Este documento presenta una sesión sobre la estimación del retorno de inversión en proyectos relacionados con la generación, administración y protección de la información. La agenda incluye objetivos, conceptos generales, tendencias, retos, justificación financiera, importancia de estimar el ROI y elementos para desarrollar un caso de negocio basado en ROI. También cubre temas como costos ocultos, proyecciones financieras, marco metodológico y estudios de caso.
Introducción a la inteligencia de negociosJuan Anaya
Este documento introduce los conceptos básicos de la inteligencia de negocios. Explica que la inteligencia de negocios utiliza datos almacenados en un data warehouse o data marts para medir variables como la productividad y tomar decisiones. Describe tres tipos de sistemas de información - sistemas transaccionales, de apoyo a decisiones y estratégicos - y cómo cada uno apoya diferentes niveles de toma de decisiones en una empresa.
La información predictiva debe estar bien fundamentada por modelos matemáticos, los cuales a su ver deben de estar automatizados en plataformas, como la que ofrece SAP HANA, para alimentar y preparar los datos relevantes.
Este documento presenta una solución de inteligencia de negocios. Explica que la inteligencia de negocios organiza la información de una institución para que sea útil para la toma de decisiones. Describe el modelo conceptual, que incluye fuentes de datos transaccionales y externas, reglas para la extracción y carga de datos, y la creación de indicadores clave. También resume los pasos de la metodología del proyecto, incluida la planificación, el análisis de requisitos, el diseño y la implementación.
Las estrategias centradas en el cliente requieren de modelos analíticos para soportar la toma de decisiones y ejecución de iniciativas estratégicas que incrementen el valor de la organización. Este documento presenta el punto de vista de Asher para automatizar los modelos de CLV con las aplicaciones que integran SAP EPM.
Unidad 5 acitividad 1 inteligencia de negociosGCIRIDIAN
La inteligencia de negocios proporciona herramientas para facilitar el análisis de información corporativa y apoyar la toma de decisiones. Los sistemas de soporte de decisión combinan modelos y datos para resolver problemas semiestructurados con la participación del usuario. Los tableros de control organizan la información clave de manera fácil de entender para monitorear el rendimiento y tomar medidas correctivas oportunas.
La gamification promeut un usage des badges visant à imposer à l'utilisateur les intérêts de l'éditeur d'un service. Il possible cependant d'utiliser ces mécanismes dans une logique user-centric en aider l'utilisateur à faire ses choix, plutôt qu'en essayant de lui dicter.
Introducción a la inteligencia de negociosJuan Anaya
Este documento introduce los conceptos básicos de la inteligencia de negocios. Explica que la inteligencia de negocios utiliza datos almacenados en un data warehouse o data marts para medir variables como la productividad y tomar decisiones. Describe tres tipos de sistemas de información - sistemas transaccionales, de apoyo a decisiones y estratégicos - y cómo cada uno apoya diferentes niveles de toma de decisiones en una empresa.
La información predictiva debe estar bien fundamentada por modelos matemáticos, los cuales a su ver deben de estar automatizados en plataformas, como la que ofrece SAP HANA, para alimentar y preparar los datos relevantes.
Este documento presenta una solución de inteligencia de negocios. Explica que la inteligencia de negocios organiza la información de una institución para que sea útil para la toma de decisiones. Describe el modelo conceptual, que incluye fuentes de datos transaccionales y externas, reglas para la extracción y carga de datos, y la creación de indicadores clave. También resume los pasos de la metodología del proyecto, incluida la planificación, el análisis de requisitos, el diseño y la implementación.
Las estrategias centradas en el cliente requieren de modelos analíticos para soportar la toma de decisiones y ejecución de iniciativas estratégicas que incrementen el valor de la organización. Este documento presenta el punto de vista de Asher para automatizar los modelos de CLV con las aplicaciones que integran SAP EPM.
Unidad 5 acitividad 1 inteligencia de negociosGCIRIDIAN
La inteligencia de negocios proporciona herramientas para facilitar el análisis de información corporativa y apoyar la toma de decisiones. Los sistemas de soporte de decisión combinan modelos y datos para resolver problemas semiestructurados con la participación del usuario. Los tableros de control organizan la información clave de manera fácil de entender para monitorear el rendimiento y tomar medidas correctivas oportunas.
La gamification promeut un usage des badges visant à imposer à l'utilisateur les intérêts de l'éditeur d'un service. Il possible cependant d'utiliser ces mécanismes dans une logique user-centric en aider l'utilisateur à faire ses choix, plutôt qu'en essayant de lui dicter.
El documento presenta el Plan Departamental de Desarrollo Concertado del Departamento de Apurímac. Incluye un perfil del departamento con información sobre su extensión, aspectos físicos, riesgos naturales, población, economía y recursos naturales. También describe las necesidades, problemas y potencialidades de desarrollo de las provincias de Abancay y Andahuaylas. El objetivo es lograr un instrumento para la gestión estratégica del desarrollo regional de manera participativa.
Guía para la Edición de Contenidos en la Web de GoogleNoa Marcos
Este documento proporciona una guía sobre cómo maximizar la visibilidad de contenido en línea a través de Google. Explica cómo funciona la búsqueda web de Google, cómo Google puede encontrar y indexar sitios web, y proporciona consejos sobre cómo mejorar la visibilidad a través de herramientas como Sitemaps y el Centro para webmasters de Google. También cubre cómo controlar lo que Google indexa a través de robots.txt y metaetiquetas.
Dios decide poner fin a la humanidad en 24 horas. Convoca a los líderes mundiales para notificarles personalmente su decisión. Cada líder regresa a su país y comunica la noticia a su pueblo: tienen 24 horas antes de que la Tierra deje de existir.
Este documento describe diferentes tipos de consultas en Access, incluyendo consultas de selección que extraen datos que cumplen criterios específicos, consultas SQL que requieren conocimiento de este lenguaje, y consultas para crear, anexar, actualizar y eliminar datos de tablas existentes. También explica cómo crear consultas seleccionando tablas y campos en la vista de diseño de consultas.
Hércules, Blancanieves y el Jorobado de Notredame visitan a Dios para preguntarle si son respectivamente el hombre más fuerte, la mujer más bella y el hombre más feo del mundo. Tanto Hércules como Blancanieves reciben una respuesta afirmativa de Dios, mientras que el Jorobado se enoja al no recibir una respuesta clara.
Un podcast es un archivo de audio digital que puede ser accedido automáticamente y contiene diversos tipos de contenido como programas de conversación, música o clases. Los podcasts son generalmente gratuitos y de libre acceso para que cualquier persona pueda suscribirse y descargar el contenido desde cualquier lugar. El podcasting consiste en la distribución de archivos de audio y video que pueden ser descargados y reproducidos automáticamente a través de la suscripción a los feeds de actualización de los podcasts.
Este documento describe qué son los informes y cómo se pueden crear. Los informes permiten automatizar documentos a partir de bases de datos y se utilizan para mostrar listados de datos de una tabla de manera personalizada. Existen diferentes tipos de secciones en un informe como encabezados, detalles y pies. Los informes se pueden crear mediante la herramienta de informes o utilizando un asistente que guía el proceso de seleccionar datos, agrupar registros y ordenarlos.
La inteligencia artificial es la ciencia que estudia el tratamiento automático de la información mediante ordenadores. Un ordenador es una máquina compuesta principalmente de elementos electrónicos que puede realizar una gran variedad de tareas a gran velocidad y con gran precisión.
