CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONALFabián Descalzo
El documento presenta una propuesta de consultoría para la gestión de la continuidad de negocio. La propuesta incluye establecer un plan de continuidad de negocio (BCP) y un plan de recuperación ante desastres (DRP), integrar diferentes sedes al plan corporativo, alinear funciones críticas con activos de TI, y revisar el DRP definiendo tiempos de recuperación por aplicación crítica.
Este documento describe los controles generales de tecnologías de la información (ITGCs). Explica que los ITGCs son políticas y procedimientos relacionados con los sistemas que apoyan el funcionamiento efectivo de los controles de aplicación y ayudan a garantizar la continuidad de los sistemas de información. También describe que los ITGCs son un componente importante del modelo de control interno COSO y que los ITGCs relevantes para la auditoría son aquellos relacionados con sistemas que tienen un impacto en la información financiera.
Bases datos eventos_perdida_riesgos_operacionales IDDEA
Este documento presenta un taller sobre bases de datos de eventos de pérdida por riesgos operacionales dirigido a entidades bajo la supervisión de la SBS de Perú. El taller cubre temas como generalidades de riesgo operacional, definición de eventos de riesgo operacional, fronteras del riesgo operacional, valoración de eventos, clases de riesgo y ejercicios prácticos. El objetivo es crear un marco de gestión que permita controlar el riesgo operacional identificando, midiendo, valorando y mitigando
Auditoría de la explotación, del desarrollo y del mantenimientoEfrain Reyes
El documento presenta información sobre auditorías de explotación, desarrollo y mantenimiento de sistemas informáticos. Explica que la auditoría de explotación evalúa las secciones de planificación, producción y soporte técnico. También describe los procesos de control de entrada de datos, planificación de aplicaciones, seguimiento de trabajos, operación de salas de ordenadores y centros de control de red y diagnóstico. Finalmente, señala que la auditoría de mantenimiento evalúa la gestión de recursos, herramientas, materiales,
El documento presenta una sesión sobre la gestión de incidentes según la norma ISO 27.002. Explica el contexto y definiciones básicas de la gestión de incidentes, revisa los controles relevantes de la norma, y describe el proceso completo de gestión de incidentes, incluyendo la planificación, detección, evaluación, respuesta, lecciones aprendidas y el uso de herramientas para su implementación. También introduce una visión alternativa del modelo de procesos de la norma ISO 27.022.
El documento describe los aspectos clave de la seguridad física y la auditoría física. Explica las áreas de seguridad física como los centros de procesamiento de datos, equipos, comunicaciones y seguridad del personal. También cubre las técnicas de auditoría como observación, revisión analítica e entrevistas, así como las responsabilidades de los auditores internos y externos.
Evaluating System-Level Cyber Security vs. ANSI/ISA-62443-3-3Jim Gilsinn
With the recent publication of ANSI/ISA-62443-3-3-2013, it is possible for end-users, system integrators, and vendors to qualify the capabilities of their systems from an ICS cyber security perspective. This process is not as simple as it may seem, though. In many cases, the capabilities of individual components of a system can be determined from specifications and manuals. The capabilities of the system also needs to be evaluated as a whole to determine how those individual components work together. Component-level and System-level certifications are common practice in the safety environment, and will eventually become common in the ICS cyber security environment as well. Certification bodies, like the ISA Security Compliance Institute (ISCI), have begun the process to develop certification efforts around ISA-62443-3-3. Until many more groups of components and systems have been officially certified, third-party assessments and evaluations will be common. This presentation will discuss an example of how Kenexis Consulting has evaluated a particular vendor’s components and systems to determine compliance with ISA-62443-3-3. The presentation will go through the evaluation methodology used and describe how Kenexis used the evaluation to develop a series of real-world use-cases of the components and system in the ICS environment.
En esta presentación se describen los objetivos, tareas y resultados de cada una de las fases de un Plan de Continuidad de Negocio y de un Plan de Contingencia de TI
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONALFabián Descalzo
El documento presenta una propuesta de consultoría para la gestión de la continuidad de negocio. La propuesta incluye establecer un plan de continuidad de negocio (BCP) y un plan de recuperación ante desastres (DRP), integrar diferentes sedes al plan corporativo, alinear funciones críticas con activos de TI, y revisar el DRP definiendo tiempos de recuperación por aplicación crítica.
Este documento describe los controles generales de tecnologías de la información (ITGCs). Explica que los ITGCs son políticas y procedimientos relacionados con los sistemas que apoyan el funcionamiento efectivo de los controles de aplicación y ayudan a garantizar la continuidad de los sistemas de información. También describe que los ITGCs son un componente importante del modelo de control interno COSO y que los ITGCs relevantes para la auditoría son aquellos relacionados con sistemas que tienen un impacto en la información financiera.
