El documento presenta información sobre gestión de riesgos de seguridad de la información. Explica conceptos clave como riesgo, análisis de riesgos y estándares relacionados. También introduce a Maricarmen García, directora de Secure Information Technologies y experta en gestión de riesgos y seguridad de la información.
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
Un análisis del proceso de Gestión de Riesgos de TI desde las perspectivas distintas de los estándares, las normas y las mejores prácticas de gestión de TI aplicables. Se revisa el enfoque de gestión de riesgos de TI descrito en ITSM/ITIL, ISO 20000, ISO 31000, ISO 27001, ISO 27005, ISO 22301 y COBIT.
Vamos a cubrir:
• Perspectiva general de Gestión de Riesgos
• Normas, estándares y buenas prácticas en la gestión de procesos de TI
• Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000)
• Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
Presentador:
Pedro Escarcega Navarrete es un profesional con más de 30 años de experiencia como ejecutivo en empresas, en áreas de tecnología y ha desempeñado funciones que van desde la consultoría, capacitación e implementación y gestión de procesos de tecnologías de la información, el diseño y la administración de proyectos, hasta funciones de gerencia y dirección.
Link of the recorded session published on YouTube: https://youtu.be/JF0RIYmH6No
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
Un análisis del proceso de Gestión de Riesgos de TI desde las perspectivas distintas de los estándares, las normas y las mejores prácticas de gestión de TI aplicables. Se revisa el enfoque de gestión de riesgos de TI descrito en ITSM/ITIL, ISO 20000, ISO 31000, ISO 27001, ISO 27005, ISO 22301 y COBIT.
Vamos a cubrir:
• Perspectiva general de Gestión de Riesgos
• Normas, estándares y buenas prácticas en la gestión de procesos de TI
• Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000)
• Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
Presentador:
Pedro Escarcega Navarrete es un profesional con más de 30 años de experiencia como ejecutivo en empresas, en áreas de tecnología y ha desempeñado funciones que van desde la consultoría, capacitación e implementación y gestión de procesos de tecnologías de la información, el diseño y la administración de proyectos, hasta funciones de gerencia y dirección.
Link of the recorded session published on YouTube: https://youtu.be/JF0RIYmH6No
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB
The webinar covers:
• An overview of Cybersecurity
• Explaining of Cybersecurity Relationship with other types of security
• Guidance for addressing common Cybersecurity issues.
• Convincing stakeholders to collaborate on resolving Cybersecurity issues.
Presenter:
This webinar was presented by PECB Partner and Trainer Mr. Fabrice DePaepe, who is Managing Director at Nitroxis Sprl and has more than 15 years of experience in IT and Information Security.
Link of the recorded session published on YouTube: https://youtu.be/fQUSQEoLsYc
BYOD: ventajas, desventajas y consideraciones de seguridad.Maximiliano Alonzo
Desde hace un tiempo venimos viendo como las personas llevan a su trabajo sus dispositivos personales, tales como celulares, notebook y tablets, y realizan desde los mismos las actividades asociadas a sus funciones accediendo para ello a los datos de las empresas.
Esta tendencia tuvo sus inicios con los altos directivos de las empresas, que en su momento solicitaban poder acceder a su correo electrónico desde sus ultraportables o sus PocketPC, pero que hoy no solo se limita a ellos si no que se ha difundido a gran parte de los funcionarios de las empresas.
Se ha llegado al punto en que algunas empresas ya han identificado ciertas ventajas y bondades de este comportamiento denominado BYOD (Bring your own device) y lo han incorporado como políticas de funcionamiento propias.
Ahora nos preguntamos...
¿Cuales son esas ventajas y bondades que algunas empresas han identificado?
¿Existen algún tipo de Riesgo al permitir este comportamiento en nuestras empresas?
¿Como afecta el mismo a la Seguridad de nuestra información?
¿De que manera podemos mitigar estos Riesgos?
¿Que herramientas y controles podemos implementar para mejorar nuestro esquema de seguridad ante esta nueva realidad?
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB
The webinar covers:
• An overview of Cybersecurity
• Explaining of Cybersecurity Relationship with other types of security
• Guidance for addressing common Cybersecurity issues.
• Convincing stakeholders to collaborate on resolving Cybersecurity issues.
Presenter:
This webinar was presented by PECB Partner and Trainer Mr. Fabrice DePaepe, who is Managing Director at Nitroxis Sprl and has more than 15 years of experience in IT and Information Security.