El documento presenta una lista de competencias genéricas, instrumentales, interpersonales y sistémicas según el proyecto Tuning. Luego describe las competencias laborales según el Ministerio de Educación Nacional de Colombia, incluyendo competencias generales, intelectuales, personales, interpersonales, organizacionales, empresariales y tecnológicas. Finalmente, enfatiza que todas las competencias requieren capacidad lectoescritural y pensamiento estructurado, y que cada programa debe definir competencias específicas y genéricas.
El comité de sistemas sobre la Tecnología de información es responsable de cinco áreas clave: 1) la inversión en TIC, 2) las capacidades que se deben centralizar y descentralizar, 3) el nivel de entrega de los servicios de TIC, 4) los responsables del éxito y fracaso de iniciativas de TIC, y 5) el grado de seguridad, privacidad y riesgo en sistemas de TIC.
1. El documento describe la necesidad de una auditoría continua que integre mejor el análisis de datos para fortalecer el sistema de control interno. 2. Explica cómo la auditoría continua funciona mediante el uso continuo de análisis de datos para evaluar riesgos, planificar auditorías y monitorear problemas. 3. Incluye un ejemplo de cómo la auditoría continua podría integrar mejor los datos a lo largo del ciclo de vida de la auditoría.
El documento presenta el Plan Departamental de Desarrollo Concertado del Departamento de Apurímac. Incluye un perfil del departamento con información sobre su extensión, aspectos físicos, riesgos naturales, población, economía y recursos naturales. También describe las necesidades, problemas y potencialidades de desarrollo de las provincias de Abancay y Andahuaylas. El objetivo es lograr un instrumento para la gestión estratégica del desarrollo regional de manera participativa.
Guía para la Edición de Contenidos en la Web de GoogleNoa Marcos
Este documento proporciona una guía sobre cómo maximizar la visibilidad de contenido en línea a través de Google. Explica cómo funciona la búsqueda web de Google, cómo Google puede encontrar y indexar sitios web, y proporciona consejos sobre cómo mejorar la visibilidad a través de herramientas como Sitemaps y el Centro para webmasters de Google. También cubre cómo controlar lo que Google indexa a través de robots.txt y metaetiquetas.
Dios decide poner fin a la humanidad en 24 horas. Convoca a los líderes mundiales para notificarles personalmente su decisión. Cada líder regresa a su país y comunica la noticia a su pueblo: tienen 24 horas antes de que la Tierra deje de existir.
Este documento describe diferentes tipos de consultas en Access, incluyendo consultas de selección que extraen datos que cumplen criterios específicos, consultas SQL que requieren conocimiento de este lenguaje, y consultas para crear, anexar, actualizar y eliminar datos de tablas existentes. También explica cómo crear consultas seleccionando tablas y campos en la vista de diseño de consultas.
Hércules, Blancanieves y el Jorobado de Notredame visitan a Dios para preguntarle si son respectivamente el hombre más fuerte, la mujer más bella y el hombre más feo del mundo. Tanto Hércules como Blancanieves reciben una respuesta afirmativa de Dios, mientras que el Jorobado se enoja al no recibir una respuesta clara.
Un podcast es un archivo de audio digital que puede ser accedido automáticamente y contiene diversos tipos de contenido como programas de conversación, música o clases. Los podcasts son generalmente gratuitos y de libre acceso para que cualquier persona pueda suscribirse y descargar el contenido desde cualquier lugar. El podcasting consiste en la distribución de archivos de audio y video que pueden ser descargados y reproducidos automáticamente a través de la suscripción a los feeds de actualización de los podcasts.
Este documento describe qué son los informes y cómo se pueden crear. Los informes permiten automatizar documentos a partir de bases de datos y se utilizan para mostrar listados de datos de una tabla de manera personalizada. Existen diferentes tipos de secciones en un informe como encabezados, detalles y pies. Los informes se pueden crear mediante la herramienta de informes o utilizando un asistente que guía el proceso de seleccionar datos, agrupar registros y ordenarlos.
La inteligencia artificial es la ciencia que estudia el tratamiento automático de la información mediante ordenadores. Un ordenador es una máquina compuesta principalmente de elementos electrónicos que puede realizar una gran variedad de tareas a gran velocidad y con gran precisión.
El documento presenta una lista de competencias genéricas, instrumentales, interpersonales y sistémicas según el proyecto Tuning. Luego describe las competencias laborales según el Ministerio de Educación Nacional de Colombia, incluyendo competencias generales, intelectuales, personales, interpersonales, organizacionales, empresariales y tecnológicas. Finalmente, enfatiza que todas las competencias requieren capacidad lectoescritural y pensamiento estructurado, y que cada programa debe definir competencias específicas y genéricas.
El comité de sistemas sobre la Tecnología de información es responsable de cinco áreas clave: 1) la inversión en TIC, 2) las capacidades que se deben centralizar y descentralizar, 3) el nivel de entrega de los servicios de TIC, 4) los responsables del éxito y fracaso de iniciativas de TIC, y 5) el grado de seguridad, privacidad y riesgo en sistemas de TIC.
1. El documento describe la necesidad de una auditoría continua que integre mejor el análisis de datos para fortalecer el sistema de control interno. 2. Explica cómo la auditoría continua funciona mediante el uso continuo de análisis de datos para evaluar riesgos, planificar auditorías y monitorear problemas. 3. Incluye un ejemplo de cómo la auditoría continua podría integrar mejor los datos a lo largo del ciclo de vida de la auditoría.
Este documento presenta los conceptos básicos de la auditoría informática, incluyendo las características, factores que la propician, riesgos informáticos, amenazas, vulnerabilidades, impacto y administración de riesgos. También describe normas como COBIT, COSO e ISO y los cuatro dominios de COBIT para gobernar efectivamente la tecnología de la información: planear y organizar, adquirir e implementar, entregar y dar soporte, y monitorear y evaluar.
Este documento resume las experiencias de implementar un programa nacional para mejorar la gestión de la seguridad de la información. Detalla los objetivos de la seguridad de la información, las razones legales para su implementación, y las restricciones que enfrentan las organizaciones públicas. Explica los hitos clave y factores críticos para el éxito como el compromiso de la alta dirección y la gestión del cambio cultural. El resumen proporciona una visión general de los temas principales discutidos en el documento.
El documento presenta una introducción al Marco de Referencia COBIT 5 para el Gobierno y Gestión de las Tecnologías de la Información (TI) de una empresa. COBIT 5 ayuda a las empresas a generar valor óptimo de TI mediante un balance entre el logro de beneficios, la optimización de riesgos y el uso de recursos. El marco también cubre la empresa de extremo a extremo y se alinea con las visiones más recientes de gobierno empresarial.
El documento trata sobre la planificación de los sistemas de información. Explica que el Plan de Sistemas de Información indica la dirección del desarrollo de sistemas, su justificación, la situación actual, la estrategia gerencial, el plan de implementación y el presupuesto. También describe los cambios en la organización que implica la implementación de nuevos sistemas, incluyendo capacitación y reestructuración.
El documento presenta una unidad sobre gobierno de TI dictada por Héctor Calderazzi. Explica conceptos clave del gobierno de TI como estrategia, arquitectura empresarial, estructuras y responsabilidades, gestión del cambio, rendición de cuentas, monitoreo, reportes, comunicación y aseguramiento. El objetivo es proveer las bases para la implementación efectiva del gobierno de TI en una organización.
