Este documento presenta una introducción a la gestión de riesgos de seguridad de la información. Explica conceptos clave como riesgo, gestión de riesgos, procesos de gestión de riesgos, y normas como ISO/IEC 27005 e ISO/IEC 31000. También incluye definiciones de términos relacionados a la gestión de riesgos y ejemplos de cómo describir procesos.
El documento presenta la normativa vigente y conceptos clave para la gestión de riesgos en Oceánica de Seguros. Describe su sistema de gestión de riesgos, incluyendo las tres líneas de defensa, funciones de la unidad de riesgos y el comité de riesgos. También explica las funciones y responsabilidades de los líderes de riesgos y colaboradores para implementar la gestión de riesgos en todos los niveles de la entidad.
¿Qués es un Riesgo?, es la probabilidad de que un evento tenga
un resultado distinto a lo planeado, es un resultado
directo de la Incertidumbre de la actividad a realizar.Descubre como adelantarnos a los riesgos.
Contextualizar y sensibilizar a los asistentes acerca de la importancia de la definición e implementación de un esquema integral de administración de riesgos institucional.
Este documento presenta la estructura de un Plan de Emergencias, el cual identifica amenazas y vulnerabilidades de las empresas para desarrollar planes de prevención, preparación y mitigación inicial ante situaciones de emergencia, considerando los recursos disponibles. La estructura propuesta contiene secciones administrativas, técnicas, tácticas y operativas.
La norma ISO 31000:2018 proporciona directrices para la gestión de riesgos que pueden adaptarse a cualquier organización. Describe un marco de referencia y un proceso iterativo para la gestión de riesgos que incluye establecer el contexto, evaluar riesgos, tratar riesgos y monitorearlos. El objetivo es crear valor para la organización mediante una mejor toma de decisiones informada sobre los riesgos.
El documento presenta los conceptos y procesos clave de la administración de riesgos. Explica que la administración de riesgos es el proceso de identificar, medir y administrar los riesgos que amenazan una organización. Luego describe los cinco pasos del proceso: 1) planificación, 2) identificación, 3) cuantificación, 4) planeación de respuestas, y 5) monitoreo y control. El objetivo principal es permitir que una organización tome los riesgos adecuados para alcanzar sus objetivos.
Es de vital importancia comprender el proceso básico de la gestión de riesgo, en principio resulta difícil de discernir el flujo completo del desarrollo operativo del mismo.Por lo cual esta presentación tiene como objetivo ofrecer un explicativo didáctico y sencillo de los siguientes conceptos:
- Concepto de riesgo, vulnerabilidades y amenazas
- Evolución de la gestión de riesgo
- Proceso básico de la gestión de riesgo
- Proceso detallado de la gestión de riesgo
- Claves del éxito para la gestión de riesgo
El documento describe los conceptos fundamentales del análisis de riesgos, incluyendo probabilidad de amenaza, vulnerabilidad y riesgo. Explica metodologías cualitativas y cuantitativas para el análisis de riesgos. Los objetivos del análisis de riesgos son identificar riesgos y debilidades, definir controles de seguridad y determinar si se necesitan medidas de seguridad adicionales. También cubre regulaciones como ISO 27001, ISO 27005, Basilea II y Sarbanes-Oxley relacionadas con el
El documento presenta la normativa vigente y conceptos clave para la gestión de riesgos en Oceánica de Seguros. Describe su sistema de gestión de riesgos, incluyendo las tres líneas de defensa, funciones de la unidad de riesgos y el comité de riesgos. También explica las funciones y responsabilidades de los líderes de riesgos y colaboradores para implementar la gestión de riesgos en todos los niveles de la entidad.
¿Qués es un Riesgo?, es la probabilidad de que un evento tenga
un resultado distinto a lo planeado, es un resultado
directo de la Incertidumbre de la actividad a realizar.Descubre como adelantarnos a los riesgos.
Contextualizar y sensibilizar a los asistentes acerca de la importancia de la definición e implementación de un esquema integral de administración de riesgos institucional.
Este documento presenta la estructura de un Plan de Emergencias, el cual identifica amenazas y vulnerabilidades de las empresas para desarrollar planes de prevención, preparación y mitigación inicial ante situaciones de emergencia, considerando los recursos disponibles. La estructura propuesta contiene secciones administrativas, técnicas, tácticas y operativas.
La norma ISO 31000:2018 proporciona directrices para la gestión de riesgos que pueden adaptarse a cualquier organización. Describe un marco de referencia y un proceso iterativo para la gestión de riesgos que incluye establecer el contexto, evaluar riesgos, tratar riesgos y monitorearlos. El objetivo es crear valor para la organización mediante una mejor toma de decisiones informada sobre los riesgos.
El documento presenta los conceptos y procesos clave de la administración de riesgos. Explica que la administración de riesgos es el proceso de identificar, medir y administrar los riesgos que amenazan una organización. Luego describe los cinco pasos del proceso: 1) planificación, 2) identificación, 3) cuantificación, 4) planeación de respuestas, y 5) monitoreo y control. El objetivo principal es permitir que una organización tome los riesgos adecuados para alcanzar sus objetivos.
Es de vital importancia comprender el proceso básico de la gestión de riesgo, en principio resulta difícil de discernir el flujo completo del desarrollo operativo del mismo.Por lo cual esta presentación tiene como objetivo ofrecer un explicativo didáctico y sencillo de los siguientes conceptos:
- Concepto de riesgo, vulnerabilidades y amenazas
- Evolución de la gestión de riesgo
- Proceso básico de la gestión de riesgo
- Proceso detallado de la gestión de riesgo
- Claves del éxito para la gestión de riesgo
El documento describe los conceptos fundamentales del análisis de riesgos, incluyendo probabilidad de amenaza, vulnerabilidad y riesgo. Explica metodologías cualitativas y cuantitativas para el análisis de riesgos. Los objetivos del análisis de riesgos son identificar riesgos y debilidades, definir controles de seguridad y determinar si se necesitan medidas de seguridad adicionales. También cubre regulaciones como ISO 27001, ISO 27005, Basilea II y Sarbanes-Oxley relacionadas con el
Este documento presenta y describe varios métodos para la evaluación de riesgos, incluyendo el método What if, el análisis funcional de operatividad (HAZOP), el análisis histórico de riesgos (AHR), el análisis preliminar de riesgos (APELL) y el método de Fine. Cada método tiene como objetivo identificar riesgos y proponer medidas para reducirlos. Se explican los procedimientos, ventajas y desventajas de cada método.