Bases datos eventos_perdida_riesgos_operacionales IDDEA
Este documento presenta un taller sobre bases de datos de eventos de pérdida por riesgos operacionales dirigido a entidades bajo la supervisión de la SBS de Perú. El taller cubre temas como generalidades de riesgo operacional, definición de eventos de riesgo operacional, fronteras del riesgo operacional, valoración de eventos, clases de riesgo y ejercicios prácticos. El objetivo es crear un marco de gestión que permita controlar el riesgo operacional identificando, midiendo, valorando y mitigando
Auditoría de la explotación, del desarrollo y del mantenimientoEfrain Reyes
El documento presenta información sobre auditorías de explotación, desarrollo y mantenimiento de sistemas informáticos. Explica que la auditoría de explotación evalúa las secciones de planificación, producción y soporte técnico. También describe los procesos de control de entrada de datos, planificación de aplicaciones, seguimiento de trabajos, operación de salas de ordenadores y centros de control de red y diagnóstico. Finalmente, señala que la auditoría de mantenimiento evalúa la gestión de recursos, herramientas, materiales,
El documento presenta una sesión sobre la gestión de incidentes según la norma ISO 27.002. Explica el contexto y definiciones básicas de la gestión de incidentes, revisa los controles relevantes de la norma, y describe el proceso completo de gestión de incidentes, incluyendo la planificación, detección, evaluación, respuesta, lecciones aprendidas y el uso de herramientas para su implementación. También introduce una visión alternativa del modelo de procesos de la norma ISO 27.022.
El documento describe los aspectos clave de la seguridad física y la auditoría física. Explica las áreas de seguridad física como los centros de procesamiento de datos, equipos, comunicaciones y seguridad del personal. También cubre las técnicas de auditoría como observación, revisión analítica e entrevistas, así como las responsabilidades de los auditores internos y externos.
Evaluating System-Level Cyber Security vs. ANSI/ISA-62443-3-3Jim Gilsinn
With the recent publication of ANSI/ISA-62443-3-3-2013, it is possible for end-users, system integrators, and vendors to qualify the capabilities of their systems from an ICS cyber security perspective. This process is not as simple as it may seem, though. In many cases, the capabilities of individual components of a system can be determined from specifications and manuals. The capabilities of the system also needs to be evaluated as a whole to determine how those individual components work together. Component-level and System-level certifications are common practice in the safety environment, and will eventually become common in the ICS cyber security environment as well. Certification bodies, like the ISA Security Compliance Institute (ISCI), have begun the process to develop certification efforts around ISA-62443-3-3. Until many more groups of components and systems have been officially certified, third-party assessments and evaluations will be common. This presentation will discuss an example of how Kenexis Consulting has evaluated a particular vendor’s components and systems to determine compliance with ISA-62443-3-3. The presentation will go through the evaluation methodology used and describe how Kenexis used the evaluation to develop a series of real-world use-cases of the components and system in the ICS environment.
En esta presentación se describen los objetivos, tareas y resultados de cada una de las fases de un Plan de Continuidad de Negocio y de un Plan de Contingencia de TI
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
Este documento describe los principales aspectos de un sistema de gestión de continuidad del negocio (BCMS) de acuerdo con la norma ISO 22301. Explica que un BCMS permite a las organizaciones anticiparse a eventos no deseados y mantener las operaciones del negocio ante cualquier interrupción. Detalla los pasos del ciclo de vida de un BCMS, incluyendo la comprensión de la organización, el desarrollo e implementación de planes de respuesta, y las pruebas y revisiones continuas. También resalta los beneficios de ISO 22301 como la
Chris Sistrunk discussed implementing network security monitoring (NSM) on industrial control systems (ICS). NSM involves collecting network data through tools like Security Onion, analyzing the data to detect anomalies, and investigating anomalies to identify potential threats. While ICS networks pose different challenges than typical IT networks, the same NSM methodology of collection, detection, and analysis can be applied. Free and open source tools like Security Onion allow implementing NSM on ICS to hunt for threats without disrupting operations. The most important part of NSM is having knowledgeable people to interpret data and identify what is normal versus potentially malicious activity on the network.
El documento habla sobre la norma ISO 22301 de sistemas de gestión de continuidad del negocio. Explica que la norma provee un marco para identificar amenazas a una organización y fortalecer su capacidad de recuperación ante incidentes. También describe que la norma guía el desarrollo de planes de continuidad del negocio para mantener las operaciones durante interrupciones y minimizar su impacto. Finalmente, menciona que siguiendo los principios de ISO 31000 una organización puede integrar la gestión de riesgos en su sistema de gestión de
Este documento proporciona una guía sobre la implementación de la norma ISO 27001. Explica los beneficios de la certificación, que incluyen ventajas comerciales, operacionales y tranquilidad. También describe los principios básicos de la gestión de riesgos de seguridad de la información según la norma y el ciclo PHVA de planificación, ejecución, verificación y acción utilizado.
Security architecture analyses brief 21 april 2015Bill Ross
This brief defines problems with security architecture development, security architecture methodologies, and how to implement a security architecture briefing. This brief was created to define the themes stated in the INFOSECFORCE llc paper called the "Inviible Person ... the Security Architect"
El documento habla sobre la auditoría física de sistemas de información. Explica que la auditoría física evalúa la seguridad física de los medios y equipos de una organización. Detalla las diferentes áreas que debe cubrir una auditoría física como la ubicación de las instalaciones, los controles de acceso, los planes de contingencia y los seguros. También describe las diferentes fases y técnicas que utiliza un auditor para evaluar la seguridad física de una empresa.
ISO 27001:2013 IS audit plan - by software outsourcing company in indiaiFour Consultancy
The document outlines an IS audit plan template that includes the audit objective, scope, criteria, methods, team, and schedule. It defines an audit plan as a strategy for the audit that is prepared by the auditor in consultation with team leaders. The plan establishes what is to be accomplished by the audit and includes details like locations, units, and time periods to be examined, as well as references against which conformity will be determined and the types of audit methods to be used.
