que trabajan desde casa admiten que
no pueden conectarse a sus redes corporativas, por lo que enviar un
correo electrónico de negocio a los clientes, socios y compañeros de
trabajo a través de su correo electrónico personal.
11. 11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Estadísticas
Riesgo Estadísticas
El mal uso de
contraseñas y
procedimientos
de conexión /
desconexión
28 por ciento de los empleados en China usan su contraseña de
cuentas financieras personales en sus dispositivos de trabajo.
18 por ciento de los empleados comparten sus contraseñas con
compañeros de trabajo,
10 por ciento de los empleados en la India, el Reino Unido, Italia y
apuntan por escrito la información de acceso y las contraseñas en
su escritorio de trabajo, dejando a los datos sensibles accesible si
la máquina es robada, incluso si el equipo está desconectado.
5 por ciento de los empleados en el Reino Unido y Francia deja las
contraseñas de las cuentas personales y financieras impresas en
su escritorio de trabajo.
12. 12
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gestión de riesgos
Risk Management es un mecanismo que ayuda a predecir y manejar
eventos que puedan evitar que el proyecto culmine en plazo.
Entre las razones detectadas que contribuyen al fracaso de los
proyectos se encuentran la poca especificación del alcance en su
planteamiento, planificación poco realista en cuanto a plazo, costo y
calidad, contar con un equipo de trabajo inapropiado, no cumplir con
las expectativas del usuario, un mal manejo de los cambios requeridos
durante el desarrollo de la parada y/o carecer de una buena gestión y
dirección en la coordinación y manejo de eventos inciertos.
La ISO publica la Guía ISO 73:2009, el vocabulario de gestión de
riesgos, que complementa la norma ISO 31000, proporcionando una
colección de términos y definiciones relativas a la gestión del riesgo
13. 13
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Objetivos de control interno y de gestión de riesgos (gobierno)
Una declaración de la actitud de la organización para con los riesgos
(estrategia)
Descripción de la cultura consciente de los riesgos o ambiente de
control
Nivel y naturaleza del riesgo que es aceptable (apetito de riesgo)
Organización de la gestión de riesgos y acuerdos (arquitectura)
Detalle de los procedimientos para el reconocimiento de riesgos y su
priorización (evaluación de riesgos)
Una política de gestión de riesgos debería incluir:
Extraído de: A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. The Public Risk
Management Association. 2010
14. 14
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Lista de documentación para analizar y reportar riesgos (protocolos de
riesgo)
Requerimientos de mitigación de riesgos y mecanismos de control
(respuesta al riesgo)
Asignación de los roles de la administración y sus responsabilidades
Prioridades y temas de entrenamiento en gestión de riesgos
Criterios para efectuar el monitoreo y benchmarking de riesgos
Asignación de los recursos apropiados para la gestión de riesgos
Actividades y prioridades relacionadas a la gestión de riesgos para el
año venidero
Una política de gestión de riesgos debería incluir:
Extraído de: A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. The Public Risk
Management Association. 2010
15. 15
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Implementar el Plan de Respuesta a Riesgos
16. 16
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gestión de Riesgos – Enfoque PMI
17. 17
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gestión de Riesgos – Enfoque PMI
18. 18
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gestión de Riesgos – Enfoque PMI
19. 19
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Estados del monitoreo
Categoría Concepto
Implementadas
Las acciones del responsable han sido las
apropiadas en el tiempo comprometido
En proceso
Algunas acciones se encuentran
desfasadas o en proceso de
implementación
Pendientes
No se evidencias acciones en la gestión
del riesgo
Acciones de Monitoreo
20. 20
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Recordemos, sobre riesgos
Control: cualquier medida que tome la dirección, el Consejo y otras
partes, para gestionar los riesgos y aumentar la probabilidad de
alcanzar los objetivos y metas establecidos. La dirección planifica,
organiza y dirige la realización de las acciones suficientes para
proporcionar una seguridad razonable de que se alcanzarán los
objetivos y metas.
Inherente: es aquel que está directamente relacionado con la
naturaleza de los procesos desarrollados, en ausencia de controles.
Residual es el riesgo subsistente una vez aplicados los controles.
Riesgo residual = Riesgo inherente - Control
Vídeo: Gestión de Riesgos Informáticos
(https://www.youtube.com/watch?v=K422L77h1kA)
21. 21
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Controlar los Riesgos
Durante el control de los riesgos se recopila información y se documentan los avances y
evolución a través del tiempo. Este monitoreo brinda información actualizada acerca de:
El estado de cada riesgo identificado
La identificar riesgos nuevos,
El estado de los riesgos residuales y secundarios
Supervisar los cambios en el perfil de riesgos debido a factores exógenos o endógenos.