Aporte de los datos a la analítica en la transformación digital - (Mariano Mu...Mariano Muñoz Martín
Este documento discute la importancia de los datos y la analítica en la transformación digital. Explica que 1) los datos han evolucionado de estructurados a no estructurados y la analítica ha evolucionado también; 2) los datos deben convertirse en valor mediante la toma de decisiones basadas en datos; y 3) la tecnología clave incluye arquitecturas de datos, calidad de datos, gobierno de datos y analítica e inteligencia artificial.
Platform Proposal for Financial Criptosecuritization Valuation of Intangible Assets Using the Blockchain of Criptocurrencies as Bitcoin.
Propuesta de Plataforma de Valoración y Criptotitulización financiera del Talento
Intangible generador de riqueza, empleando la Blockchain de criptomonedas como
Bitcoin
El objetivo principal del proyecto es desarrollar una plataforma tecnológica integral en un entorno seguro, transparente y donde se garantice la privacidad; que permita una valoración automatizada y un rating dinámico de las empresas y sectores, para con ello poder titulizar y colaterizar eficientemente los activos intangibles que surgen fruto de del I+D+i público y privado. Este instrumento que aportamos debe estimular un crecimiento económico de calidad, novedosas formas de financiación del talento innovador, generador de riqueza y del bienestar social de los diversos territorios, en general. El proyecto se desarrolla en el marco de la inteligencia económica, la valoración de empresas, la computación inteligente y la tecnología encriptada de Blockchain.
Este documento describe los marcos de gobierno de tecnologías de la información en las empresas. Explica que el gobierno de TI es importante para alinear las tecnologías con los objetivos del negocio. Luego describe los fundamentos para generar estrategias de TI y las áreas clave del gobierno de TI, incluyendo el alineamiento estratégico, entrega de valor, gestión de riesgos, gestión de recursos y medición del rendimiento. Finalmente, menciona tres marcos de referencia importantes para el gobierno de TI.
En la actualidad, es imposible pensar en administrar la tecnología sin una
visión relacionada con la seguridad de la información. También es impensado,
hoy en día, aplicar seguridad sin conocer cómo se administra la tecnología de
la información y desconociendo hacia dónde se encamina el negocio.
El documento describe cómo las aseguradoras pueden reinventar sus operaciones mediante el uso de procesos más inteligentes. Se discuten las tendencias en la industria que impulsan esta transformación, incluida la necesidad de centrarse más en el cliente. Se presentan tres casos principales de uso de procesos más inteligentes: autoservicio, gestión de pólizas y beneficios, y procesamiento de reclamos. Finalmente, se describen algunos ejemplos de éxito de compañías de seguros que han mejorado la velocidad, la efici
Este documento describe el concepto de analítica de datos y su utilidad para la toma de decisiones empresariales. Explica cómo la transformación de datos en información y conocimiento permite optimizar los procesos de negocio. También aborda consideraciones clave como la seguridad y privacidad de datos, la contratación de proveedores, y el desarrollo de una estructura interna responsable del análisis de datos.
Semana 9 sistemas de información gerencial (sig)edithua
Este documento describe los sistemas de información gerencial (SIG), también conocidos como sistemas de información de gestión (MIS). Explica que los SIG proporcionan información formal e informal a los gerentes para que puedan tomar mejores decisiones. También cubre los aspectos implicados con los SIG, como su importancia para las organizaciones y los retos que enfrentan, como la globalización y la necesidad de invertir en nuevas tecnologías. Finalmente, discute cómo los SIG apoyan funciones gerenciales clave como la planificación y el control, y su importancia para
Este documento describe los marcos de gobierno de TI y su importancia para las empresas. Explica tres marcos principales: COBIT, la norma ISO 38500 y el modelo de Calder-Moir. COBIT se enfoca en los procesos, ISO 38500 propone evaluar, dirigir y controlar TI, y el modelo de Calder-Moir sirve para coordinar otros marcos. Además, se detalla que el gobierno de TI debe alinear la estrategia de TI con los objetivos del negocio y monitorear el desempeño y valor entregado
Este documento resume los marcos de gobierno de TI en las empresas. Explica que el gobierno de TI es responsabilidad de la alta gerencia y tiene como objetivo evaluar, dirigir y monitorear las TI para maximizar el valor para la empresa. Describe los fundamentos para generar estrategias de TI y las áreas clave del gobierno de TI, incluyendo el alineamiento estratégico, entrega de valor, gestión de riesgos, gestión de recursos y medición del rendimiento. Finalmente, menciona algunos marcos de referencia importantes
Este documento presenta información sobre proyectos de inversión. Explica conceptos clave como misión, visión, análisis PEST, matriz EFE y las cuatro fases de un proyecto: idea, preinversión, inversión y operación. También describe los tipos de proyectos, niveles de estudio y factores a considerar para evaluar la viabilidad de un proyecto desde una perspectiva comercial, técnica, legal, ambiental, financiera y de gestión.
Optimizacion de costos en tiempo de crisis 12 jun 20 v1Pedro San Martin
La optimización de costos es una accion constante en las mejores organizaciones, ya que cuentan con el talento y contexto adecuado para tomar las mejores decisiones con su capital humano.
El documento discute los factores humanos en ciberseguridad, destacando que el elemento más débil en la cadena de seguridad es el factor humano. Explica que los ataques están evolucionando para centrarse más en las personas y que programas efectivos de concientización, entrenamiento y educación son necesarios para abordar esta debilidad, pero también se requieren esfuerzos continuos con recursos humanos, proveedores y otras partes interesadas.
ISACA Monterrey - Confianza Digital Diciembre 2018Carlos Chalico
El documento discute cómo los programas de administración de riesgos necesitan actualizarse para enfrentar los retos de la transformación digital. Señala que los enfoques tradicionales son reactivos y se enfocan solo en mitigar riesgos, en lugar de identificar oportunidades. También destaca la necesidad de integrar más estrechamente la administración de riesgos con la estrategia de negocios y usar datos para habilitar una toma de decisiones más informada.
Carlos Chalico is an instructor at the University of Toronto School of Continuing Studies who teaches courses related to cybersecurity and the Internet of Things (IoT). The document discusses key topics related to IoT including identification, communication, sensitivity and control of IoT devices. It also provides estimates for the growing market value of IoT globally, with projections of $7.1 trillion for the US and $1.8 trillion for China by 2030. Several threats to IoT security are examined, such as insecure interfaces, authentication, network services and lack of encryption. Frameworks for addressing these issues are also presented.
The document outlines an agenda for a presentation on tackling cloud computing security. The agenda includes: setting the stage; existing cloud standards; ISACA resources; a proposed approach to tackle cloud security; cloud assurance and contract considerations; and a conclusion. It then provides details on each section, outlining existing cloud standards and frameworks, ISACA tools for cloud security, approaches to governing cloud security based on risk management and extending current practices to third parties, and considerations for operating in the cloud securely.
Este documento presenta una discusión sobre la privacidad de datos y la protección de datos personales. Comienza definiendo los objetivos de definir estos conceptos, conocer el estado de madurez en el mundo, reconocer los requisitos regulatorios en América, y definir un modelo de cumplimiento corporativo. Luego presenta una agenda y procede a explicar brevemente la historia de la privacidad y cómo se ha llegado a la situación actual, con una creciente regulación a nivel mundial y el aumento exponencial en la cantidad de datos personales generados
El documento presenta una introducción al Internet de las Cosas. Explica el concepto, cómo ha sido posible gracias a la evolución tecnológica y la reducción de costos. Identifica ejemplos de uso en el ámbito corporativo como en el fútbol, la NBA, fabricantes de neumáticos y seguros de vida. Finalmente, reconoce la necesidad de considerar riesgos como la ética, seguridad y privacidad relacionados con el uso de estas tecnologías.