El documento habla sobre la gestión de riesgos en proyectos. Explica que los riesgos son eventos inciertos que pueden afectar objetivos como el tiempo, costo, alcance o calidad. Luego detalla las 6 etapas del proceso de gestión de riesgos y menciona algunos ejemplos comunes de riesgos como la competencia, empleados, clientes, tecnología, cambios en el entorno, leyes y proveedores.
Este documento presenta información sobre matrices de riesgo. Explica que una matriz de riesgo es una herramienta que permite evaluar los riesgos de los procesos y subprocesos de una entidad. Incluye un ejemplo de formato de matriz de riesgo e información a incluir, como objetivos, riesgos, impacto, probabilidad y valor total de riesgo. También incluye una escala de medición de riesgos y un ejemplo de matriz de riesgos para el subproceso de selección.
Este documento presenta un resumen del tema de exposición "Análisis de Riesgo" por parte de los integrantes Neyar Carbonel, Juan García, Juan Manjares y Diana Giraldo. Explica que el análisis de riesgo identifica las posibles amenazas y consecuencias de un trabajo y cómo realizar un análisis de riesgos en el trabajo siguiendo cinco pasos: identificar peligros, decidir quién puede ser dañado, evaluar riesgos, registrar hallazgos e implementar medidas, y revisar el anális
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOSavaloslaulen
Este documento presenta varios métodos para la identificación de peligros, evaluación y control de riesgos en el lugar de trabajo. Explica que la evaluación de riesgos laborales estima la magnitud de los riesgos que no se pueden evitar para determinar las medidas preventivas apropiadas. Luego describe métodos cualitativos, semicuantitativos y cuantitativos para el análisis de riesgos, e incluye definiciones clave como peligro, riesgo, probabilidad y consecuencia.
Este documento presenta una matriz de identificación de peligros y evaluación de riesgos para las actividades de aseo, limpieza y orden de un condominio. Identifica 14 riesgos agrupados en 8 actividades o tareas, incluyendo caídas, atropellos, cortes, exposición a agentes químicos, ambientales y antisociales. Asigna una calificación de riesgo de 1 a 5 para probabilidad, consecuencia y otros factores, y propone acciones de control para cada riesgo.
El resumen de la auditoría es:
1) La auditoría encontró que el sistema de gestión ambiental de Unibail Rodamco cumple con los requisitos de la norma ISO 14001:2004 y su política interna de "Sustainable Attitude", excepto por algunas observaciones.
2) Se observó que el control operacional en el Centro Vaguada requiere mejoras en cuanto al manejo de residuos y almacenamiento de productos químicos.
3) La auditoría concluye que Unibail Rodamco cumple con los requisitos ambientales definidos, pero se
La metodología de comportamiento seguro busca prevenir incidentes y accidentes mediante la observación y refuerzo de comportamientos seguros, y la modificación de comportamientos de riesgo. No es punitiva, sino que empodera a los trabajadores a participar activamente en la seguridad mediante retroalimentación sobre su comportamiento.
Presentación del webinar en el que se descubre la norma ISO 31000 del año 2009, que marca los principios y directrices para la gestión de riesgos y establece los principios, el marco y los procesos que se deben seguir para gestionar el riesgos de forma global en la empresa (Enterprise Risk Management).
Los contenidos son:
Introducción a la gestión de riesgos
La norma ISO 31000 de gestión de riesgos
Principios
Framework
Procesos
Técnicas de evaluación de riesgos según la norma ISO31010
Describir las relaciones e implicaciones económicas y
sociales de la globalización de los mercados, a partir de la
comparación entre las prácticas comerciales de las
corporaciones transnacionales y de las economías
alternativas, tomando consciencia de la necesidad de
controlar la formación de monopolios y oligopolios.
El documento describe la evolución de la gestión de riesgos en las empresas desde la década de 1960 hasta la actualidad Norma ISO 31000 de 2018. Se explica que en las décadas de 1970 y 1990 surgieron las primeras normas internacionales para la gestión de riesgos en sectores específicos. Posteriormente, en 2009 la ISO publicó la Norma ISO 31000 para estandarizar la gestión de riesgos de forma global. La nueva versión de 2018 actualiza la norma anterior para hacerla más clara y aplicable a todo tipo de organizaciones.
Este documento resume los conceptos clave de la norma ISO 27001 sobre sistemas de gestión de seguridad de la información. Explica que ISO es una organización internacional que establece estándares, incluyendo más de 17,000. La familia de normas ISO 27000 incluye requisitos, códigos de práctica y guías relacionadas con la seguridad de la información. La norma ISO 27001 especifica los requisitos de un sistema de gestión de seguridad que se basa en la evaluación de riesgos y la protección de activos crí
El documento describe los principios, estructura y procesos de la norma ISO 31000 para la gestión de riesgos. Explica que la norma ayuda a las organizaciones a identificar y evaluar sistemáticamente los riesgos y oportunidades, y a implementar procesos para gestionarlos de manera efectiva. También destaca algunas limitaciones como que no determina cómo medir los riesgos ni garantiza que se identifiquen todas las áreas de riesgo.
Este documento describe los principales aspectos de un sistema de gestión de seguridad y salud en el trabajo. Explica que un sistema es más efectivo que un enfoque de programa, ya que considera todos los elementos de una organización de manera integral, dinámica y continua. Además, detalla los elementos clave de un sistema como la política, planificación, implementación, evaluación y mejora continua con el objetivo de prevenir riesgos y proteger la salud de los trabajadores.
Este documento describe los controles operacionales como una necesidad para planificar actividades y prevenir desviaciones de la política ambiental de una organización. Explica que los controles operacionales abarcan todas las actividades internas y externas de una organización y tienen como objetivo mantener las actuaciones dentro de límites medioambientales predeterminados. Además, proporciona ejemplos de cómo establecer controles operacionales a través de procedimientos, instrucciones de trabajo y controles físicos.
Este documento presenta los principales conceptos y procesos de gestión de riesgos de acuerdo con el PMBOK. Describe los seis procesos de gestión de riesgos: planificar la gestión de riesgos, identificar riesgos, realizar análisis cualitativo y cuantitativo de riesgos, planificar la respuesta a riesgos y monitorear y controlar riesgos. El objetivo es aumentar las oportunidades y disminuir las amenazas para el proyecto mediante la aplicación sistemática de estos procesos de gest
El documento habla sobre la privacidad, seguridad e integridad de la información, así como sobre ataques, amenazas e incidentes informáticos. También describe las fases para desarrollar un plan de contingencia que incluye la identificación de riesgos, soluciones alternativas y pruebas, con el objetivo de garantizar la continuidad operativa ante cualquier interrupción del sistema.