Link of the recorded session published on YouTube: https://youtu.be/fQUSQEoLsYc
BYOD: ventajas, desventajas y consideraciones de seguridad.Maximiliano Alonzo
Desde hace un tiempo venimos viendo como las personas llevan a su trabajo sus dispositivos personales, tales como celulares, notebook y tablets, y realizan desde los mismos las actividades asociadas a sus funciones accediendo para ello a los datos de las empresas.
Esta tendencia tuvo sus inicios con los altos directivos de las empresas, que en su momento solicitaban poder acceder a su correo electrónico desde sus ultraportables o sus PocketPC, pero que hoy no solo se limita a ellos si no que se ha difundido a gran parte de los funcionarios de las empresas.
Se ha llegado al punto en que algunas empresas ya han identificado ciertas ventajas y bondades de este comportamiento denominado BYOD (Bring your own device) y lo han incorporado como políticas de funcionamiento propias.
Ahora nos preguntamos...
¿Cuales son esas ventajas y bondades que algunas empresas han identificado?
¿Existen algún tipo de Riesgo al permitir este comportamiento en nuestras empresas?
¿Como afecta el mismo a la Seguridad de nuestra información?
¿De que manera podemos mitigar estos Riesgos?
¿Que herramientas y controles podemos implementar para mejorar nuestro esquema de seguridad ante esta nueva realidad?
No fracasa el que sufre un ataque de seguridad, es parte del juego, fracasas si no tienes capacidad de respuesta
0% De las fugas de información fueron detectados por programas de anti-virus o sistemas de prevención de intrusos
Solo 6% De las empresas utilizan análisis de datos para minimizar el impacto económico del cibercrimen
La importancia de la Seguridad Informática en los Usuarios de la Región Lamba...Henrry Osmar Torres
Esta investigación denominada "La importancia de la Seguridad Informática en los Usuarios de la Región Lambayeque", es un tema que permite dar a conocer a los usuarios los conceptos y pautas básicas de cómo prevenir, evitar y cuidar su información de manera segura y abstenerse a pérdidas en un futuro inesperado.
Póster Cursos Especialistas en VIDEOVIGILANCIA, CONTROL DE ACCESO, ALARMAS y ...Gonzalo Espinosa
¿Por qué Educación Continua y Desarrollo Profesional 2016 de Seguridad de la Información para los ESPECIALISTAS EN CONTROL DE ACCESO, ALARMAS, DETECCIÓN DE INCENDIOS Y VIDEOVIGILANCIA?
Nos encontramos en un entorno caracterizado principalmente por la:
-rapidez del cambio e innovación de la tecnología,
-resistencia al cambio de las estructuras organizacionales y de la organización del trabajo,
-globalización de los mercados,
-intensa competitividad
Todo esto provoca que las organizaciones hagan constantemente un esfuerzo por adaptarse a los cambios y garantizar así su presencia y competitividad.
Y los ESPECIALISTAS EN CONTROL DE ACCESO, ALARMAS, DETECCIÓN DE INCENDIOS Y VIDEOVIGILANCIA no son la excepción.
Para conseguirlo es necesario formarse y formar con educación y desarrollo profesional a los quienes trabajan en estas organizaciones. La formación no implica nada más que cambiar. Cambiar la manera de hacer las cosas dependerá de un elemento tan importante como es el factor humano. La organización innovadora y competitiva, necesita contar con profesionales bien formados para avanzar en su misión y visión.
Te invitamos a conocer el programa de Educación Continua y Desarrollo Profesional 2016 de Seguridad de la Información para los ESPECIALISTAS EN CONTROL DE ACCESO, ALARMAS, DETECCIÓN DE INCENDIOS Y VIDEOVIGILANCIA de la Asociación Latinoamericana de Profesionales en Seguridad Informática, ALAPSI A.C., fundada en 1995.
www.alapsi.org
IRBC - Information and Communication Technology Readiness for Business Continuity
El lograr mantener una gestión adecuada de la Continuidad del Negocio, sólo se logra si se cuenta con una adecuada Gestión de Incidentes, de tal forma que mediante un enfoque estructurado y planeado, las organizaciones logren detectar, reportar, evaluar, responder y gestionar vulnerabilidades, mejorando continuamente las estrategias del negocio previamente establecidas. El estándar ISO 27035 provee guías para la gestión de incidentes para organizaciones medianas y de gran tamaño, de igual manera provee una guía para organizaciones que proveen servicios de gestión de incidentes de seguridad de la información incluyendo análisis forense.
Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnolo...Maricarmen García de Ureña
- Principios de la gestión de riesgos de tecnología
- El proceso de auditoría para la gestión de
riesgos de tecnología
- Técnicas utilizadas y resultados esperados de la
planificación y ejecución de las auditorías de
gestión de riesgos
- Estándares y mejores prácticas internacionales
incluyendo ISO 27005, ISO 31000, Risk IT de
ISACA y regulaciones locales de países
latinoamericanos.
- Como ejecutar en la práctica una auditoría de
riesgos de tecnología
Durante su sesión se presentaron las lecciones aprendidas por empresas que han implementado y certificado SGSI (Sistema de Gestión de la Información), los retos y desafíos a los que enfrentan al implementar y mantener en guardia la Seguridad de su Información, así como la forma en cómo resisten y gestionan sus riesgos e incidentes en el día a día para protegerse inclusive de lo que aún no se hayan imaginado.
En la actualidad, ninguna empresa a nivel internacional puede pasar por desapercibida ante grupos como Anonymous o aquellas páginas similares a WikiLeaks que básicamente mediante robo o fuga de información pretenden dar a conocer las fallas o debilidades de las empresas o bien divulgar su información sobre todo si ésta es confidencial.
Usted se ha preguntado si acaso está en la mira de ser el siguiente objetivo en la lista. ¿De qué forma puede garantizar el minimizar el daño que puede sufrir su empresa y enfrentar incidentes de Seguridad de la Información? Las empresas que han implementado Sistemas de Gestión de Seguridad de la Información (SGSI), cuentan con respuestas apropiadas ante los incidentes que se les presentan, dicha respuesta es tratada mediante éste tipo de implementaciones, las cuales mediante el tratamiento de riesgos deciden en forma estratégica las medidas de control apropiadas para administrar de manera eficiente y efectiva su Seguridad de la Información.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
Gestión de riesgos de seguridad de la información - ISO 27005
1. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
2. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Ges3ón
de
Riesgos
de
Seguridad
de
la
Información
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Maricarmen
García
de
Ureña
Director
General
Secure
Informa3on
Technologies
10
de
Abril
de
2014
3. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Maricarmen
García,
de
Ureña,
es
socio
fundador
de
Secure
Informa3on
Technologies,
es
empresaria,
catedrá3co
y
consultor
especialista
en
temas
de
Ges3ón
de
Riesgos,
Con3nuidad
del
Negocio,
Seguridad
de
la
Información
y
Servicios
de
Tecnología
de
Información,
así
como
auditora
especialista
en
control
de
TI.
Cuenta
con
una
Maestría
en
Administración
de
Servicios
de
TI
de
la
Universidad
Iberoamericana
en
la
Ciudad
de
México
y
la
Especialización
en
Alta
Dirección
en
Informá3ca
Gubernamental
por
el
Ins3tuto
Nacional
de
Administración
Pública.
Es
instructor
oficial
del
BSI
(Bri3sh
Standards
Ins3tu3on)
para
los
cursos
de
Auditor
Líder
de
las
normas
ISO22301
e
ISO27001
y
miembro
del
consejo
asesor
editorial
de
la
revista
del
DRJ
en
español
Ganadora
del
Premio
de
la
Asociación
La3noamericana
de
Con3nuidad
,ALCONT
2013
al
“Liderazgo
e
innovación
en
Con3nuidad
del
Negocio”
.
4. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Riesgos
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Epidemia de influenza!
+!
Terremoto!
+!
Falla en energía eléctrica!
5. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
El
Apocalipsis...
6. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Riesgos
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
7. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Riesgos
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
h"p://www.cdc.gov/phpr/zombies.htm#/
8. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Riesgos
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
• Conocer
los
riesgos
a
los
que
nos
enfrentamos
para
saber
como
tratarlos…
…
ADECUADAMENTE
9. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
¿Que
es
un
Riesgo
de
Seguridad
de
la
Información?
Potencial
de
que
cierta
amenaza
pueda
explotar
las
vulnerabilidades
de
un
ac3vo
o
grupo
de
ac3vos
y
causar
daño
a
la
organización
ISO
27005:2008
10. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
¿Que
es
un
Riesgo?