Deberíamos comenzar con el seguimiento de aquellos riesgos prioritarios. Por ejemplo,
monitorear en forma periódica los retrasos en el cronograma y vigilar que los costos se
encuentren dentro de límites aceptables.
Además, el control de los riesgos requiere:
Implementar los planes de respuesta,
Realizar acciones correctivas,
Redefinir planes de respuesta o
Modificar los objetivos del proyecto.
22. 22
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Control
Riesgo
Administrado
Ineficacia por
exposición Ineficacia por
controles
Desinformado Gerenciado Obsesionado
- Controles +
Logro de
Objetivos
Alto
Bajo
Fuente: Introducción a la evaluación de riesgos. Gustavo Macagno
23. 23
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Monitoreo y revisión
Es necesario monitorear los riesgos, la efectividad del plan de
tratamiento de los riesgos, las estrategias y el sistema de
administración que se establece para controlar la implementación.
Los riesgos y la efectividad de las medidas de control necesitan ser
monitoreadas para asegurar que las circunstancias cambiantes no
alteren las prioridades de los riesgos
24. 24
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Comunicación y consulta
La comunicación y consulta son una consideración importante en cada
paso del proceso de administración de riesgos
Es importante la comunicación efectiva interna y externa para asegurar
que aquellos responsables por implementar la administración de
riesgos, y aquellos con intereses creados comprenden la base sobre la
cual se toman las decisiones y por qué se requieren ciertas acciones en
particular
Dado que los interesados pueden tener un impacto significativo en las
decisiones tomadas, es importante que sus percepciones de los
riesgos, así como, sus percepciones de los beneficios, sean
identificadas y documentadas y las razones subyacentes para las
mismas comprendidas y tenidas en cuenta
25. 25
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Aspectos a tener en cuenta…
Impulsar desde el más alto nivel la implementación del Sistema de Control
Interno (SCI)
Realizar talleres de capacitación y aprestamiento sobre control interno y
gestión de riesgos
Incorporar en los documentos de gestión la responsabilidad de cada trabajador
en el control interno y la gestión de riesgos
Establecer progresivamente un lenguaje común respecto a la gestión de
riesgos (categorías, definiciones, políticas, responsabilidades, metas,
indicadores, normatividad, etc.)
Identificar y adaptar una metodología a las necesidades de la organización
Expresar y comunicar los objetivos de la organización, a través del uso de
indicadores de desempeño
Identificar las amenazas potenciales para el logro de los objetivos
26. 26
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Aspectos a tener en cuenta…
Seleccionar e implementar respuestas ante los riesgos
Priorizar los riesgos
Identificar nuevos riesgos y la efectividad de la respuesta a los ya existentes
periódicamente
Comunicar la información sobre riesgos de manera coherente en todos los
niveles de la organización
Supervisar, documentar y monitorear el proceso de gestión de riesgos y sus
resultados
Determinar el grado de aceptación de riesgos de la organización
Establecer un entorno interno adecuado, que incluya un enfoque de gestión de
riesgos.
27. 27
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Pasos sugeridos
Capacitación en: control interno, riesgos, procesos, indicadores
Identificar instrumentos para recolectar información
Listar los objetivos institucionales, tomando en cuenta la misión
Clasificar los procesos, actividades y las tareas
Designar un responsable por proceso y progresivamente incorporar la
documentación y normatividad respectiva
Identificar los riesgos y controles más importantes de la entidad
Valorar los riesgos
Cruzar los riesgos vs. procesos
Elaborar planes de acción, responsables y metas
Evaluar la eficacia y las brechas encontradas
Mantener y actualizar
28. 28
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Pasos sugeridos
Seleccionar
procesos
clave
Comprender
los procesos
Fuente de
los riesgos
Documentar
controles
clave
Evaluar el
diseño
Efectividad
de los
controles
Reporte
• Seleccionar los procesos clave conforme a la importancia en el cumplimiento misional,
manejo de fondos y probabilidad de corrupción
• Considerar insumos de materialidad e importancia
• Comprender las actividades y los procedimientos
• Identificar reportes contables o de la gestión de
proyectos, a fin de establecer materialidad
• Cruzar riesgos vs. procesos
• Documentar controles a nivel entidad
• Documentar otros controles
• Documentar controles a nivel preventivo y detectivos en los procesos principales
• Evaluar la efectividad del diseño de los controles a nivel
entidad
• Tomar acciones de mejora sobre las deficiencias encontradas
• Evaluar la efectividad de los controles a
nivel entidad y de procesos
• Remediar deficiencias a través de la
implementación de recomendaciones
• Concluir
• Comunicar
• Reportar
• Cuáles son los riesgos a que se
encuentran expuestos los
procesos?