This document provides an overview of project management practices, software development methodologies, and business application systems relevant to IT auditing. It discusses the benefits realization process, portfolio and program management, business case development, and project management structures. Traditional software development lifecycle approaches like waterfall are described along with agile development, prototyping, and rapid application development. Risks in software projects and controls for electronic commerce, EDI, email and banking systems are also summarized.
El documento presenta un plan de continuidad de negocios. Explica definiciones clave, amenazas y riesgos, y la evolución de las normas de continuidad de negocios. Detalla la estructura de la norma NFPA 1600-2016 e incluye un análisis de impacto en el negocio y un diagrama de flujo de un plan de continuidad de negocios. El objetivo es ayudar a las organizaciones a prepararse para interrupciones de negocio mediante la identificación de riesgos y el establecimiento de planes de
ISO 22301, ISO 31000, TIA 942 e ISO 27005Melvin Jáquez
El documento resume cuatro normas relacionadas con la auditoría y seguridad de sistemas de información: ISO 22301 sobre continuidad del negocio, ISO 31000 sobre gestión de riesgos, ISO 27005 sobre manejo de riesgos en seguridad de la información, y TIA 942 sobre especificaciones para el diseño e instalación de infraestructuras de centros de datos. Explica los objetivos, procesos y beneficios de cada norma.
In this webinar, we will discuss how to Integrate Information Security with Business Continuity Planning. Tips for reducing BCP volumes and preventing your plan from ‘collecting dust on the shelf’ and achieving a hands-on BCP process and getting your organization truly 'incident ready'.
Main points covered:
• Integrating Information Security with Business Continuity Planning (BCP)
• Tips for reducing BCP volumes and preventing your plan from 'collecting dust on the shelf'
• Achieving a hands-on BCP process and getting your organization truly 'incident ready'
Presenter:
The presenter of this webinar will be Ms. Rinske Geerlings MSc, CBCP, MBCI, COBIT, ISO 22301 Master, ISO 31000 Lead Risk Manager, ISO 27001 Lead Implementer, and ITIL Master. She is an internationally known, award-winning consultant, speaker and certified trainer in Business Continuity, IT Management, Disaster Recovery, Risk Management and Information Security with 20 years global experience.
Link of the recorded session published on YouTube: https://youtu.be/5_lnQyFlGTs
Everything you Need to Know about The Data Protection Officer Role HackerOne
Data privacy and security expert, Debra Farber, presents on the emerging role of the Data Protection Officer (DPO). When the EU's General Data Protection Regulation (GDPR) becomes enforceable on May 25, 2018, companies around the world who process the personal data of EU residents will be required by law to appoint an independent DPO who has specific responsibilities and data protection knowledge.
The document discusses two broad groupings of information systems control activities: general controls and application controls. General controls relate to many IS applications and support effective application controls by ensuring continued operation of IS. They include logical access controls, system development life cycle controls, program change management controls, and data center physical security controls. Application controls are designed to ensure complete and accurate processing of data from input through output and include controls over input, processing, and output of applications. The design of general controls depends on application control requirements and enterprise risk management, while reliance on application controls depends on the design and operating effectiveness of general controls.
ITSEC es un conjunto de criterios de evaluación de seguridad de la información desarrollado por la Unión Europea para estandarizar la certificación de seguridad de productos tecnológicos. El documento describe el proceso de evaluación ITSEC que otorga niveles de seguridad de E1 al E6, y resume una evaluación exitosa de Oracle Database 10g Enterprise Edition que recibió una calificación de nivel E4.
Este documento resume la quinta sesión de un curso sobre sistemas de seguridad de la información. El expositor, Miguel Véliz Granados, discute la Norma ISO/IEC 17799 sobre seguridad de la información, la cual establece recomendaciones y principios generales para iniciar, implementar, mantener y mejorar la seguridad de la información en una organización. La norma incluye objetivos de control y controles diseñados para ser implementados después de una evaluación de riesgos. El expositor también presenta datos sobre riesgos comunes a
El documento presenta una introducción a la continuidad del negocio y planes de recuperación ante desastres. Explica que estos planes buscan permitir que las organizaciones continúen brindando servicios críticos en caso de interrupciones y sobrevivan a interrupciones de sus sistemas de información. También resalta la importancia de realizar análisis de impacto al negocio e identificar recursos críticos para desarrollar estrategias de recuperación efectivas.
The document discusses integrating records management (RM) requirements into an agency's System Development Life Cycle (SDLC). It provides a checklist of questions for each SDLC phase to help identify RM needs early on. The checklist is not prescriptive and should be tailored to individual agency SDLC processes. It aims to ensure sound RM practices are incorporated into new IT system development and that records are properly managed throughout the system lifecycle and after retirement.
An IT security audit involves independently examining an organization's IT systems, controls, policies and procedures. The document outlines the key steps in an IT audit including planning, testing and reporting. It also discusses defining auditors and their roles, preparing for an audit, and how audits are conducted at the application level to assess controls related to administration, security, disaster recovery and more. The goal of an audit is to evaluate security adequacy and recommend improvements.
El documento proporciona información sobre los sistemas de gestión de seguridad de la información de acuerdo con la norma ISO 27001:2013. Explica que la información constituye un activo importante para las organizaciones y que la norma ISO 27001 establece los requisitos para un sistema de gestión de seguridad de la información eficaz que proteja la confidencialidad, integridad y disponibilidad de la información.