La norma ISO 31000:2018 proporciona directrices para la gestión de riesgos que pueden aplicarse a cualquier organización. Establece un marco de referencia, principios y proceso iterativo para la gestión de riesgos que ayuda a las organizaciones a mejorar el desempeño y lograr sus objetivos. La norma ofrece una guía actualizada para la identificación, evaluación y control de riesgos de manera efectiva y eficiente.
Diapositiva IPER - Identificación de peligros y evaluación de riesgos TVPerú
Este documento presenta los conceptos clave de identificación de peligros y evaluación de riesgos (IPER). Explica que la IPER incluye la identificación de peligros, la evaluación de riesgos asociados, y la implementación de controles. También describe métodos para identificar peligros y clasificarlos en categorías como físicos, químicos, ergonómicos, entre otros. El documento concluye enfatizando la importancia de mantener un enfoque sistémico y práctico en el proceso de IPER, prioriz
Presentacion: Aspectos e impactos ambientalesFUMDIR
Este documento describe los aspectos e impactos ambientales de las actividades de una organización. Define aspecto ambiental como los elementos de las actividades, productos o servicios que pueden interactuar con el medio ambiente. Explica que toda actividad humana genera impactos ambientales positivos o negativos y proporciona ejemplos de cómo identificar los aspectos e impactos a través del análisis del ciclo de vida de los procesos y operaciones de una empresa.
Taller de Gestión de Riesgos, como parte de la seguridad de la información es importante gestionar adecuadamente los riesgos. En este taller veremos los conceptos y enfoques de riesgos para seguridad de la información
El documento describe los conceptos clave de la gestión de riesgos según la norma ISO 27001 sobre sistemas de gestión de seguridad de la información. Explica que la gestión de riesgos implica identificar los riesgos a los que está expuesta una organización y establecer medidas de seguridad para reducirlos, lo que involucra las etapas de análisis de riesgos y tratamiento de los mismos. Además, señala que para llevar a cabo el proceso completo es necesario establecer una metodología que defina
Este documento presenta y describe varios métodos para la evaluación de riesgos, incluyendo el método What if, el análisis funcional de operatividad (HAZOP), el análisis histórico de riesgos (AHR), el análisis preliminar de riesgos (APELL) y el método de Fine. Cada método tiene como objetivo identificar riesgos y proponer medidas para reducirlos. Se explican los procedimientos, ventajas y desventajas de cada método.
El documento habla sobre la gestión de riesgos en proyectos. Explica que los riesgos son eventos inciertos que pueden afectar objetivos como el tiempo, costo, alcance o calidad. Luego detalla las 6 etapas del proceso de gestión de riesgos y menciona algunos ejemplos comunes de riesgos como la competencia, empleados, clientes, tecnología, cambios en el entorno, leyes y proveedores.
Este documento presenta información sobre matrices de riesgo. Explica que una matriz de riesgo es una herramienta que permite evaluar los riesgos de los procesos y subprocesos de una entidad. Incluye un ejemplo de formato de matriz de riesgo e información a incluir, como objetivos, riesgos, impacto, probabilidad y valor total de riesgo. También incluye una escala de medición de riesgos y un ejemplo de matriz de riesgos para el subproceso de selección.
Este documento presenta un resumen del tema de exposición "Análisis de Riesgo" por parte de los integrantes Neyar Carbonel, Juan García, Juan Manjares y Diana Giraldo. Explica que el análisis de riesgo identifica las posibles amenazas y consecuencias de un trabajo y cómo realizar un análisis de riesgos en el trabajo siguiendo cinco pasos: identificar peligros, decidir quién puede ser dañado, evaluar riesgos, registrar hallazgos e implementar medidas, y revisar el anális
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOSavaloslaulen
Este documento presenta varios métodos para la identificación de peligros, evaluación y control de riesgos en el lugar de trabajo. Explica que la evaluación de riesgos laborales estima la magnitud de los riesgos que no se pueden evitar para determinar las medidas preventivas apropiadas. Luego describe métodos cualitativos, semicuantitativos y cuantitativos para el análisis de riesgos, e incluye definiciones clave como peligro, riesgo, probabilidad y consecuencia.
Este documento presenta una matriz de identificación de peligros y evaluación de riesgos para las actividades de aseo, limpieza y orden de un condominio. Identifica 14 riesgos agrupados en 8 actividades o tareas, incluyendo caídas, atropellos, cortes, exposición a agentes químicos, ambientales y antisociales. Asigna una calificación de riesgo de 1 a 5 para probabilidad, consecuencia y otros factores, y propone acciones de control para cada riesgo.
El resumen de la auditoría es:
1) La auditoría encontró que el sistema de gestión ambiental de Unibail Rodamco cumple con los requisitos de la norma ISO 14001:2004 y su política interna de "Sustainable Attitude", excepto por algunas observaciones.
2) Se observó que el control operacional en el Centro Vaguada requiere mejoras en cuanto al manejo de residuos y almacenamiento de productos químicos.
3) La auditoría concluye que Unibail Rodamco cumple con los requisitos ambientales definidos, pero se
La metodología de comportamiento seguro busca prevenir incidentes y accidentes mediante la observación y refuerzo de comportamientos seguros, y la modificación de comportamientos de riesgo. No es punitiva, sino que empodera a los trabajadores a participar activamente en la seguridad mediante retroalimentación sobre su comportamiento.
Presentación del webinar en el que se descubre la norma ISO 31000 del año 2009, que marca los principios y directrices para la gestión de riesgos y establece los principios, el marco y los procesos que se deben seguir para gestionar el riesgos de forma global en la empresa (Enterprise Risk Management).
Los contenidos son:
Introducción a la gestión de riesgos
La norma ISO 31000 de gestión de riesgos
Principios
Framework
Procesos
Técnicas de evaluación de riesgos según la norma ISO31010
Describir las relaciones e implicaciones económicas y
sociales de la globalización de los mercados, a partir de la
comparación entre las prácticas comerciales de las
corporaciones transnacionales y de las economías
alternativas, tomando consciencia de la necesidad de
controlar la formación de monopolios y oligopolios.
El documento describe la evolución de la gestión de riesgos en las empresas desde la década de 1960 hasta la actualidad Norma ISO 31000 de 2018. Se explica que en las décadas de 1970 y 1990 surgieron las primeras normas internacionales para la gestión de riesgos en sectores específicos. Posteriormente, en 2009 la ISO publicó la Norma ISO 31000 para estandarizar la gestión de riesgos de forma global. La nueva versión de 2018 actualiza la norma anterior para hacerla más clara y aplicable a todo tipo de organizaciones.