Este documento presenta una metodología para medir la madurez del control interno de TI en las organizaciones utilizando el marco COBIT. Explica los siete pasos para medir la efectividad del control interno de TI que incluyen entender la estrategia, identificar procesos y componentes críticos, evaluar riesgos, evaluar controles, establecer planes de acción y monitorear. También describe el modelo de madurez de COBIT y cómo las organizaciones pueden usarlo para comprender su nivel actual, compararse con su industria
Este documento presenta una agenda sobre la administración del portafolio de proyectos de TI. La agenda incluye 10 puntos principales como las bases y principios de Val IT, los procesos de Val IT, procesos y prácticas de Val IT, marco de trabajo de Val IT, bases para la integración de un portafolio de proyectos, bases para la integración de un portafolio de proyectos de seguridad, metodología para la integración del portafolio de proyectos, estimando el VaR, siete hábitos de la inte
Día Internacional de la Protección de Datos Personales 2015Carlos Chalico
Presentación usada en el evento de celebración del Día Internacional de la Protección de Datos Personales organizado en la Ciudad de México por el IFAI, InfoDF y la UNAM.
The document discusses IT governance and provides an overview of key frameworks for IT governance, including ISO 38500 and COBIT. It begins by defining governance and describing how governance applies to IT. It then discusses why IT governance is important for organizations, noting benefits like ensuring strategic alignment between IT and business goals. The document also provides a detailed overview of the ISO 38500 standard for IT governance, describing its scope, framework and principles. It explains the standard's six principles of IT governance and provides examples. Overall, the document serves to introduce the topic of IT governance and some of the most relevant frameworks.
Este documento presenta una conferencia sobre auditoría de sistemas de información, seguridad y protección de datos personales. La conferencia cubre temas como conceptos generales de privacidad y riesgo, marcos de referencia como COBIT y ISO 27000, y retos relacionados con el cumplimiento, revisión y mejora continua de la seguridad y privacidad de la información. El orador también discute la importancia de satisfacer las necesidades de las partes interesadas y cubrir a la organización de forma integral cuando se trata de gobierno y administración
Data Lifecycle Risks Considerations and ControlsCarlos Chalico
The document discusses data lifecycle risks and controls. It begins by defining data and discussing data classification. It then explains risks to data throughout its lifecycle before collection, during use, and after use. Some risks include breaches of confidentiality, integrity, and availability. The document recommends implementing information security programs and specific controls to mitigate risks. It also notes new risks emerging from technologies like big data and the need to consider ethics when managing data.
InfoDF Protección de Datos Personales en Redes SocialesCarlos Chalico
El documento habla sobre la protección de datos personales en las redes sociales. Explica los riesgos que enfrentan los menores en las redes sociales como la posibilidad de que se use su información sin su consentimiento. También recomienda usar medidas de seguridad como antivirus, controles parentales y leyes de protección de datos para proteger la privacidad de los usuarios, especialmente de los menores.
El documento resume los resultados de la XI Encuesta Global de Seguridad de la Información en México. Participaron 95 organizaciones mexicanas en la encuesta. Se analizan temas como gobierno de seguridad, organización, habilitadores, actividades y retos. Algunos hallazgos clave son que la mayoría de organizaciones realizan análisis de riesgos de forma formal o informal, aunque pocas integran la seguridad al negocio. La concientización organizacional y la disponibilidad de recursos capacitados son los mayores retos.
HPE presenta una competició destinada a estudiants, que busca fomentar habilitats tecnològiques i promoure la innovació en un entorn STEAM (Ciència, Tecnologia, Enginyeria, Arts i Matemàtiques). A través de diverses fases, els equips han de resoldre reptes mensuals basats en àrees com algorísmica, desenvolupament de programari, infraestructures tecnològiques, intel·ligència artificial i altres tecnologies. Els millors equips tenen l'oportunitat de desenvolupar un projecte més gran en una fase presencial final, on han de crear una solució concreta per a un conflicte real relacionat amb la sostenibilitat. Aquesta competició promou la inclusió, la sostenibilitat i l'accessibilitat tecnològica, alineant-se amb els Objectius de Desenvolupament Sostenible de l'ONU.
Catalogo Cajas Fuertes BTV Amado Salvador Distribuidor OficialAMADO SALVADOR
Explora el catálogo completo de cajas fuertes BTV, disponible a través de Amado Salvador, distribuidor oficial de BTV. Este catálogo presenta una amplia variedad de cajas fuertes, cada una diseñada con la más alta calidad para ofrecer la máxima seguridad y satisfacer las diversas necesidades de protección de nuestros clientes.
En Amado Salvador, como distribuidor oficial de BTV, ofrecemos productos que destacan por su innovación, durabilidad y robustez. Las cajas fuertes BTV son reconocidas por su eficiencia en la protección contra robos, incendios y otros riesgos, lo que las convierte en una opción ideal tanto para uso doméstico como comercial.
Amado Salvador, distribuidor oficial BTV, asegura que cada producto cumpla con los más estrictos estándares de calidad y seguridad. Al adquirir una caja fuerte a través de Amado Salvador, distribuidor oficial BTV, los clientes pueden tener la tranquilidad de que están obteniendo una solución confiable y duradera para la protección de sus pertenencias.
Este catálogo incluye detalles técnicos, características y opciones de personalización de cada modelo de caja fuerte BTV. Desde cajas fuertes empotrables hasta modelos de alta seguridad, Amado Salvador, como distribuidor oficial de BTV, tiene la solución perfecta para cualquier necesidad de seguridad. No pierdas la oportunidad de conocer todos los beneficios y características de las cajas fuertes BTV y protege lo que más valoras con la calidad y seguridad que solo BTV y Amado Salvador, distribuidor oficial BTV, pueden ofrecerte.
KAWARU CONSULTING presenta el projecte amb l'objectiu de permetre als ciutadans realitzar tràmits administratius de manera telemàtica, des de qualsevol lloc i dispositiu, amb seguretat jurídica. Aquesta plataforma redueix els desplaçaments físics i el temps invertit en tràmits, ja que es pot fer tot en línia. A més, proporciona evidències de la correcta realització dels tràmits, garantint-ne la validesa davant d'un jutge si cal. Inicialment concebuda per al Ministeri de Justícia, la plataforma s'ha expandit per adaptar-se a diverses organitzacions i països, oferint una solució flexible i fàcil de desplegar.
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...AMADO SALVADOR
El catálogo general de electrodomésticos Teka presenta una amplia gama de productos de alta calidad y diseño innovador. Como distribuidor oficial Teka, Amado Salvador ofrece soluciones en electrodomésticos Teka que destacan por su tecnología avanzada y durabilidad. Este catálogo incluye una selección exhaustiva de productos Teka que cumplen con los más altos estándares del mercado, consolidando a Amado Salvador como el distribuidor oficial Teka.
Explora las diversas categorías de electrodomésticos Teka en este catálogo, cada una diseñada para satisfacer las necesidades de cualquier hogar. Amado Salvador, como distribuidor oficial Teka, garantiza que cada producto de Teka se distingue por su excelente calidad y diseño moderno.