Efecto
de
la
incer3dumbre
en
los
obje3vos
ISO
31000:2009
11. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Principales
definiciones
¿Que
NO
es
un
Análisis
de
Riesgos?
ü Escaneo
de
vulnerabilidades
ü Pruebas
de
penetración
ü Hackeo
é3co
ü Auditoría
de
seguridad
ü Evaluación
de
controles
12. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Estándares
relacionados
Guide
73
ISO
31000
ISO
31010
ISO
27005
13. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Guía
73:2009
Áreas
cubiertas:
-‐ Términos
relacionados
con
riesgo
(1)
-‐ Términos
relacionados
con
ges3ón
de
riesgos
(4)
-‐ Términos
relacionados
con
el
proceso
de
ges3ón
de
riesgos
(1)
-‐ Términos
relacionados
con
la
comunicación
y
consulta
(3)
-‐ Términos
relacionados
con
el
contexto
(4)
-‐ Términos
relacionados
con
la
evaluación
de
riesgos
(assessment)
(1)
-‐ Términos
relacionados
con
la
iden3ficación
de
riesgos
(6)
-‐ Términos
relacionados
con
el
análisis
de
riesgos
(9)
-‐ Términos
relacionados
con
la
evaluación
de
riesgos
(evalua3on)
(7)
-‐ Términos
relacionados
con
el
tratamiento
de
riesgos
(8)
-‐ Términos
relacionados
con
el
monitoreo
y
medición
(6)
14. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
ISO
27005:2008
• Provee
guías
para
la
ges3ón
de
riesgos
de
seguridad
de
la
información.
• Soporta
los
principales
conceptos
especificados
en
ISO/IEC
27001
y
ha
sido
diseñado
para
asis3r
en
la
implementación
sa3sfactoria
de
seguridad
de
la
información
basada
en
un
enfoque
de
ges3ón
de
riesgos.
• Para
un
entendimiento
completo
de
éste
estándar,
se
requiere
el
conocimiento
de
los
conceptos,
modelos,
procesos
y
terminologías
descritas
en
ISO/IEC
27001.
• Aplica
a
todo
3po
de
organización
que
intente
ges3onar
riesgos
que
pudieran
comprometer
la
seguridad
de
la
información
de
la
organización.
15. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
ISO
31000:2009
Ges3ón
de
Riesgos
–
Principios
y
Guías
Estándar
internacional
Primera
edición
–
15
de
Noviembre
de
2009
Para
organizaciones
de
cualquier
3po
y
tamaño
16. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
ISO
31000:2009
Puede
ser
aplicado
a
toda
la
organización,
así
como
a
funciones,
proyectos
y
ac3vidades
específicas.
Cada
sector
específico
debe
tomar
en
cuenta
necesidades
individuales,
audiencias,
percepciones
y
criterios.
17. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
ISO
31000:2009
Provee
principios
y
guías
genéricas
para
la
ges3ón
de
riesgos.
Puede
ser
aplicado
a
cualquier
3po
de
riesgo,
cualquiera
que
sea
su
naturaleza,
ya
sea
que
tenga
consecuencias
posi3vas
o
nega3vas.
No
ha
sido
desarrollado
con
propósitos
de
cer3ficación
18. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
ISO
31000:2009
• Enfoque
de
procesos
• Basado
en
P-‐D-‐C-‐A
• Cualquier
organización
• Cualquier
3po
de
riesgo
19. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
ISO
31010:2009
Técnicas
de
evaluación
de
riesgos
Incluye
31
técnicas
que
pueden
ser
u3lizadas
en
las
diferentes
etapas
de
la
evaluación
de
riesgos
Referencia
a
técnicas
cualita3vas
y
cuan3ta3vas
20. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Implementación
de
la
Ges3ón
Integral
de
Riesgos
Principios
Marco
de
referencia
Proceso
Técnicas
ISO
31000
ISO
31010
ISO
27005
21. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Implementación
de
la
Ges3ón
Integral
de
Riesgos
Principios
Marco
de
referencia
Proceso
Técnicas
ISO
31000
ISO
31010
ISO
27005
22. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Principios
23. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Principios
de
la
Ges3ón
de
Riesgos
a) Crea
valor
b) Parte
integral
de
los
procesos
organizacionales
c) Parte
de
la
toma
de
decisiones
d) A3ende
explícitamente
la
incer3dumbre
e) Sistemá3co,
estructurado
y
oportuno
f) Basado
en
la
mejor
información
disponible
g) Hecho
a
la
medida
h) Toma
en
cuenta
factores
humanos
y
culturales
i) Transparente
e
inclusivo
j) Dinámico,
itera3vo
y
responde
a
cambios
k) Facilita
la
mejora
con3nua
de
la
organización
24. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Implementación
de
la
Ges3ón
Integral
de
Riesgos
Principios
Marco
de
referencia
Proceso
Técnicas
ISO
31000
ISO
31010
ISO
27005
25. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Marco
de
Referencia
26. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Marco
de
Referencia
27. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Implementación
de
la
Ges3ón
Integral
de
Riesgos
Principios
Marco
de
referencia
Proceso
Técnicas
ISO
31000
ISO
31010
ISO
27005
28. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Proceso
29. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
ISO
31000
vs
ISO
27005
Proceso
ISO
31000
Proceso
ISO
27005
30. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
ISO
31000:2009
e
ISO
27005:2008
31. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Implementación
de
la
Ges3ón
Integral
de
Riesgos
Principios
Marco
de
referencia
Proceso
Técnicas
ISO
31000
ISO
31010
ISO
27005
32. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Técnicas
de
evaluación
de
riesgos
!