Este documento resume los conceptos clave de la norma ISO 27001 sobre sistemas de gestión de seguridad de la información. Explica que ISO es una organización internacional que establece estándares, incluyendo más de 17,000. La familia de normas ISO 27000 incluye requisitos, códigos de práctica y guías relacionadas con la seguridad de la información. La norma ISO 27001 especifica los requisitos de un sistema de gestión de seguridad que se basa en la evaluación de riesgos y la protección de activos crí
El documento describe los principios, estructura y procesos de la norma ISO 31000 para la gestión de riesgos. Explica que la norma ayuda a las organizaciones a identificar y evaluar sistemáticamente los riesgos y oportunidades, y a implementar procesos para gestionarlos de manera efectiva. También destaca algunas limitaciones como que no determina cómo medir los riesgos ni garantiza que se identifiquen todas las áreas de riesgo.
Este documento describe los principales aspectos de un sistema de gestión de seguridad y salud en el trabajo. Explica que un sistema es más efectivo que un enfoque de programa, ya que considera todos los elementos de una organización de manera integral, dinámica y continua. Además, detalla los elementos clave de un sistema como la política, planificación, implementación, evaluación y mejora continua con el objetivo de prevenir riesgos y proteger la salud de los trabajadores.
Este documento describe los controles operacionales como una necesidad para planificar actividades y prevenir desviaciones de la política ambiental de una organización. Explica que los controles operacionales abarcan todas las actividades internas y externas de una organización y tienen como objetivo mantener las actuaciones dentro de límites medioambientales predeterminados. Además, proporciona ejemplos de cómo establecer controles operacionales a través de procedimientos, instrucciones de trabajo y controles físicos.
Este documento presenta los principales conceptos y procesos de gestión de riesgos de acuerdo con el PMBOK. Describe los seis procesos de gestión de riesgos: planificar la gestión de riesgos, identificar riesgos, realizar análisis cualitativo y cuantitativo de riesgos, planificar la respuesta a riesgos y monitorear y controlar riesgos. El objetivo es aumentar las oportunidades y disminuir las amenazas para el proyecto mediante la aplicación sistemática de estos procesos de gest
El documento habla sobre la privacidad, seguridad e integridad de la información, así como sobre ataques, amenazas e incidentes informáticos. También describe las fases para desarrollar un plan de contingencia que incluye la identificación de riesgos, soluciones alternativas y pruebas, con el objetivo de garantizar la continuidad operativa ante cualquier interrupción del sistema.
La norma ISO 31000:2018 proporciona directrices para la gestión de riesgos que pueden aplicarse a cualquier organización. Establece un marco de referencia, principios y proceso iterativo para la gestión de riesgos que ayuda a las organizaciones a mejorar el desempeño y lograr sus objetivos. La norma ofrece una guía actualizada para la identificación, evaluación y control de riesgos de manera efectiva y eficiente.
Diapositiva IPER - Identificación de peligros y evaluación de riesgos TVPerú
Este documento presenta los conceptos clave de identificación de peligros y evaluación de riesgos (IPER). Explica que la IPER incluye la identificación de peligros, la evaluación de riesgos asociados, y la implementación de controles. También describe métodos para identificar peligros y clasificarlos en categorías como físicos, químicos, ergonómicos, entre otros. El documento concluye enfatizando la importancia de mantener un enfoque sistémico y práctico en el proceso de IPER, prioriz
Presentacion: Aspectos e impactos ambientalesFUMDIR
Este documento describe los aspectos e impactos ambientales de las actividades de una organización. Define aspecto ambiental como los elementos de las actividades, productos o servicios que pueden interactuar con el medio ambiente. Explica que toda actividad humana genera impactos ambientales positivos o negativos y proporciona ejemplos de cómo identificar los aspectos e impactos a través del análisis del ciclo de vida de los procesos y operaciones de una empresa.
Taller de Gestión de Riesgos, como parte de la seguridad de la información es importante gestionar adecuadamente los riesgos. En este taller veremos los conceptos y enfoques de riesgos para seguridad de la información
El documento describe los conceptos clave de la gestión de riesgos según la norma ISO 27001 sobre sistemas de gestión de seguridad de la información. Explica que la gestión de riesgos implica identificar los riesgos a los que está expuesta una organización y establecer medidas de seguridad para reducirlos, lo que involucra las etapas de análisis de riesgos y tratamiento de los mismos. Además, señala que para llevar a cabo el proceso completo es necesario establecer una metodología que defina
Este documento describe los principios básicos de la gestión de riesgos de seguridad de la información según la norma ISO 27001. Explica que la gestión de riesgos implica identificar y evaluar los riesgos para la información de una organización, y establecer controles para reducir esos riesgos. También presenta los conceptos clave relacionados con la gestión de riesgos como amenazas, vulnerabilidades, controles y tratamiento de riesgos.
CLASE 1 . INTRODUCCION A GESTION DEL RIESGOS.pptxkarenSoledad7
Este documento presenta definiciones clave relacionadas con la gestión de riesgos y la seguridad y salud ocupacional. Explica los sistemas de gestión de seguridad y salud en el trabajo, la evaluación de riesgos, los incidentes y la caracterización y mapeo de procesos. También describe los requisitos de identificación de peligros, evaluación y control de riesgos según la norma ISO 45001 sobre gestión de seguridad y salud ocupacional.
La gestión de riesgos es un método para determinar, analizar, valorar y clasificar el riesgo para implementar mecanismos de control. Consiste en cuatro fases: análisis, clasificación, reducción y control. El objetivo es obtener una visión global de la organización y los riesgos asociados a sus procesos críticos para protegerlos.
El documento proporciona información sobre los sistemas de gestión de seguridad de la información de acuerdo con la norma ISO 27001:2013. Explica que la información constituye un activo importante para las organizaciones y que la norma ISO 27001 establece los requisitos para un sistema de gestión de seguridad de la información eficaz que proteja la confidencialidad, integridad y disponibilidad de la información.
El documento habla sobre la norma ISO 27001, la cual establece los requisitos para un sistema de gestión de seguridad de la información. La norma ayuda a proteger los activos de información y otorga confianza a las partes interesadas. TÜV Rheinland ofrece la certificación ISO 27001, la cual brinda beneficios como el cumplimiento de requisitos internacionales y una ventaja competitiva.
El documento describe las funciones de un gerente de riesgos y cómo se administran los riesgos en una organización. Un gerente de riesgos es responsable de identificar, evaluar, prevenir y proteger las situaciones de riesgo, proponer marcos y políticas de gestión de riesgos, y verificar que la empresa tenga suficiente capital. El Comité de Riesgos recomienda políticas y establece modelos de riesgo, mientras que el Directorio aprueba las políticas y asigna recursos para la gestión de riesgos.