Amado Salvador, distribuidor oficial Teka en Valencia. La calidad y el diseño de los electrodomésticos Teka se reflejan en cada página del catálogo, ofreciendo opciones que van desde hornos, placas de cocina, campanas extractoras hasta frigoríficos y lavavajillas. Este catálogo es una herramienta esencial para inspirarse y encontrar electrodomésticos de alta calidad que se adaptan a cualquier proyecto de diseño.
En Amado Salvador somos distribuidor oficial Teka en Valencia y ponemos atu disposición acceso directo a los mejores productos de Teka. Explora este catálogo y encuentra la inspiración y los electrodomésticos necesarios para equipar tu hogar con la garantía y calidad que solo un distribuidor oficial Teka puede ofrecer.
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...AMADO SALVADOR
Descarga el Catálogo General de Tarifas 2024 de Vaillant, líder en tecnología para calefacción, ventilación y energía solar térmica y fotovoltaica. En Amado Salvador, como distribuidor oficial de Vaillant, te ofrecemos una amplia gama de productos de alta calidad y diseño innovador para tus proyectos de climatización y energía.
Descubre nuestra selección de productos Vaillant, incluyendo bombas de calor altamente eficientes, fancoils de última generación, sistemas de ventilación de alto rendimiento y soluciones de energía solar fotovoltaica y térmica para un rendimiento óptimo y sostenible. El catálogo de Vaillant 2024 presenta una variedad de opciones en calderas de condensación que garantizan eficiencia energética y durabilidad.
Con Vaillant, obtienes más que productos de climatización: control avanzado y conectividad para una gestión inteligente del sistema, acumuladores de agua caliente de gran capacidad y sistemas de aire acondicionado para un confort total. Confía en la fiabilidad de Amado Salvador como distribuidor oficial de Vaillant, y en la resistencia de los productos Vaillant, respaldados por años de experiencia e innovación en el sector.
En Amado Salvador, distribuidor oficial de Vaillant en Valencia, no solo proporcionamos productos de calidad, sino también servicios especializados para profesionales, asegurando que tus proyectos cuenten con el mejor soporte técnico y asesoramiento. Descarga nuestro catálogo y descubre por qué Vaillant es la elección preferida para proyectos de climatización y energía en Amado Salvador.
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaAMADO SALVADOR
Descubre el catálogo general de la gama de productos de refrigeración del fabricante de electrodomésticos Miele, presentado por Amado Salvador distribuidor oficial Miele en Valencia. Como distribuidor oficial de electrodomésticos Miele, Amado Salvador ofrece una amplia selección de refrigeradores, congeladores y soluciones de refrigeración de alta calidad, resistencia y diseño superior de esta marca.
La gama de productos de Miele se caracteriza por su innovación tecnológica y eficiencia energética, garantizando que cada electrodoméstico no solo cumpla con las expectativas, sino que las supere. Los refrigeradores Miele están diseñados para ofrecer un rendimiento óptimo y una conservación perfecta de los alimentos, con características avanzadas como la tecnología de enfriamiento Dynamic Cooling, sistemas de almacenamiento flexible y acabados premium.
En este catálogo, encontrarás detalles sobre los distintos modelos de refrigeradores y congeladores Miele, incluyendo sus especificaciones técnicas, características destacadas y beneficios para el usuario. Amado Salvador, como distribuidor oficial de electrodomésticos Miele, garantiza que todos los productos cumplen con los más altos estándares de calidad y durabilidad.
Explora el catálogo completo y encuentra el refrigerador Miele perfecto para tu hogar con Amado Salvador, el distribuidor oficial de electrodomésticos Miele.
1. Sesión # 311
Estimación del Retorno de Inversión en Proyectos
Relacionados con la Generación, Administración y
Protección de Información
Carlos Zamora, CISA, CISM / Conseti
Carlos Chalico, CISA, CISSP, CISM / Mancera Ernst & Young
2. 2
Agenda
• Objetivos de la sesión
• Revisión de conceptos generales.
• Tendencias.
• Identificación de retos.
• La brecha de seguridad.
• La justificación financiera de proyectos como parte de la estrategia
de negocio.
• La importancia de la estimación del retorno de la inversión en
proyectos de generación, administración y protección de
información.
• Las 7 Cs de la calidad en el contenido de un caso de negocio.
• Los roles del caso de negocio en la vida de un proyecto.
• Elementos que deben formar un caso de negocio.
• Marco de trabajo para definir un caso de negocio basado en ROI.
• Identificando costos ocultos e impactos colaterales.
3. 3
Agenda
• Proyección financiera estática y dinámica.
• Marco metodológico sugerido para estimar el ROI.
• Requerimientos y factores críticos de éxito.
• Caso práctico.
• El análisis de riesgos.
• La diferencia entre generación – administración y protección de la
información al estimar retornos de inversión.
• De la preocupación a la conciencia.
• Modelo de seguridad de la información.
• Riesgos de seguridad de la información = Riesgos de negocio.
• El análisis ROSI.
• Estimando el ROSI.
• Valor en riesgo.
• Caso práctico.
• Preguntas.
• Conclusiones.
4. 4
Objetivos de la Sesión
• Facilitar el entendimiento de los elementos mínimos con los que debe contar
la estimación del Retorno de Inversión en proyectos relacionados con la
generación, administración y protección de la información.
• Proporcionar elementos que faciliten el desarrollo de casos de negocio que
justifiquen la inversión en este tipo de proyectos.
• Revisar el papel que juega el análisis de riesgos en este tipo de proyectos y
analizar cómo marca una diferencia importante entre la protección de
información y la generación o administración de la misma.
• Al concluir la sesión, el participante identificará al análisis del retorno de
inversión en lo particular y al desarrollo de casos de negocio en lo general,
como vehículos indispensables en la generación de proyectos exitosos.
5. 5
Revisión de Conceptos
Generales
El grado en el que puedes expresar algo en números
representa el grado en el que realmente lo entiendes.
—William Thompson, “Lord Kelvin”
(1824–1907)
7. 7
Una realidad en las empresas ...
“En un 70% de las ocasiones, las organizaciones no ven
capitalizada su inversión en Tecnología de Información
con los beneficios esperados en el tiempo estimado,
impactando sus finanzas, operación y negocio en
general.”– www.intermanagers.com
Revisión de Conceptos
Generales
8. 8
• “De las empresas que sufren una avería a los 15 días de haber
sucedido un desastre, las estadísticas destacan que un 56% NUNCA
podrá reiniciar sus actividades, mientras que un 29% estará en riesgo
de cerrar sus operaciones en los siguientes dos años” – Information Systems
Control Journal
• “Sin la necesidad de cambiar máquinas o sustituir al personal, las
empresas pueden incrementar su competitividad hasta 100%, sólo
modificando algunos puntos clave en los que su productividad se vea
frenada sin tener que hacer costosas inversiones” – Bussiness Harvard Review
• “En México los directores de las empresas dedican el 70% de su
tiempo a labores de contexto y organización de sus áreas, en lugar de
preocuparse por elevar la competitividad de la compañía” – Mundo Ejecutivo
Revisión de Conceptos
Generales
9. 9
¿Nuestra estrategia ya
incorpora todas las
posibilidades de negocio que
las nuevas Tecnologías de la
Información nos habilitan?