El documento describe los factores externos que componen el entorno de una empresa y sobre los que la empresa puede influir pero no controlar. Explica que el entorno general incluye factores más alejados que afectan a todas las empresas, mientras que el entorno específico incluye factores del sector particular de cada empresa. Luego enumera los principales factores político-legales, sociales y demográficos, tecnológicos y económicos que componen el entorno.
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
Este documento describe los principales aspectos de un sistema de gestión de continuidad del negocio (BCMS) de acuerdo con la norma ISO 22301. Explica que un BCMS permite a las organizaciones anticiparse a eventos no deseados y mantener las operaciones del negocio ante cualquier interrupción. Detalla los pasos del ciclo de vida de un BCMS, incluyendo la comprensión de la organización, el desarrollo e implementación de planes de respuesta, y las pruebas y revisiones continuas. También resalta los beneficios de ISO 22301 como la
Chris Sistrunk discussed implementing network security monitoring (NSM) on industrial control systems (ICS). NSM involves collecting network data through tools like Security Onion, analyzing the data to detect anomalies, and investigating anomalies to identify potential threats. While ICS networks pose different challenges than typical IT networks, the same NSM methodology of collection, detection, and analysis can be applied. Free and open source tools like Security Onion allow implementing NSM on ICS to hunt for threats without disrupting operations. The most important part of NSM is having knowledgeable people to interpret data and identify what is normal versus potentially malicious activity on the network.
El documento habla sobre la norma ISO 22301 de sistemas de gestión de continuidad del negocio. Explica que la norma provee un marco para identificar amenazas a una organización y fortalecer su capacidad de recuperación ante incidentes. También describe que la norma guía el desarrollo de planes de continuidad del negocio para mantener las operaciones durante interrupciones y minimizar su impacto. Finalmente, menciona que siguiendo los principios de ISO 31000 una organización puede integrar la gestión de riesgos en su sistema de gestión de
Este documento proporciona una guía sobre la implementación de la norma ISO 27001. Explica los beneficios de la certificación, que incluyen ventajas comerciales, operacionales y tranquilidad. También describe los principios básicos de la gestión de riesgos de seguridad de la información según la norma y el ciclo PHVA de planificación, ejecución, verificación y acción utilizado.
Security architecture analyses brief 21 april 2015Bill Ross
This brief defines problems with security architecture development, security architecture methodologies, and how to implement a security architecture briefing. This brief was created to define the themes stated in the INFOSECFORCE llc paper called the "Inviible Person ... the Security Architect"
El documento habla sobre la auditoría física de sistemas de información. Explica que la auditoría física evalúa la seguridad física de los medios y equipos de una organización. Detalla las diferentes áreas que debe cubrir una auditoría física como la ubicación de las instalaciones, los controles de acceso, los planes de contingencia y los seguros. También describe las diferentes fases y técnicas que utiliza un auditor para evaluar la seguridad física de una empresa.
ISO 27001:2013 IS audit plan - by software outsourcing company in indiaiFour Consultancy
The document outlines an IS audit plan template that includes the audit objective, scope, criteria, methods, team, and schedule. It defines an audit plan as a strategy for the audit that is prepared by the auditor in consultation with team leaders. The plan establishes what is to be accomplished by the audit and includes details like locations, units, and time periods to be examined, as well as references against which conformity will be determined and the types of audit methods to be used.
This document provides an overview of project management practices, software development methodologies, and business application systems relevant to IT auditing. It discusses the benefits realization process, portfolio and program management, business case development, and project management structures. Traditional software development lifecycle approaches like waterfall are described along with agile development, prototyping, and rapid application development. Risks in software projects and controls for electronic commerce, EDI, email and banking systems are also summarized.
El documento presenta un plan de continuidad de negocios. Explica definiciones clave, amenazas y riesgos, y la evolución de las normas de continuidad de negocios. Detalla la estructura de la norma NFPA 1600-2016 e incluye un análisis de impacto en el negocio y un diagrama de flujo de un plan de continuidad de negocios. El objetivo es ayudar a las organizaciones a prepararse para interrupciones de negocio mediante la identificación de riesgos y el establecimiento de planes de
ISO 22301, ISO 31000, TIA 942 e ISO 27005Melvin Jáquez
El documento resume cuatro normas relacionadas con la auditoría y seguridad de sistemas de información: ISO 22301 sobre continuidad del negocio, ISO 31000 sobre gestión de riesgos, ISO 27005 sobre manejo de riesgos en seguridad de la información, y TIA 942 sobre especificaciones para el diseño e instalación de infraestructuras de centros de datos. Explica los objetivos, procesos y beneficios de cada norma.
In this webinar, we will discuss how to Integrate Information Security with Business Continuity Planning. Tips for reducing BCP volumes and preventing your plan from ‘collecting dust on the shelf’ and achieving a hands-on BCP process and getting your organization truly 'incident ready'.
Main points covered:
• Integrating Information Security with Business Continuity Planning (BCP)
• Tips for reducing BCP volumes and preventing your plan from 'collecting dust on the shelf'
• Achieving a hands-on BCP process and getting your organization truly 'incident ready'
Presenter:
The presenter of this webinar will be Ms. Rinske Geerlings MSc, CBCP, MBCI, COBIT, ISO 22301 Master, ISO 31000 Lead Risk Manager, ISO 27001 Lead Implementer, and ITIL Master. She is an internationally known, award-winning consultant, speaker and certified trainer in Business Continuity, IT Management, Disaster Recovery, Risk Management and Information Security with 20 years global experience.