Este documento describe los principales conceptos y procesos involucrados en la gestión de riesgos en una organización. Explica que la gestión de riesgos es fundamental para el gobierno corporativo y la maximización del valor de una organización a largo plazo. Detalla las etapas del proceso de gestión de riesgos, incluido el establecimiento del contexto, la identificación, evaluación, tratamiento y monitoreo de riesgos. También cubre la clasificación de riesgos internos y externos, y la importancia de gestionar los
Presentación sobre Seguridad en la Construcción en Panamá llevada a cabo ante la Cámara Panameña de la Construcción por parte del Ingeniero Ernesto NG, especialista en diseño estructural y construcción
El documento presenta los conceptos clave del pensamiento basado en riesgos según la norma ISO 31000. Explica que el riesgo es el efecto de la incertidumbre sobre los objetivos de una organización y que la gestión de riesgos es un proceso que incluye la identificación, evaluación, tratamiento y monitoreo de riesgos y oportunidades. También describe los componentes del marco de referencia para la gestión de riesgos como la política, objetivos, liderazgo y asignación de recursos.
El documento trata sobre el pensamiento basado en riesgos. Explica que las normas ISO como la ISO 9001:2015 e ISO 14001:2015 requieren que las organizaciones identifiquen y aborden los riesgos para lograr sus objetivos. Aunque no se requiere un proceso específico de gestión de riesgos, la ISO 31000 ofrece una guía útil para adoptar un enfoque más formal. El pensamiento basado en riesgos es importante para mejorar la satisfacción del cliente y el desempeño ambiental de una organización.
Este documento presenta varios métodos para la evaluación de riesgos, incluyendo AMFE/FMEA, Mosler, Magerit, APELL, ERIC y HCCP. Describe los objetivos, descripción y procedimientos de cada método. El documento proporciona información sobre cómo identificar, analizar y controlar posibles riesgos en diferentes contextos como productos, procesos, sistemas de información y cadena alimentaria.
Este documento describe la metodología de análisis de riesgo de SISTESEG, la cual incluye entrevistas, evaluación de riesgos, determinación de probabilidades, identificación de vulnerabilidades e impactos, identificación de controles, y planes de implementación. El objetivo es definir una estrategia de seguridad alineada con la visión de la organización considerando factores cualitativos y cuantitativos.
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
Los recursos son los activos a proteger del sistema informático de la organización, incluyendo hardware, software, elementos de comunicaciones, información almacenada, locales, personas y la imagen de la organización.
ACTIVIDAD 3 - Métodos para la evaluación integral de riesgos.pptxcarlosandrestocarodr
Este documento presenta una descripción de varios métodos para la evaluación de riesgos, incluyendo Frame, HAZOP, Magerit, QPS/WHAT IF, análisis histórico de riesgo y el método Leopoldo. Explica el objetivo, descripción y procedimiento de cada método de manera concisa. El documento provee información sobre herramientas útiles para identificar, analizar y gestionar diferentes tipos de riesgos.
El documento describe el proceso de administración de riesgos de TI, el cual incluye establecer el contexto estratégico y organizacional, identificar objetos críticos, identificar riesgos y sus causas, analizar riesgos, evaluarlos y priorizarlos, definir opciones de tratamiento e implementar planes para mitigarlos. El proceso es iterativo y ayuda a las organizaciones a lograr sus objetivos de manera más segura y consciente de los riesgos.
Este documento presenta la metodología general para la gestión del riesgo en entidades públicas, incluyendo tres pasos clave: 1) identificar los riesgos que podrían afectar el cumplimiento de los objetivos estratégicos y de los procesos a través de un análisis del contexto, objetivos y factores de riesgo; 2) clasificar y evaluar los riesgos identificados en términos de probabilidad e impacto para determinar el riesgo inherente; y 3) establecer escalas para medir la probabilidad e impacto
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdfssuser44ff1b
La ISO 27.035 describe el proceso de gestión de incidentes de seguridad de la información, el cual incluye la planificación, detección y reporte de incidentes, su evaluación y decisión sobre cómo responder, la respuesta en sí, y las lecciones aprendidas. El proceso busca manejar incidentes de forma consistente y efectiva a través de la detección oportuna, el reporte, la evaluación, la respuesta, el tratamiento y el aprendizaje de los incidentes de seguridad.
El documento presenta el marco conceptual relacionado con la evaluación de riesgos, tomando como base las normas de control interno. Expone que la evaluación de riesgos implica identificar los objetivos de la entidad y los posibles eventos que puedan afectar su cumplimiento, los cuales se clasifican como oportunidades o riesgos. Además, introduce definiciones clave como objetivo, evento, riesgo y oportunidad, fundamentales para entender la metodología de gestión de riesgos.
Soluciones Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinar...Juan Martín Martín
Criterios de corrección y soluciones al examen de Geografía de Selectividad (EvAU) Junio de 2024 en Castilla La Mancha.
Soluciones al examen.
Convocatoria Ordinaria.
Examen resuelto de Geografía
conocer el examen de geografía de julio 2024 en:
https://blogdegeografiadejuan.blogspot.com/2024/06/soluciones-examen-de-selectividad.html
http://blogdegeografiadejuan.blogspot.com/
La Unidad Eudista de Espiritualidad se complace en poner a su disposición el siguiente Triduo Eudista, que tiene como propósito ofrecer tres breves meditaciones sobre Jesucristo Sumo y Eterno Sacerdote, el Sagrado Corazón de Jesús y el Inmaculado Corazón de María. En cada día encuentran una oración inicial, una meditación y una oración final.
SEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptxOsiris Urbano
Evaluación de principales hallazgos de la Historia Clínica utiles en la orientación diagnóstica de Hemorragia Digestiva en el abordaje inicial del paciente.
José Luis Jiménez Rodríguez
Junio 2024.
“La pedagogía es la metodología de la educación. Constituye una problemática de medios y fines, y en esa problemática estudia las situaciones educativas, las selecciona y luego organiza y asegura su explotación situacional”. Louis Not. 1993.
1. Ing. CIP Maurice Frayssinet Delgado
LI 27001, LA 27001
Oficina Nacional de Gobierno Electrónico e Informática
Taller de Gestión de Riesgos
2. ONGEI - Seguridad de la Información
Agenda
www.ongei.gob.pe
Introducción
Definiciones
Enfoque a procesos
¿Que son los riesgos?
Gestión del Riesgo
Gestión de riesgos de seguridad de
la información
Norma ISO/IEC 27005
Norma ISO/IEC 31000
Metodología de Gestión de Riesgos
Taller practico
4. ONGEI - Seguridad de la Información
• La gestión de riesgos (traducción del inglés Risk management)
es un enfoque estructurado para manejar la incertidumbre relativa
a una amenaza, a través de una secuencia de actividades.