Revisión de Conceptos
Generales
10. 10
• Justificar la viabilidad económica para la
asignación de Recursos Humanos y Financieros a
un proyecto de este tipo, como soporte a los
procesos de generación, administración y
protección de la información
• Proyección del flujo de inversión requerido para la
elaboración del presupuesto
Objetivo del estudio Costo - Beneficio
Revisión de Conceptos
Generales
11. 11
• El ROI de proyectos de generación,
administración y protección de la
información es un mecanismo de control
que forma parte de la Planeación
Estratégica, según las mejores prácticas de
Gobierno de TI
- PO5 (CoBIT) Managing IT Investment
IT GOVERNANCE INSTITUTE
Revisión de Conceptos
Generales
12. 12
• ¿Qué significa el término información?
– Datos organizados en una forma que es útil para las personas que la
reciben. La información es requerida por las personas para mejorar
su comprensión y lograr objetivos específicos*. La información es
usada para la toma de decisiones, es por ello que es considerada
uno de los activos más importantes.
• ¿Qué tipo de información existe?
– Documental.
– Cognoscitiva.
– Electrónica.
• ¿Qué es la seguridad de la información?
– Disciplina que tiene por objeto salvaguardar la confidencialidad,
integridad y disponibilidad de la información, en alineación con los
objetivos estratégicos del negocio al que sirve.
Seguridad Informática
*Fuente: Computers Today; Donald Sanders
Revisión de Conceptos
Generales
13. 13
• La conciencia en torno al tema de Seguridad de la Información
es baja.
• Son pocos los CEO o incluso CxO que se involucran.
• Generalmente sólo el CIO se relaciona.
• Se da enfoque unidimensional al concepto.
• Es poca la legislación que existe en Latinoamérica en torno a
este tema.
• La poca legislación que existe se conoce en bajo grado.
• Altos niveles de preocupación e indiferencia, pocos de
conciencia (este tema en particular se detallará al hablar de la
diapositiva 41, más adelante).
• Crece la brecha de seguridad.
• Existen conflictos en el entendimiento del concepto “Seguridad
de la Información”.
Tendencias
14. 14
• El principal rubro de inversión es la
tecnología (94%).
• 16% reporta a su consejo de dirección sobre
incidentes de seguridad de la información en
una base mensual.
• 19% mantiene completamente alineado su
modelo de seguridad de la información a la
estrategia de negocio.
• En América Latina sólo el 9% considera tener
un modelo de seguridad de clase mundial o
adecuado.
• La limitación presupuestal es el principal
obstáculo (60%).
• Sólo alrededor de un 20% calcula un retorno
de inversión.
• Menos de la mitad considera tener habilidades
para detectar un incidente o reaccionar a él.
Fuente: Encuesta Global de Seguridad de la Información. Ernst & Young 2003.
1400 Encuestados, 66 países, México incluido.
Tendencias
15. 15
• La necesidad por atender iniciativas de seguridad
crecerá a nivel global un 19.8% por año del 2004 a
2008.
• El crecimiento de regulaciones en el continente
americano aumentará la demanda de servicios de
seguridad de la información.
• Resaltará la importancia de comprender la Evaluación
de Riesgos.
• Las mejoras en la Seguridad Nacional de todos los
países requerirán mayores inversiones en seguridad de
la información.
Fuente: Key Forecast Assumptions for the Worldwide Security Services Market, 2004-2008 (IDC)
Tendencias
16. 16
• Se desarrollarán mejores herramientas para la medición
del retorno de la inversión, sin utilizar métricas
estandarizadas.
• Servicios proactivos, como los de administración de
actualizaciones de seguridad, pruebas de penetración /
aplicación y desarrollo de servicios, ayudarán a aliviar el
dolor sufrido por muchas organizaciones.
• La participación de los especialistas de seguridad se
realizará en etapas más tempranas del procesamiento de
datos (desarrollo, adquisición).
• El tema de control de acceso tomará más fuerza.
Fuente: Key Forecast Assumptions for the Worldwide Security Services Market, 2004-2008 (IDC)
Tendencias
17. 17
¿ qué quiero mejorar en mi organización ?
¿ qué procesos debo revisar para lograr esos objetivos ?
¿ qué soluciones tecnológicas requiero para habilitar mis
nuevos procesos ?
… las preguntas deben ser :
¿ qué beneficios me trae esa solución a mi organización ?
… y no simplemente:
Identificación de Retos
18. 18
Beneficios
esperados
Beneficios
planeados
En la Evaluación de una Solución Tecnológica, los beneficios
a considerar, no son los que cada una de las soluciones
tecnológicas evaluadas me pueda dar…….Son los que
nuestra estrategia nos exija.
Operativos Estratégicos
Cualitativos Cuantitativos
Identificación de Retos
19. 19
•Reducción de inventarios
• Reducción de reprocesos de información
• Simplificación de procesos operativos
(cobros, pedidos, etc.)
• Reducción de costos operativos
• Reducción de costos administrativos
• Análisis operativo y financiero de la empresa, en
tiempo real
• Soporte de decisiones: información real,
congruente y oportuna
• Mejor capacidad de respuesta al cliente
• Pronósticos más certeros
• Reducción del ciclo total de proceso
• Optimización de recursos escasos
• Habilitación de nuevos negocios
• Habilitación de nuevos canales
Operativos Estratégicos
Identificación de Retos
20. 20
• Aumento en inversión de tecnología de información en
general.
• Incremento en el uso de nuevas tecnologías en lo
particular (dispositivos inalámbricos).
• Ausencia de la función de seguridad de la información en
múltiples organizaciones.
• Falta de participación de los CxO en el tema
• Falta de participación de la función de seguridad de la
información en las etapas tempranas de adquisición e
implantación de soluciones de manejo de información.
• Traducción de los riesgos derivados del manejo de
información en riesgos de negocio.
Identificación de Retos
21. 21
La Brecha de SeguridadInversiónTotal
Alto
Bajo
1990’s 2000’sTiempo
Brecha de Seguridad
Sistemas de Información
Seguridad de la Información
22. 22
La Justificación Financiera de Proyectos
como Parte de la Estrategia de Negocio
Planeación
estratégica
Análisis de
procesos
Administración
de proyectos
Dirección e
infraestructura
Sistemase
infraestructura
tecnológica
Desempeño y
Logros
Evaluación
Administrar (tecnología de) Información
Estrategia de
negocio
Implantación
Desem
peño
y
Logros
Desempeñoy
Logros
Requerimientos
de TI
Evaluación
Evaluación de
proyectos
ADMINISTRACIÓN DE RIESGOS
23. 23
• Basada en un análisis de costos y oportunidades
otorga certidumbre a los accionistas
• Compromete a la Administración y dueños de
procesos con los Resultados proyectados
• Basada en un análisis de Riesgos es una
herramienta que reduce la probabilidad de
fracaso de la inversión
• Es un elemento que forma parte de la Estrategia
de Administración de la organización
La Importancia de la Estimación del
Retorno de la Inversión.
24. 24
• Requiere de una especificación y análisis de Factibilidad
que contribuye a alinear a la estrategia de negocio y a
la estrategia tecnológica
• Genera “sinergia” y “compromiso” con los equipos
de trabajo (Procesos y Tecnología)
• Considera los escenarios futuros y los factores críticos
de éxito para conseguir los resultados esperados
• Es un ejercicio que facilita el “aprendizaje” y colabora
con el ciclo de madurez de la organización
La Importancia de la Estimación del
Retorno de la Inversión.