Link of the recorded session published on YouTube: https://youtu.be/5_lnQyFlGTs
Everything you Need to Know about The Data Protection Officer Role HackerOne
Data privacy and security expert, Debra Farber, presents on the emerging role of the Data Protection Officer (DPO). When the EU's General Data Protection Regulation (GDPR) becomes enforceable on May 25, 2018, companies around the world who process the personal data of EU residents will be required by law to appoint an independent DPO who has specific responsibilities and data protection knowledge.
The document discusses two broad groupings of information systems control activities: general controls and application controls. General controls relate to many IS applications and support effective application controls by ensuring continued operation of IS. They include logical access controls, system development life cycle controls, program change management controls, and data center physical security controls. Application controls are designed to ensure complete and accurate processing of data from input through output and include controls over input, processing, and output of applications. The design of general controls depends on application control requirements and enterprise risk management, while reliance on application controls depends on the design and operating effectiveness of general controls.
ITSEC es un conjunto de criterios de evaluación de seguridad de la información desarrollado por la Unión Europea para estandarizar la certificación de seguridad de productos tecnológicos. El documento describe el proceso de evaluación ITSEC que otorga niveles de seguridad de E1 al E6, y resume una evaluación exitosa de Oracle Database 10g Enterprise Edition que recibió una calificación de nivel E4.
Este documento resume la quinta sesión de un curso sobre sistemas de seguridad de la información. El expositor, Miguel Véliz Granados, discute la Norma ISO/IEC 17799 sobre seguridad de la información, la cual establece recomendaciones y principios generales para iniciar, implementar, mantener y mejorar la seguridad de la información en una organización. La norma incluye objetivos de control y controles diseñados para ser implementados después de una evaluación de riesgos. El expositor también presenta datos sobre riesgos comunes a
El documento presenta una introducción a la continuidad del negocio y planes de recuperación ante desastres. Explica que estos planes buscan permitir que las organizaciones continúen brindando servicios críticos en caso de interrupciones y sobrevivan a interrupciones de sus sistemas de información. También resalta la importancia de realizar análisis de impacto al negocio e identificar recursos críticos para desarrollar estrategias de recuperación efectivas.
The document discusses integrating records management (RM) requirements into an agency's System Development Life Cycle (SDLC). It provides a checklist of questions for each SDLC phase to help identify RM needs early on. The checklist is not prescriptive and should be tailored to individual agency SDLC processes. It aims to ensure sound RM practices are incorporated into new IT system development and that records are properly managed throughout the system lifecycle and after retirement.
An IT security audit involves independently examining an organization's IT systems, controls, policies and procedures. The document outlines the key steps in an IT audit including planning, testing and reporting. It also discusses defining auditors and their roles, preparing for an audit, and how audits are conducted at the application level to assess controls related to administration, security, disaster recovery and more. The goal of an audit is to evaluate security adequacy and recommend improvements.
El documento proporciona información sobre los sistemas de gestión de seguridad de la información de acuerdo con la norma ISO 27001:2013. Explica que la información constituye un activo importante para las organizaciones y que la norma ISO 27001 establece los requisitos para un sistema de gestión de seguridad de la información eficaz que proteja la confidencialidad, integridad y disponibilidad de la información.
El documento describe los factores externos que componen el entorno de una empresa y sobre los que la empresa puede influir pero no controlar. Explica que el entorno general incluye factores más alejados que afectan a todas las empresas, mientras que el entorno específico incluye factores del sector particular de cada empresa. Luego enumera los principales factores político-legales, sociales y demográficos, tecnológicos y económicos que componen el entorno.
El documento presenta información sobre la gestión de riesgos, incluyendo preguntas clave sobre la protección de activos, identificación de riesgos y amenazas, preparación para eventos no deseados, y niveles de riesgo aceptables. También cubre marcos de referencia, términos comunes, categorías de riesgos operativos, y metodologías para la evaluación de riesgos como cualitativa y cuantitativa. Finalmente, describe el proceso de gestión de riesgos que incluye establecer el contexto, identificar, anal
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNAlejandra Prado
El informe habla de un posible 15% del padrón pudiera estar contaminado pudiendo a su vez generar un fraude.
Esto se debió haber hecho antes del referéndum del 21F en Bolivia.
Este documento explica las políticas de plagio de la UNAD. Comienza definiendo el derecho de autor y cómo está regulado en Colombia. Luego define la propiedad intelectual y el plagio, indicando que este último ocurre cuando se toman ideas de otros autores sin darles crédito. Explica cómo citar correctamente y la importancia de incluir una bibliografía. Por último, detalla las penalidades que aplica la UNAD a los estudiantes que cometen plagio en sus trabajos.