Descripción
Ü
Entradas
Û
Salidas
þ
Ventajas
ý
Limitantes
"
Proceso
33. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
10
–
Análisis
de
escenario
!
Puede
ser
u3lizado
para
an3cipar
como
las
amenazas
y
oportunidades
se
pueden
desarrollar
y
puede
u3lizarse
en
las
tres
etapas
de
la
evaluación
de
riesgos.
Ü
Grupo
de
personas
que
3enen
un
entendimiento
de
la
naturaleza
de
los
cambios
relevantes
(por
ejemplo
posibles
avances
en
tecnología)
e
imaginación
para
pensar
en
el
futuro.
Û
Opciones
para
modificar
el
curso
de
acción
seleccionado.
þ
Permite
iden3ficar
escenarios
que
no
necesariamente
han
ocurrido
en
el
pasado.
ý
Pudieran
considerarse
escenarios
no
realistas.
34. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
10
–
Análisis
de
escenario
FEMA
-‐
Agencia
Federal
para
la
Ges3ón
de
Emergencias
/
FEMA
es
la
agencia
del
Gobierno
de
los
Estados
Unidos
que
da
respuesta
a
huracanes,
terremotos,
inundaciones
y
otros
desastres
naturales.
35. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
10
–
Análisis
de
escenario
ALERTA
SANITARIA
(INFLUENZA)
37. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
10
–
Análisis
de
escenario
Escenario:
Epidemia
Estrategia:
Parte
del
personal
laborando
en
oficinas
Estrategia:
Parte
del
personal
laborando
desde
casa
comunicándose
vía
Internet
y
teléfono
Escenario:
Sismo
Estrategia:
Desalojo
y
concentración
en
puntos
de
reunión
Posible
Contagio
Escenario:
Saturación
de
líneas
telefónicas
Escenario:
Perdida
de
comunicaciones
Interrupción
de
la
con3nuidad
del
negocio
38. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
TRATAMIENTO
DE
RIESGOS
39. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Opciones
de
Tratamiento
de
Riesgos
Aceptar
/
Retener
Transferir
/
Compar3r
Terminar
/
Evitar
Reducir*
/
Mi3gar
40. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Factores
crí3cos
de
éxito
• Formalizar
un
método
para
la
evaluación
de
riesgos
• Iden3ficar
a
las
audiencias
involucradas
• Involucrar
a
dueños
de
proceso
y
dueños
de
riesgo
• Definir
el
contexto
del
análisis
de
riesgos
• Seleccionar
un
método
y
técnica
de
es3mación
de
riesgos
de
acuerdo
con
las
posibilidades
y
requerimientos
de
la
organización
• Definir
la
estructura
y
contenido
del
informe
final
antes
de
iniciar
• Considerar
procesos,
información,
personas
e
instalaciones
• Ges3onar
expecta3vas
de
las
partes
interesadas
41. Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Derechos
reservados.
Secure
Informa3on
Technologies
2014.
Prohibida
su
reproducción
Preguntas
y
respuestas
¡Gracias!
Maricarmen.garcia@secureit.com.mx"
@besair_"
Maricarmen
García
de
Ureña
CBCP,
ISO27001LA,
BS25999LA,
ISO22301