25. 25
Las 7 Cs de la Calidad en el Contenido *
• Correcto alineamiento con la decisión.
• Concentración en todos los participantes de la
decisión y reflejo en el criterio de decisión.
• Completo análisis de todas las áreas de valor.
• Conexión con los objetivos de negocio.
• Credibilidad de análisis.
• Conciencia de expresión.
• Compendio de sucesos de éxito.
*Fuente: Making Technology Investments Profitable; Jack Keen, Bonnie Digrius
26. 26
Los Roles del Caso de Negocio en la
Vida de un Proyecto
• Durante el Fondeo.
– “Imán” de Dinero.
• Durante la Implantación.
– Convencedor de Audiencias.
– Timón.
– Porrista.
– Recordatorio de Ejecutivos.
• Durante la Vida Operacional.
– Medidor del progreso en la entrega de valor.
*Fuente: Making Technology Investments Profitable; Jack Keen, Bonnie Digrius
27. 27
Procesos
duplicados y repetitivos
Problemas de
acceso y disponibilidad de
información
Procesos
que pueden automatizarse
Cuantificar beneficios
operativos y estratégicos
Elementos que Deben
Formar un Caso de Negocio
Identificar
29. 29
Requerimientos
de Negocio
Recursos de
TI
Procesos
de TI
Planeación
AnálisisdelaestrategiaOrganizacional
EstablecimientodeAgendayPresupuestode
Proyectos
Integración,delRFP,Estrategiay
procedimiento
decontroldeAdquisicióndelT.I.
Equipos de Trabajo
■ AREA DE SISTEMAS
■ FINANZAS
■ AREAS DE NEGOCIO
Aplicación de Normas, Políticas y Procedimientos
Marco de Trabajo para Definir un Caso
de Negocio Basado en ROI
30. 30
Identificando Costos Ocultos
e Impactos Colaterales
•Curva de Aprendizaje
• Costos de Capacitación continua
• Soporte consultivo adicional
• Impacto en las Capacidades de la
Infraestructura (Hardware, Software,
Comunicaciones)
• Impacto en el Soporte técnico y de
Servicios después de la implantación
• Administración del Cambio
• Mantenimiento de la Tecnología
•Cultura organizacional
• Esquemas de Operación y Colaboración
• Seguridad de la Información
• Esquema en la toma de decisiones
• Relaciones con clientes y proveedores
• Aprendizaje organizacional
• Cambios en el Control Interno y procesos
• Habilitación de nuevas políticas y
procedimientos
• Seguridad
Costos Ocultos Impactos Colaterales
31. 31
Marco Metodológico sugerido
para Estimar el ROI
PROCESO DE ADMINISTRACION DEL PROYECTO
ANALISIS Y EVALUACIÓN DE RIESGOS
ANALISIS DE
REQUERIMIENTOS
DE NEGOCIO
DETERMINAR
BENEFICIOS
ESPERADOS
PROYECCIÓN
DE ESCENARIOS
Y ANÁLISIS DE
RIESGOS
ESTUDIO DE
COSTOS Y
PLANEACION
DE
LA CAPACIDAD
ESTIMACIÓN
FINANCIERA
ESTÁTICA Y
DINÁMICA
VALIDACIÓN
DE
RESULTADOS Y
ESTRATEGIA
VALIDACIÓN Y SOPORTE ESTRATÉGICO A LAS PROYECCIONES DEL PROYECTO
“...Recordar que es un ejercicio de estimación y proyección
de escenarios operativos y de proceso con una fuerte carga
de subjetividad, conforme madure la práctica, los resultados
del ejercicio tendrán mayor certidumbre..”
32. 32
Proyección Financiera
Estática y Dinámica
Proyección Estática
• Suma de la Cuantificación de
Beneficios por periodo
establecido para el proyecto.
• Determinación del Periodo de
desarrollo e implantación del
proyecto para puesta en marcha
• Comparativo entre la Inversión Total del
Proyecto y el Beneficio cuantificado hacia
el proyecto
Inversión Total del Proyecto
Sumatoria de beneficios cuantificados en el
Periodo Determinado
Proyección Dinámica
• Considera el desarrollo del análisis
costo-beneficio en el tiempo.
• Se proyectan los flujos de la inversión y
los flujos de los beneficios del proyecto.
• Se considera el Valor Futuro y el Valor
Presente Neto del Dinero de acuerdo a la
inflación
• Considera la Tasa Interna de Retorno
(TIR)
• Se proyecta el flujo financiero de
acuerdo a un periodo de tiempo
(Semanas, Meses, Años).
33. 33
Proyección Estática Proyección Dinámica
ROI Dólar = 9.52426431
Proyecciónestática ennúmerogruesos:
Opción 1
Inversión 944,191
Recuperación anual 1,127,407 ROI en años = 0.8375
Opción 2
Inversión 961,087
Recuperación anual 1,127,407 ROI en años = 0.8525
Opción 3
Inversión 1,608,563
Recuperación anual 1,127,407 ROI en años = 1.4268
➲ Valor Presente Neto $ 2,204,000
➲ Tasa Intera de Retorno 48.23%
➲ Periodo de Recuperación 16 - 18 Meses
Inversión Inicial $ 4,024,134.096
0 1 2 3 4 5
$ 2,526,104
$ 5,098,208.52
Tiempo
Años
Proyección Financiera
Estática y Dinámica
34. 34
Requerimientos y Factores
Críticos de Éxito
Desarrollar siempre el ROI durante la fase de estudio de
factibilidad del Proyecto.
Involucrar siempre a las áreas de negocio, financiera y legal de
la organización.
Tener a la mano los presupuestos de operación del año anterior,
presente y futuro general de la organización y por área.
Realizar ejercicios dinámicos para identificar los beneficios
esperados del proyecto.
Cuantificar el impacto de los beneficios Vs los presupuestos de
operación por área y global
Involucrar siempre al área de R.H.
Realizar el análisis de Riesgos considerando los escenarios
35. 35
Validar la cuantificación de beneficios producto de la
implantación de T.I. Con las áreas de finanzas y de procesos
de acuerdo con sus registros financieros, involucrarlos al
momento de realizar las proyecciones de flujo.
Generar la validación de beneficios cualitativos y
cuantitativos por Dirección de área de Negocio.
Considerar siempre la política de adquisiciones y proyectos
de la empresa.
Considerar siempre la inversión en capacitación y soporte
externo.
Realizar sesiones de trabajo dinámicas para obtener mejores
resultados.
Requerimientos y Factores
Críticos de Éxito
40. 40
Disminución de
Riesgo
Reducción de Costos
Incremento de Ingresos
Aumento de Productividad
La Diferencia Entre Generación –
Administración y Protección de la
Información al estimar ROI
Generación –
Administración
de
Información
Protección de
Información
Vs.
41. 41
Análisis de Riesgos
De la Preocupación a la Conciencia
• No más FUD (Fear, Uncertainty and Doubt).
Preocupación Conciencia
Riesgo
Preocupación ConcienciaIndiferencia
Ignora los riesgos o considera
que no existen.
No tiene temor por las
amenazas que puedan existir
en el ambiente.
Definitivamente no hay
patrocinio, ni interés de la Alta
Dirección.
Ejecuta acciones aisladas y
reactivas.
Teme amenazas y posibles
vulnerabilidades, aunque no
conoce sus riesgos.