El documento presenta un estudio de factibilidad para crear una empresa dedicada a la venta de accesorios y productos de lujo para motocicletas en el municipio de Villeta, Colombia. Justifica la iniciativa debido al alto número de motocicletas en la región y la tendencia de los motociclistas a personalizar sus vehículos. El objetivo es determinar la viabilidad del proyecto mediante el análisis del entorno, las necesidades de los clientes, y los requisitos legales y técnicos. Se utilizará una metodolog
Este documento presenta un manual práctico de emprendimiento. Explica que emprender no solo se trata de ganancias, sino de crear negocios que mejoren la calidad de vida. Describe los pasos para iniciar un negocio como encontrar una idea basada en tus intereses, definir al emprendedor y considerar criterios como el tipo de negocio y la inversión requerida. También habla sobre la importancia de un plan de negocio y los factores para el éxito como entender las necesidades de los clientes.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Paola Lovee
El documento lista los elementos requeridos para la implementación y mejora continua de un Sistema de Gestión de la Seguridad y Salud en el Trabajo, incluyendo la identificación de responsabilidades, programas de vigilancia de salud de trabajadores, política y objetivos de seguridad laboral de la empresa, conformación de comités de seguridad, planes de prevención de emergencias, informes de condiciones de salud, entrega de equipos de protección, protocolos de seguridad, plan anual de seguridad laboral, capacitación de trabaj
Este documento compara cuatro metodologías para el análisis de riesgos de seguridad de la información: ISO/IEC 27005, MAGERIT, MEHARI y OCTAVE. Explica los conceptos, características, fases, ámbitos de aplicación, ventajas y desventajas de cada metodología. Concluye que el análisis de riesgos es importante para evaluar las amenazas a los activos de información de una organización y adoptar medidas que enfrenten esos riesgos, aumentando la conciencia sobre la segur
El documento describe el proceso de administración estratégica, el cual consta de 8 pasos que incluyen definir la misión y objetivos de la organización, analizar factores internos y externos, formular estrategias, implementarlas y evaluar los resultados para mejorar continuamente.
Este documento trata sobre la gestión de riesgos en sistemas de información. Explica conceptos clave como vulnerabilidades, amenazas, riesgos, probabilidad de ocurrencia, impacto y medidas para controlar riesgos. También describe ejemplos comunes de vulnerabilidades, amenazas y riesgos en sistemas informáticos, así como controles para prevenir, detectar y mitigar riesgos.
Memorias webCast Introduccion al analisis y gestión de riesgosAranda Software
El documento presenta una introducción a los conceptos de riesgo, análisis de riesgos y metodologías como NIST 800-30. Explica que el riesgo es el potencial de que una amenaza explote una vulnerabilidad y cause daño, y que el análisis de riesgos identifica amenazas, vulnerabilidades y sus impactos. También resume los pasos de la metodología NIST 800-30 como la caracterización del sistema, identificación de amenazas, análisis de vulnerabilidades, controles y determinación del riesgo.
Este documento describe el proceso de análisis de vulnerabilidad para una organización. El análisis incluye seis pasos: 1) identificar los elementos clave que soportan a la organización, 2) traducir esos elementos en posibles amenazas, 3) evaluar las consecuencias de cada amenaza, 4) valorar el impacto potencial, 5) estimar la probabilidad de que ocurra la amenaza, y 6) evaluar la capacidad de reacción de la organización. El resultado es un diagrama que clasifica las amenazas y guía el desarrol
Informe sobre el analisis foda..........planeamiento estrategicoJuan Prudencio
El documento presenta un análisis FODA realizado para una institución educativa. Describe las fortalezas, oportunidades, debilidades y amenazas identificadas y desarrolla estrategias basadas en la matriz FODA. Explica que el análisis FODA es una herramienta útil para el planeamiento estratégico al proporcionar información sobre factores internos y externos.
Este documento presenta una guía sobre análisis de riesgos de seguridad de la información. Explica conceptos clave como activos, amenazas, vulnerabilidades e impacto, y describe metodologías como MAGERIT. El objetivo del análisis de riesgos es identificar posibles amenazas a la seguridad, evaluar las vulnerabilidades y determinar el impacto para gestionar adecuadamente los riesgos.
Amenazas y vulnerabilidades en la informáticaCarolina Cols
Este documento resume las principales amenazas y vulnerabilidades en la seguridad informática, incluyendo amenazas naturales, intencionales e involuntarias, así como vulnerabilidades físicas, de hardware, software, medios de almacenamiento, comunicación y humanas. Explica que a medida que aumenta el uso de la tecnología también crecen las amenazas, y destaca la importancia de controles como contraseñas, antivirus y firewalls para evitarlas.
Este documento presenta el estudio de factibilidad para la creación de un disco bar en la ciudad de Naranjito, Ecuador. El proyecto fue realizado por María Shirley Rodas Uzho y Sully Lisbeth Vega Barrientos como requisito para obtener el título de Ingeniería en Contaduría Pública y Auditoría. El estudio incluye un análisis de la situación actual de Naranjito, una propuesta para el disco bar con objetivos, ubicación, factibilidad y descripción, y análisis financieros para evalu
Presentación realizada por Rafael Ariztía, Coordinador de la Agenda de Modernización, en la ceremonia de premiación de la iniciativa Chile sin Papeleo.
El objetivo de este evento fue reconocer el trabajo de los organismos y su compromiso con la campaña. Las categorías premiadas fueron: superación de metas, proactividad, compromiso con la campaña, eficiencia, compromiso con los ciudadanos, pro-interoperabilidad, disponibilidad del trámite, mención honrosa e institución Chile sin Papeleo.
Presentación realizada por Rafael Ariztía, Coordinador de la Agenda de Modernización, sobre los avances obtenidos a la fecha por ChileAtiende, la Red Multiservicios del Estado. La presentación fue realizada en el Centro de Políticas Púbicas de la Universidad Católica de Chile.