• Las estrategias incluyen transferir el riesgo a otra parte, evadir el
riesgo, reducir los efectos negativos del riesgo y aceptar algunas
o todas las consecuencias de un riesgo particular.
• Algunas veces, el manejo de riesgos se centra en la contención
de riesgo por causas físicas o legales (por ejemplo, desastres
naturales o incendios, accidentes, muerte o demandas).
• Por otra parte, la gestión de riesgo financiero se enfoca en los
riesgos que pueden ser manejados usando instrumentos
financieros y comerciales
La gestión del Riesgo
Introducción
www.ongei.gob.pe
6. ONGEI - Seguridad de la Información
Riesgo:
Efecto de la incertidumbre sobre la
consecución de los objetivos.
NOTA 1 Un efecto es una desviación, positiva y/o negativa,
respecto a lo previsto.
NOTA 2 Los objetivos pueden tener diferentes aspectos
(tales como financieros, de salud y seguridad, o ambientales)
y se pueden aplicar a diferentes niveles (tales como, nivel
estratégico, nivel de un proyecto, de un producto, de un
proceso o de una organización completa).
NOTA 3 Con frecuencia, el riesgo se caracteriza por
referencia a sucesos potenciales y a sus consecuencias , o a
una combinación de ambos.
NOTA 4 Con frecuencia, el riesgo se expresa en términos de
combinación de las consecuencias de un suceso (incluyendo
los cambios en las circunstancias) y de su probabilidad
(3.6.1.1).
NOTA 5 La incertidumbre es el estado, incluso parcial, de
deficiencia en la información relativa a la comprensión o al
conocimiento de un suceso, de sus consecuencias o de su
probabilidad.
Definiciones
ISO/IEC GUÍA 73:2009 (1.1)
7. ONGEI - Seguridad de la Información
Gestión del riesgo:
Actividades coordinadas para dirigir y
controlar una organización en lo relativo
al riesgo.
Definiciones
ISO/IEC GUÍA 73:2009 (2.1)
8. ONGEI - Seguridad de la Información
Marco de trabajo de la gestión del riesgo:
Conjunto de elementos que proporcionan los
fundamentos y las disposiciones de la
organización para el diseño, la implantación, el
seguimiento, la revisión y la mejora continua de
la gestión del riesgo en toda la organización.
Política de gestión del riesgo:
Declaración de las intenciones y orientaciones
generales de una organización en relación con la
gestión del riesgo.
Plan de gestión del riesgo:
Esquema incluido en el marco de trabajo de la
gestión del riesgo que especifica el enfoque, los
componentes de gestión y los recursos a aplicar
para la gestión del riesgo).
Definiciones
ISO/IEC GUÍA 73:2009 (2.1.1, 2.1.2, 2.1.3))
9. ONGEI - Seguridad de la Información
Proceso de gestión del riesgo:
Aplicación sistemática de políticas,
procedimientos y prácticas de gestión a las
actividades de comunicación, consulta,
establecimiento del contexto, e
identificación, análisis, evaluación,
tratamiento, seguimiento y revisión del
riesgo.
Definiciones
ISO/IEC GUÍA 73:2009 (3.1)
10. ONGEI - Seguridad de la Información
Análisis del riesgo:
Proceso que permite comprender la naturaleza
del riesgo y determinar el nivel de riesgo).
Probabilidad (likehood):
Posibilidad de que algún hecho se produzca.
Exposición:
Grado al que se somete una organización y/o
una parte interesada en caso de un suceso.
Consecuencia:
Resultado de un suceso que afecta a los
objetivos.
Frecuencia:
Número de sucesos o de efectos en una unidad
de tiempo definida.
Definiciones
ISO/IEC GUÍA 73:2009 (3.6.1, 3.6.1.1,3.6.1.2,3.6.1.5)
11. ONGEI - Seguridad de la Información
Definiciones
ISO/IEC GUÍA 73:2009 (3.6.1.6,3.6.1.7,3.6.1.8)
Vulnerabilidad:
Propiedades intrínsecas de que algo
produzca como resultado una sensibilidad
a una fuente de riesgo que puede
conducir a un suceso con una
consecuencia .
Matriz de riesgo:
Herramienta que permite clasificar y
visualizar los riesgos , mediante la
definición de categorías de
consecuencias y de su probabilidad.
Nivel de riesgo:
Magnitud de un riesgo o combinación de
riesgos, expresados en términos de la
combinación de las consecuencias y de
su probabilidad.
12. ONGEI - Seguridad de la Información
Evaluación del riesgo:
Proceso de comparación de los resultados
del análisis del riesgo con los criterios
de riesgo para determinar si el riesgo y/o
su magnitud son aceptables o tolerables.
Actitud ante el riesgo:
Enfoque de la organización para apreciar
un riesgo y eventualmente buscarlo,
retenerlo, tomarlo o rechazarlo.
Apetito por el riesgo:
Cantidad y tipo de riesgo que una
organización está preparada para buscar o
retener.
Definiciones
ISO/IEC GUÍA 73:2009 (3.7.1,3.7.1.1,3.7.1.2)
13. ONGEI - Seguridad de la Información
Tolerancia al riesgo:
Disponibilidad de una organización o de las
partes interesadas para soportar el riesgo
después del tratamiento del riesgo con objeto
de conseguir sus objetivos.
Aversión al riesgo:
Actitud de rechazar el riesgo
Agregación de riesgos:
Combinación de un número de riesgos en un
solo riesgo para desarrollar una comprensión
más completa del riesgo general.
Aceptación del riesgo:
Decisión informada en favor de tomar un
riesgo particular.
Definiciones
ISO/IEC GUÍA 73:2009 (3.7.1.3,3.7.1.4,3.7.1.5,3.7.1.6)
15. ONGEI - Seguridad de la Información
Enfoque a procesos
ISO 9000 (2.4)
Cualquier actividad, o conjunto de
actividades, que utiliza recursos para
transformar elementos de entrada en
resultados puede considerarse como un
proceso.
Para que las organizaciones operen de
manera eficaz, tienen que identificar y
gestionar numerosos procesos
interrelacionados y que interactúan. A
menudo el resultado de un proceso
constituye directamente el
elemento de entrada del siguiente proceso.
La identificación y gestión sistemática de
los procesos empleados
en la organización y en particular las
interacciones entre tales procesos se
conoce como "enfoque basado en
procesos".
16. ONGEI - Seguridad de la Información
Enfoque a procesos
¿Qué es un proceso?