Carece de acciones
encaminadas a entender sus
riesgos
Sospecha que ha habido
incidentes, pero ignora el
impacto y recurrencia de los
mismos.
Puede no existir patrocinio de
la Alta Dirección.
El tema de seguridad de la
información forma parte de la
estrategia de negocio.
Existe un proceso continuo y
permanente de análisis de
riesgos y de acciones para
atenderlos
La seguridad está intrínseca en
el proceso de negocio.
Existe un claro patrocinio de la
Alta Dirección.
42. 42
Modelo de Seguridad de la
Información
Información Segura
Riesgo Administrado
Estándares Mínimos
Dependencia de la Tecnología
Impacto
AltaBaja
Alto
Bajo
Formal
Alcance Empresarial
Alineado Continuo
Proactivo
Validado
Periódico
Departamentalizado
Reactivo
Informal
Probado
Desarrollado Documentado
Responde
Programado
Independiente
Táctico
Integrado
43. 43
Riesgos de Información =
• ¿Qué pasaría si sus equipos de cómputo se detuvieran por
completo?
• ¿Se imagina con una base de datos en la que los valores de los
campos pudieran ser modificados sin que se requiriera de
ninguna autorización? ¿Cómo dirigiría una campaña de correo
directo con direcciones equivocadas? ¿Cómo mandar facturas y
estados de cuenta?
• ¿Qué pasaría si su competencia se adueñara del mercado
anticipándose a atacarlo ¡CON SUS PROPIAS
ESTRATEGIAS!?
• ¿Ha identificado la forma en la que su información puede y debe
protegerse desde el punto de vista legal?
44. 44
• ROSI. Return On Security Investment.
• Históricamente Sistemas de Información es un centro de costo, no de
ingresos.
• La seguridad de la información hereda esta visión
• La seguridad de la información se relaciona con el análisis de riesgos.
• El análisis de riesgos busca identificar amenazas y vulnerabilidades que un
activo o grupo de activos puede tener y mide sus probabilidades de
ocurrencia.
• La seguridad de la información buscará reducir el riesgo al mínimo, a través
de la definición de controles que representen valores menores a los
impactos producidos por la potencial ocurrencia de las amenazas, lo que se
relaciona directamente con el valor del propio activo, que se sustenta en su
criticidad para el negocio.
• El problema no es nuevo. 1882 Fire sprinklers.
• Investigaciones científicas Idaho University – Hummer (valuación de
ataques). @stake – Hoover (ingeniería de software).
El Análisis ROSI
45. 45
• Premisa:
– Mientras más temprano se involucre la seguridad en los procesos,
más bajo será el costo del modelo de seguridad de la información.
• Altermativas:
– No hacer nada, considerar al ROSI como inválido e ir por estrategia
de FUD.
– Colgar al proyecto de seguridad de otro que sí produzca un ingreso.
– Calcular el ROSI.
• Elementos clave:
– Activos (de información y digitales).
– Criticidad.
– Amenazas.
– Riesgos.
– Impacto.
El Análisis ROSI
46. 46
• Los Intangibles.
– Imagen.
– Confianza.
– Posicionamiento.
• El monto invertido no garantiza que se alcanzará un cierto
nivel de seguridad, pero implica acciones y movimiento.
• No existe una relación fija entre la inversión y el retorno.
• La adquisición de seguridad no es necesariamente un asunto
que se relacione con la imagen, en la mayoría de los casos
será un tema del que no se pueda o deba hablar.
Estimando el ROSI
47. 47
• Valor en Riesgo.
• Manejo de intangibles a la medida.
• El beneficio que debe esperarse principalmente de los
proyectos de seguridad de la información es la
reducción de riesgos, no el incremento en la
productividad, el aumento en los ingresos o la reducción
de costos.
• El monto invertido en la atención (preventiva, detectiva,
correctiva) de un incidente de seguridad, debe ser menor
al impacto causado por su ocurrencia.
Estimando el ROSI
48. 48
Beneficios
Costos
Año 1 Año 2 Año 3 Año 4 Año 5
CostoparalaEmpresa
Nivel de Inversión en Seguridad
CI
Curva de Costos
Tangibles
Curva de Costos
Totales
Valor de Riesgo
Reducido
Valor en Riesgo
ROI Tradicional Retorno Basado en Riesgos
Valor en Riesgo
49. 49
• Calcular el valor en riesgo.
• Estimar la ocurrencia de una amenaza.
• Evaluar el costo de propiedad.
• Calcular el valor de la reducción del riesgo.
Valor en Riesgo
50. 50
1. Identificar los objetivos y procesos de negocio.
2. Identificar los activos (de información y digitales) que los soportan.
3. Estimar el valor de los activos (VA) considerando elementos como costo
inicial, costo de mantenimiento, valor que representa para la Compañía y/o
valor que representa en el mercado para la competencia.
4. Identificar amenazas por activo.
5. Identificar vulnerabilidades y el factor de exposición (FE) por activo.
6. Determinar la tasa de ocurrencia anual (TOA) de cada vulnerabilidad por
activo.
7. Determinar la expectativa de pérdida simple (EPS) multiplicando VA por
FE (por amenaza por activo).
8. Determinar la expectativa de pérdida anual (EPA, también conocida como
valor en riesgo) multiplicando la TOA por la EPS (por amenaza por
activo).
Valor en Riesgo
51. 51
9. Priorizar activos por EPA.
10. Diseñar soluciones por activo atendiendo a la priorización realizada y
buscando alineamiento a la Política Directriz de Seguridad de la
Información.
11. Estimar reducción de la EPA por la adopción de las medidas de seguridad
(valor en riesgo reducido).
12. Estimar costo de soluciones considerando necesidades individuales y
generales.
13. Comparar costo de soluciones contra la diferencia que exista entre la EPA y
la EPA reducida de cada activo.
14. Estimar la recuperación de la inversión en función de la reducción de la
EPA por activo.
15. Priorizar la ejecución de soluciones.
16. Ejecutar plan.
17. Mantenerlo.
Valor en Riesgo
54. 54
Conclusiones
• El ROI de proyectos relacionados con la generación y
administración de la información es una herramienta de
estimación
• Es un factor de control interno de la organización
• Es un elemento que ayuda a reducir la incertidumbre
• Es una herramienta de trabajo necesaria para el ambiente
competitivo de los negocios en el siglo XXI
• Favorece a la madurez de las organizaciones
• Compromete a la Alta Dirección y Gerencias con los
resultados proyectados por ellos mismos ante los accionistas
• Es un ejercicio que favorece el “aprendizaje” y genera sinergia
entre los equipos de trabajo
55. 55
• La información es uno de los activos más importantes de cualquier
Compañía.
• La Seguridad de la Información es un tema de negocio (tecnología,
procesos, gente).
• La inversión en Seguridad de la Información debe ser realizada con un
enfoque de riesgos.
• La aceptación de la inversión relacionada con la Seguridad de la
Información requiere de casos de negocio adecuadamente preparados.
• Resulta de utilidad basar en prácticas líderes la definición del Modelo
de Seguridad.
• Es importante:
– Cerrar la Brecha de Seguridad.
– Pasar de la Preocupación a la Conciencia.
– Buscar la definición de un Modelo de Seguridad Maduro
Conclusiones
56. 56
Gracias
Carlos Zamora, CISA, CISM / Conseti
carlos.zamora@conseti.com.mx
Carlos Chalico, CISA, CISSP, CISM / Mancera Ernst & Young
carlos.chalico@mx.ey.com