Chile has been actively pursuing open government initiatives by establishing an open government ecosystem that includes data and citizen participation portals, complying with open government presidential orders and related legal frameworks. The amount of government data published on the data portal has grown 100% with more diverse datasets. Chile aims to innovate by developing apps based on published data and citizen demand and is preparing for how social media changes the relationship with citizens by allowing for more accountability, shorter response times, and immediate feedback/collaboration through allocating appropriate teams, resources, strategies, and evaluation metrics.
El documento describe el surgimiento y desarrollo de ChileAtiende, una red de atención ciudadana que ofrece múltiples servicios públicos en un solo lugar de forma integrada. ChileAtiende nació para mejorar la insatisfacción de los ciudadanos con la atención estatal fragmentada. Se ha expandido a 197 puntos de atención en todo Chile y ha logrado ahorros de tiempo y dinero para los ciudadanos. El IPS ha jugado un rol clave como institución ancla al aportar su experiencia y capacidad instalada.
Este documento resume los avances en la modernización del Estado en Chile, con foco en mejorar los servicios entregados a los ciudadanos. Se ha implementado ChileAtiende, una red de atención multiservicio que integra trámites de 24 instituciones a través de distintos canales como oficinas, llamadas y el sitio web. También se ha impulsado la digitalización de trámites a través de la campaña Chile Sin Papeleo, con el objetivo de digitalizar el 60% de los trámites públicos. Otras iniciativas incl
Presentación realizada por Ms Kiyoko Tsutsumi, sobre las iniciativas del Gobierno de Japón en términos de Gobierno Digital al servicio de los ciudadanos.
Presentación realizada el 6 de septiembre en el marco del Workshop APEC Government to Citizens, Bringing the State Closer to People, llevado a cabo en Santiago de Chile.
The document discusses Mexico's efforts to digitize and streamline public services and procedures to increase productivity and competitiveness. It outlines reforms to financial, energy, and telecommunications sectors. It then analyzes Mexico's challenges around digital inclusion and proposes a national digital strategy with goals like universal healthcare access and education quality. The strategy aims to improve interoperability across levels of government and simplify processes to start businesses through a national public services catalog.
Este documento describe la creación de ChileAtiende, una red multiservicios del Estado de Chile. ChileAtiende ofrece múltiples servicios gubernamentales a través de varios canales para mejorar la satisfacción de los ciudadanos. La red ha crecido rápidamente y ahora ofrece 158 productos a través de 192 puntos de atención físicos, un sitio web y un call center. Esto ha permitido ahorrar horas y viajes a los ciudadanos y la satisfacción con los servicios ha aumentado al 89%.
Presentación de Lee, In Jae, Director General de Administración de Políticas. Ministerio de Seguridad y Administración Pública de Corea, en el WorkShop APEC 2013 "Government-to Citizens Service Channels"
La Administración General de Servicios de Canadá desea crear una cultura de excelencia en el servicio centrado en los ciudadanos. Para lograr esto, han adoptado una estrategia de fomento de una cultura de excelencia en el servicio invirtiendo en el desarrollo de sus empleados a través de nuevas competencias, descripciones de puestos de trabajo y capacitación. También se ha convertido en una organización de aprendizaje para apoyar a los profesionales de servicio y utilizar el aprendizaje como palanca para lograr un cambio cultural
Este documento discute la seguridad cibernética y la colaboración digital. Resalta que los usuarios están más empoderados e hiperconectados, por lo que la seguridad es un problema de percepción. También destaca las tendencias hacia servicios basados en la nube, dispositivos inteligentes y aplicaciones simples. Finalmente, propone que los gobiernos deben facilitar la interacción y colaboración entre actores para mejorar la seguridad cibernética de forma cooperativa.
Presentación sobre el Estado del Futuro realizada por Rafael Ariztía, coordinador de la Unidad de Modernización del Estado de Segpres en el marco del XI Congreso Chileno de Innovación "La innovación al poder"
Presentación de Rafael Ariztía, Coordinador Ejecutivo
Modernización del Estado, para el Seminario Chile, un HUB digital para la región, organizado por el Ministerio de Economía.
Este documento describe el desafío de acercar el Estado a los ciudadanos a través de la innovación pública en Chile. Propone tres áreas claves para lograr un gobierno digital más cercano, abierto y eficiente: gobierno cercano a través de canales digitales ubicuos e identidad integrada, gobierno abierto mediante leyes de transparencia y participación ciudadana, y gobierno eficiente externalizando servicios y fomentando la interoperabilidad. También presenta un modelo de innovación pública en tres etapas y factores transvers
ChileAtiende es un programa del gobierno de Chile que busca acercar el estado a los ciudadanos mediante la digitalización y simplificación de trámites. El programa ha logrado digitalizar varios trámites, crear más de 170 puntos de atención, y reducir millones de horas y viajes gastados por los ciudadanos en trámites. El objetivo es que el 60% de trámites se puedan realizar de forma digital para fines de 2013. Se enfrentan desafíos como coordinar mejor entre instituciones y atraer talento para continuar la moderniz
Presentación realizada por Alejandra García, jefa de Área de Interoperabilidad de la Unidad de Modernización. La presentación se realizó en el marco de la visita de Secretarios de Estado de Brasil.