• En qué actividades se encuentran
los riesgos?
• Cuáles son los controles clave?
• Quién es propietario de los
controles clave?
• Cómo se encuentra el diseño de los
controles ?
• Cuáles son los riesgos de falla de
los controles?
• Cuál es el desempeño de los
controles?
• Existen debilidades materiales o de
cumplimiento?Fuente: Adaptación de un esquema de Protiviti
Objetivos institucionales
30. 30
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Otros conceptos
Gobierno
La combinación de procesos y estructuras implantados por el Consejo de
Administración para informar, dirigir, gestionar y vigilar las actividades de
la organización con el fin de lograr sus objetivos.
Control interno
Concepto fundamental de la administración y control, aplicable en las
entidades del Estado para describir las acciones que corresponde adoptar
a sus titulares y funcionarios para preservar, evaluar y monitorear las
operaciones y la calidad del servicio.
Conforme al COSO, es un proceso efectuado por el Directorio de una
organización, la gerencia y demás personal, diseñado para proveer
seguridad razonable respecto al logro de los objetivos relacionados con:
Efectividad y eficiencia de las operaciones
Confiabilidad de los reportes financieros
Cumplimiento con leyes y regulaciones aplicables
31. 31
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Las organizaciones deberán considerar y usar una variedad de modelos, estándares
y mejores practicas de TI – por lo tanto asegúrese de que entiende esto con el fin de
considerar como pueden usarse juntos
32. 32
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Otros conceptos
Committee of Sponsoring Organizations of the Treadway Commission
(COSO
Estados Unidos, 1985, se forma una comisión patrocinada diversas
instituciones, con el objetivo de identificar las causas de la presentación
de información financiera en forma fraudulenta o falsificada.
En 1987 emite un informe que contenía una serie de recomendaciones
en relación al control interno de cualquier empresa u organización.
La comisión Treadway, debatió durante más de cinco años y finalmente
en 1992, se emite el informe COSO, el cual tuvo gran aceptación y
difusión en gran parte debido a la diversidad y autoridad que posee el
grupo que se hizo cargo de la elaboración del Informe.
33. 33
Mg, Ing. Jack Daniel Cáceres Meza, PMP
COSO
Ambiente de Control
Operaciones
Reporte
Cumplimiento
UnidadA
UnidadB
Actividad1
Actividad2
Evaluación de Riesgos
Actividades de Control
Información y Comunicación
Monitoreo
COSO: Marco conceptual integrado, 1992
COSO ERM: Marco de Gestión Integral de Riesgo, 2004
34. 34
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gobierno - Beneficios de la Gestión de Riesgos
Colabora en la implementación del sistema de control interno (Resolución de
Contraloría General Nº 458-2008-CG)
Mayor probabilidad del logro de los objetivos organizacionales
Incrementa la confianza en la habilidad de una organización para anticipar,
priorizar y superar obstáculos para alcanzar sus metas
Mayor comprensión de los riesgos clave y sus implicancias más amplias
Identificación e intercambio de conocimientos sobre riesgos cruzados
Mayor atención de la Alta Dirección a problemas realmente importantes
Menos sorpresas o crisis, fomentando el cumplimiento de la legislación (Ley
N° 28716, Ley de Control Interno de las entidades del Estado y Ley N° 27785,
Ley Orgánica del Sistema Nacional de Control y de la Contraloría General de la
República)
Mayor atención internamente para hacer lo correcto de la manera correcta
35. 35
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gobierno - Beneficios de la Gestión de Riesgos
Mayor probabilidad de que se logren las iniciativas de cambio
Toma de decisiones más informadas, a nivel estratégico y operativo
Coadyuva a la gestión de un presupuesto por resultados
Fomenta el orden interno (gestión por procesos, establecimiento de
indicadores de desempeño, identificación de controles, desarrollo de
procedimientos, normatividad, etc.)