Un proceso es un conjunto de actividades recurrentes mediante
las cuales se transforma un grupo de entradas en un grupo de
salidas valiosas para un cliente (interno o externo)
17. ONGEI - Seguridad de la Información
Enfoque a procesos
Ejemplo de procesos
• Ventas
• Compras
• Producción
• Presupuesto
• Cierre Contable
18. ONGEI - Seguridad de la Información
Enfoque a procesos
Detalle de procesos
MacroProcesos
Gestión
Logística
19. ONGEI - Seguridad de la Información
Enfoque a procesos
Ejemplo 1: Proceso Comercial (simple)
Estudiante que compra cuadernos en una librería
• Identificación del Cliente
• Identificación de las entradas del Proceso
• Identificación de las actividades principales del proceso
• Identificación de las salidas/resultados del proceso
20. ONGEI - Seguridad de la Información
Enfoque a procesos
Ejemplo 1: Proceso Comercial (simple)
21. ONGEI - Seguridad de la Información
Enfoque a procesos
Ejemplo 1: Proceso Comercial (simple)
22. ONGEI - Seguridad de la Información
Enfoque a procesos
Ejemplo 2: Proceso Abastecimiento
Requerimiento de compra de papel
para fabricar Cuadernos
Trabajo individual
5 minutos
23. ONGEI - Seguridad de la Información
Enfoque a procesos
Ejemplo 2: Proceso Abastecimiento
24. ONGEI - Seguridad de la Información
Enfoque a procesos
Ejemplo 2: Proceso Abastecimiento
25. ONGEI - Seguridad de la Información
Enfoque a procesos
Procesos y estructura
Los procesos atraviesan áreas o unidades (departamentos) dentro de una
empresa. Varias áreas o unidades de una empresa pueden realizar
actividades de un mismo proceso. Los procesos son anónimos.
26. ONGEI - Seguridad de la Información
Enfoque a procesos
Elementos de un Proceso
En todos los casos debemos:
1. Identificar el objetivo del proceso
2. Identificar el “cliente” (interno o externo)
3. Identificar el desde y el hasta (alcance)
4. Identificar las entradas
5. Definir los sub procesos, actividades, etapas,
etc. (Niveles de detalle)
6. Describirlos (presentando las interrelaciones)
7. Identificar las salidas
27. ONGEI - Seguridad de la Información
Enfoque a procesos
Ejemplo de elementos de un Proceso de compras
Objetivo: Gestionar las compras de insumos y materiales necesarios para
realizar las actividades de la empresa, en tiempo y forma, cumpliendo además
con las especificaciones de calidad, precios, fecha y lugar de entrega.
Entradas: Pedido de insumos de las distintas áreas de
la empresa
Actividades principales:
– Solicitar cotizaciones
– Seleccionar proveedor
– Recepcionar y controlar insumos
– Entregar insumos al Area solicitante de la empresa
– Pagar al Proveedor
28. ONGEI - Seguridad de la Información
Tareas de “Solicitar una cotización”:
– Buscar datos de los proveedores
– Completar el formulario de pedido de cotización
– Enviar por fax a cada proveedor
– Archivar el pedido de cotización
Pasos en la tarea de “Completar pedido de cotización”:
– Buscar la libreta de formularios de pedido de cotización
– Escribir la fecha
– Escribir el nombre del primer proveedor a consultar
– Especificar los datos de la mercadería
– Firmar el formulario
A diferencia de las tareas, los pasos no tienen resultados por sí mismos
Enfoque a procesos
Ejemplo de elementos de un Proceso de compras
29. ONGEI - Seguridad de la Información
Enfoque a procesos
Herramientas para la descripción de Procesos
Tabla de actividades por área interviniente
30. ONGEI - Seguridad de la Información
Se sugiere usar notación BPM
Enfoque a procesos
Herramientas para la descripción de Procesos
Representación gráfica (Flujograma)
31. ONGEI - Seguridad de la Información
Se sugiere usar notación BPM
Enfoque a procesos
Herramientas para la descripción de Procesos
Dibujogramas
32. ONGEI - Seguridad de la Información
Enfoque a procesos
Categorías de Procesos
33. ONGEI - Seguridad de la Información
La CADENA de VALOR es una forma de representar al MODELO de PROCESOS
de la empresa
Enfoque a procesos
Cadena de Valor
34. ONGEI - Seguridad de la Información
Enfoque a procesos
Mapa de Procesos
40. ONGEI - Seguridad de la Información
¿Qué son los riesgos?
Riesgos Comunes
41. ONGEI - Seguridad de la Información
¿Qué son los riesgos?
Peligro y Riesgo
42. ONGEI - Seguridad de la Información
• Riesgo se puede definir
como: “La exposición a las
consecuencias de la
incertidumbre”.
• La incertidumbre puede
originarse en factores
internos o externos.
• Riesgo es
la vulnerabilidad ante un
potencial perjuicio o daño
para las unidades,
personas, organizaciones o
entidades.
RIESGO = PROBABILIDAD X IMPACTO
¿Qué son los riesgos?
Definición
43. ONGEI - Seguridad de la Información
¿Qué son los riesgos?
Manera de expresar el riesgo
44. ONGEI - Seguridad de la Información
Probabilidad
1=Muy baja
2=Baja
3=Mediana
4=Alta
5=Muy Alta
Probabilidad
Muy baja
Baja
Mediana
Alta
Muy Alta
Probabilidad
0.01 a 0.33 = Baja
0.34 a 0.66 = Media
0.67 a 1.00 = Alta
¿Qué son los riesgos?
Peligro y Riesgo
¿Qué son los riesgos?
Escalas
46. ONGEI - Seguridad de la Información
Gestión del Riesgo
Definición
• Es un proceso de toma de decisiones.
• Enfrentar eventos que afectan los objetivos
del negocio.
• Asegurar que las decisiones se implementan
en forma de controles.
48. ONGEI - Seguridad de la Información
• Estructura conceptual formada por
diversos elementos (política,
procesos, recursos, estructura
organizacional, documentos).
• Los elementos están relacionados
de tal manera que permiten:
– Planificar
– Implementar
– Controlar y
– Tomar acción para la mejora continua.
Gestión del Riesgo
Sistema de Gestión
49. ONGEI - Seguridad de la Información
• Instinto Natural.
• Gestión de Préstamos.
• Siglo 17: Primeros aseguradores, el riesgo como negocio.
• 1963: los profesores de la Universidad de Illinois, Robert Mehr and Bob
• Hedges, publican “Risk Management in the Business Enterprise”.
• Gestión de Riesgos = Gestión de Seguros (Riesgos Puros).
• 1970: riesgos financieros y de mercado. Enfoque de “silos”.
• 1980 y 1990: Gestión de riesgo parte de objetivos estratégicos y creación de valor
para el accionista.
• 2000: grandes fraudes Enron, WorldCom.