Más de Modernizacion y Gobierno Digital - Gobierno de Chile (20)
3. RIESGO
• El riesgo es un potencial
de problemas
• Se debe evitar que una
amenaza explote una
vulnerabilidad existente
• Conocidos los riesgos, se
deben mitigar
4. RIESGO para la ISO 27002
• Los requerimientos de seguridad se identifican mediante una
evaluación metódica de los riesgos de seguridad.
• El proceso de evaluación de riesgo debe identificar,
cuantificar y priorizar los riesgos en comparación con el nivel
de riesgo aceptable y los objetivos relevantes para la
organización.
• El gasto en controles debiera ser equilibrado con el daño
probable.
• Los resultados de la evaluación del riesgo ayudarán a:
– Guiar y determinar las prioridades de las acciones para manejar los
riesgos,
– Implementar los controles seleccionados para protegerse contra esos
riesgos.
• La evaluación del riesgo se debiera repetir periódicamente.
5. Conceptos y metodologías de evaluación de
riesgos y su aplicación práctica para la
implementación efectiva de gestión de
seguridad de la información.
• Metodología de Evaluación de
Riesgo
– Selección de ámbitos e
identificación de activos
– Asociación de amenazas y
vulnerabilidades a activos
– Ejecución de la evaluación de
riesgos
– Plan de tratamiento de riesgos
6. Marco Referencial
• Nacional
– CAIGG
– NCh-ISO27005.Of2009
• Gestión del riesgo de seguridad de la información
• Internacional
– ISO 31000:2009
• Principles and Guidelines on Implementation
– ISO/IEC 31010:2009
• Risk Management - Risk Assessment Techniques
– ISO Guide 73:2009
• Risk Management - Vocabulary
7. Modelo de Cálculo de Riesgo
RIESGO Probabilidad Impacto
Combinación de la probabilidad de un evento y su ocurrencia
(ISO/IEC Guía 73:2002)
8. Estimación de la Probabilidad
• Porcentual
– 0% a 100%
• Cualitativa
– Alta
– Media
– Baja
• CAIGG
9. Estimación del Impacto
• Porcentual Según valor del activo
– ( 0% a 100% ) x Valor del Activo
• Cualitativa
– Alta
– Media
– Baja
• CAIGG
10. Modelo de Cálculo de Riesgo
RIESGO Amenaza Vulnerabilidad Impacto
Modelo ICSA.net
12. Modelo Pragmático de Riesgo
Riesgo = Amenaza * Vulnerabilidad * Impacto
La probabilidad de ocurrencia del impacto está dado
por la contemporaneidad entre una determinada
amenaza y la existencia de una vulnerabilidad
explotable.
Riesgo = probabilidad * Impacto
13. No Programada
Única vez
Contacto
Programada
Tiempo de
Periódica
amenaza
Beneficio
Frecuencia de la
Esfuerzo
atacante
Acción del
Sanción / Pena
Pérdida
Frecuencia de la
controles
Fortaleza de los
Vulnerabilidad
Reputación
Amenaza
Capacidad de la
Competitividad Criticidad
Compliance Costo
General
Sensitividad
Factores del Riesgo
Modelo de Cálculo de Riesgo
Según Activo
Acceso
Competencia
Uso indebido
Acción
Divulgación
Impacto Primario
Interna / Externa
Modificación
Según Amenaza
DoS
Tiempo
Impacto
Debido Cuidado
Contención
Respuesta
Remediación
Según
Detección
Organización
Recuperación
Impacto Secundario
Detección
Legal y Regulatorio
Modelo FAIR: Factor Analysis of Information Risk
Competidores
Medio
Factores Externos
Accionistas
15. Evaluación y Gestión de Riesgo TI
P09 – Planear y Organizar
• Crear y Mantener un marco de trabajo en la Gestión de
Riesgos, para:
– Documentar las estrategias consensuadas
– Documentar un nivel de riesgos TI común y acordado, estrategias de
mitigación así como riesgos residuales.
– Identificar, analizar y evaluar cualquier impacto potencial sobre las
metas de la organización, causado por un acontecimiento imprevisto.
– Estrategias de mitigación de riesgos para reducir el riesgo residual a un
nivel aceptable.
– El resultado de la evaluación debe ser comprensible para las partes
interesadas y se expresa en términos financieros, para permitirles
alinear el riesgo a un nivel aceptable de tolerancia.
16. Ciclo de Mitigación de Riesgos
Agente de Activa
la amenaza
Puede explotar
Amenaza
Interviene Evidencia
directamente Vulnerabilidad
RIESGO
Protección
Puede ser
contrarrestado
Activo
Puede Dañar
Exposición
Representa una
19. Objetivo de Evaluación de Riesgo
Seleccionar aquellos controles que
permitan mitigar los riesgos no
tolerables hasta niveles aceptables para
la organización.
20. Control
Normativa, proceso o tecnología que permite
contrarrestar el riesgo de la organización
mejorando la prevención, detección o respuesta
frente a determinada amenaza, vulnerabilidad o
impacto.
21. Plan de Mitigación
• Conjunto jerarquizado de controles de mitigación,
indexado a los procesos de negocio y al riesgo que
mitigan y agrupados como Productos o Proyectos
Específicos.
• Muchas veces es el principal aporte al Plan de
Seguridad.
• Conforma la P, del ciclo PDCA de Mejora continua.
Plan
Plan
Do
Do Act
Act
Check
Check