Progresivamente la administración podrá asumir procesos de autoevaluación
de control
Brinda transparencia a la gestión, interna y externamente
Mejora en la gestión de proyectos y en la estructura de gobierno de la entidad
Actualización de conocimientos de los profesionales en temas de: gestión por
procesos, control interno, indicadores, riesgos, etc.
36. 36
Mg, Ing. Jack Daniel Cáceres Meza, PMP
ISO 31000 -Estructura de la norma
Relación entre los principios, estructura de soporte y gestión del riesgo
Proceso de gestión del riesgo
(cláusula 6)
37. 37
Mg, Ing. Jack Daniel Cáceres Meza, PMP
ISO 31000 está diseñado para ayudar a las organizaciones:
Fomentar una gestión proactiva
Ser consciente de la necesidad de identificar y tratar los riesgos en
toda la organización
Mejorar la identificación de las oportunidades y amenazas
Cumplir con las exigencias legales y reglamentarias y las normas
internacionales
Mejorar los informes financieros
Mejorar la gobernanza
Mejorar la confianza de los interesados y la confianza
Establecer una base confiable para la toma de decisiones y la
planificación
38. 38
Mg, Ing. Jack Daniel Cáceres Meza, PMP
ISO 31000 está diseñado para ayudar a las organizaciones:
Mejorar los controles
Efectivamente asignar y utilizar recursos para el tratamiento del riesgo
Mejorar la eficacia y eficiencia operativa
Mejorar la salud y de seguridad, así como la protección del medio
ambiente
Mejorar la prevención de pérdidas y de manejo de incidentes
Reduzca al mínimo las pérdidas
Mejorar el aprendizaje organizacional
Mejorar la capacidad de resistencia de la organización.
39. 39
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Riesgos
Legales
• Pérdida de gobernabilidad.
• Usurpación de datos.
• Titularidad de los derechos.
• Deslocalización de la
información.
• Dependencia en el
proveedor.
• Negativa del proveedor a ser
auditado.
Riesgos
Técnicos
• Comunicaciones inseguras.
• Abuso de privilegios.
• Compromiso de la interfaz de
gestión.
• Compartición de recursos.
• Denegación de servicio.
• Incompatibilidad para
migración.
• Sabotaje
• Desconocimiento
Controles y guías de buenas
prácticas de seguridad para
la Nube
• Ley de contrataciones.
• Proveedores sin experiencia.
• Personal técnico no especializado.
• Normativas internas.
• Integración débil.
• Inter operabilidad incompleta.
ISO: International Organization for Standardization
NIST: National Institute of Standards and Technology
COBIT:Control Objectives for Information and Related Technology
CSA: Cloud Security Alliance
ISO
NIST
COBIT CSA
40. 40
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Proceso de Funcionamiento de un Panel de
Administración de Riesgos
Procesos
Adquisición de Datos
Automatización
Valorización de
Datos
Corrección
Automatizada Correlación
de Datos
1 2
3
4
5
41. 41
Mg, Ing. Jack Daniel Cáceres Meza, PMP
RED
SERVICIOS
EQUIPOS
REPOSITORIO DE
DATOS
GESTIÓN
DE
RIESGOS
GOVERNANCE,
RISK AND
COMPLIANCE
(GRC)
MANAGEMENT
SOLUTIONS
Evitar
Mitigar
Transferir
Aceptar
Nmap
Nessus
Ethereal
Snort
GFI
Iptraf
PRTG Network Monitor
Nagios
WhatsUp Gold
Tivoli
OpenView
Patrol
Magerit
COBIT
ISO27000
ISO31000
FISMA
(Federal Information Security
Management)
NIST 800-53A
(Guide for Assessing the
Security Controls in Federal
Information Systems)
…
P x I x R
ORCA
MODULO Risk Manager
Risk IT Framework
@RISK
Epicor
De lo manual a lo automatizado
PANEL DE
CONTROL
Controles
KPI
42. 42
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Definición de la herramienta GRC
Gobierno-Riesgo-Cumplimiento
El enfoque de una herramienta GRC es integrar los procesos de
Gobierno, Gestión de Riesgos y Cumplimiento, a lo largo de la
organización, estableciendo un modelo de datos, definiciones y
términos, estructuras de reporte, entre otros, para ser compartidos
por quienes participan en los tres procesos. Adicionalmente enlaza
estos procesos con la actividad de auditoría siendo esta última
pieza clave en todo el proceso de evaluación y controles.
43. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?