• Mayor enfoque en control financiero y contable, Gobierno Corporativo,
LeySabarnes-Oxley, COSO, FERMA, ANZI.
• Enfoque holístico, parte fundamental del planeamiento, estrategia y reporte de las
empresas. Surge el concepto EWRM.
• 2009: aparece ISO 31000 como norma unificada.
Gestión del Riesgo
Evolución
50. ONGEI - Seguridad de la Información
Gestión del Riesgo
Tipos de análisis de riesgos
51. ONGEI - Seguridad de la Información
Gestión del Riesgo
Tipos de análisis de riesgos
53. ONGEI - Seguridad de la Información
Porque el negocio se sustenta a partir de la información que maneja.
Porque no sólo es un tema “tecnológico”.
Porque la seguridad de la información tiene un costo, pero la
inseguridad tiene un costo aún mayor.
Principales fallas de seguridad
Violaciones de seguridad que involucra a terceros - 25 %
Errores de los empleados u omisiones - 20 %
Adaptación tardía a nuevas tecnologías - 18 %
Abuso del empleado de los sistemas e información de TI - 17 %
Otros - 20%
Informe TMT Predicciones 2012 de Deloitte
Gestión de Riesgo de la SI
Seguridad de la información ¿Por qué?
54. ONGEI - Seguridad de la Información
Seguridad de la Información: conjunto de medidas para
salvaguardar la información preservando su confidencialidad,
integridad y disponibilidad.
Gestión de Riesgo de la SI
Seguridad de la información ¿Por qué?
55. ONGEI - Seguridad de la Información
• Activo de información: Los activos de información generan,
procesan y/o almacenan la información necesaria para la
operación y el cumplimiento de los objetivos de la compañía
Tiene valor para la compañía.
• Existen varios tipos:
Procesos
Documentos físicos y electrónicos
Software
Hardware
Personas
Gestión de Riesgo de la SI
Activo de Información
56. ONGEI - Seguridad de la Información
• Riesgo de Seguridad de la
Información: El potencial de que
una amenaza dada explote las
vulnerabilidades de un activo o
grupo de activos, causando
pérdida o daño a la organización
[ISO/IEC 27005:2008]
• Combinación de la probabilidad
de un evento y sus consecuencias
[ISO/IEC 27002:2005]
Gestión de Riesgo de la SI
Riesgo de SI
57. ONGEI - Seguridad de la Información
Gestión de Riesgo de la SI
Riesgo de SI
58. ONGEI - Seguridad de la Información
La siguientes son las atributos de seguridad
de la información:
• Confidencialidad: La información se revela
únicamente si así está estipulado, a
personas, procesos o entidades autorizadas
y en el momento autorizado.
• Integridad: La información es precisa,
coherente y completa desde su creación
hasta su destrucción.
• Disponibilidad: La información es accedida
por las personas o sistemas autorizados en
el momento y en el medio que se requiere.
DISPONIBILIDAD
INFORMACION
Gestión de Riesgo de la SI
Principios o pilares de la SI
60. ONGEI - Seguridad de la Información
• ISO/IEC 27005 es el estándar internacional
que se ocupa de la gestión de riesgos de
seguridad de información.
• La norma suministra las directrices para la
gestión de riesgos de seguridad de la
información en una empresa, apoyando
particularmente los requisitos del sistema de
gestión de seguridad de la información
definidos en ISO 27001.
Norma ISO/IEC 27005
Definición
61. ONGEI - Seguridad de la Información
• ISO-27005 es aplicable a todo tipo de
organizaciones que tengan la intención de
gestionar los riesgos que puedan complicar la
seguridad de la información de su
organización.
• No recomienda una metodología concreta,
dependerá de una serie de factores, como el
alcance real del Sistema de Gestión de
Seguridad de la Información (SGSI), o el sector
comercial de la propia industria.
Norma ISO/IEC 27005
Definición
62. ONGEI - Seguridad de la Información
Prefacio
Introducción
Referencias normativas.
Términos y definiciones.
Estructura.Fondo.
Descripción del proceso de ISRM.
Establecimiento Contexto.
Información sobre la evaluación de
riesgos de seguridad (ISRA).
Tratamiento de Riesgos Seguridad de la
Información.
Admisión de Riesgos
Seguridad de la información.
Comunicación de riesgos de seguridad
de información.
Información de seguridad Seguimiento
de Riesgos y Revisión.
Anexo A: Definición del alcance del
proceso.
Anexo B: Valoración de activos y
evaluación de impacto.
Anexo C: Ejemplos de amenazas
típicas.
Anexo D: Las vulnerabilidades y
métodos de evaluación de la
vulnerabilidad.
Anexo E: Enfoques ISRA
Norma ISO/IEC 27005
Estructura
65. ONGEI - Seguridad de la Información
• La ISO 31000 es una norma internacional que ofrece las
directrices y principios para gestionar el riesgo de las
organizaciones.
• Esta norma fue publicada en noviembre del 2009 por la
Organización Internacional de Normalización (ISO) en
colaboración con IEC, y tiene por objetivo que organizaciones
de todos los tipos y tamaños puedan gestionar los riesgos en
la empresa de forma efectiva, por lo que recomienda que las
organizaciones desarrollen, implanten y mejoren
continuamente un marco de trabajo cuyo objetivo es integrar
el proceso de gestión de riesgos en cada una de sus
actividades.
Norma ISO/IEC 31000
Definiciones
66. ONGEI - Seguridad de la Información
1. Alcance
2. Términos y definiciones
3. Principios
4. Framework
5. Procesos
Norma ISO/IEC 31000
Estructura
67. ONGEI - Seguridad de la Información
Norma ISO/IEC 31000
Visión General
70. ONGEI - Seguridad de la Información
Metodología de Gestión de Riesgo
Octave
• OCTAVE (Operationally Critical Threat, Asset, and
Vulnerability Evaluation) se encuentra disponible
gratuitamente (en inglés) y es un conjunto de
herramientas, técnicas y métodos para desarrollar
análisis de riesgos basados en gestión y la planeación
estratégica de la organización.
• Son todas las acciones que necesitan ser llevadas a cabo
dentro de la organización para realizar la gestión de
activos, conocer posibles amenazas y evaluar
vulnerabilidades.
http://www.cert.org/resilience/products-services/octave/
71. ONGEI - Seguridad de la Información
Metodología de Gestión de Riesgo
Magerit
MAGERIT es una metodología de Análisis
de Riesgos de carácter público elaborada
por el Ministerio de Administraciones
Públicas, siendo probablemente la
metodología más utilizada en España.
El nombre de MAGERIT responde a
"Metodología de Análisis y Gestión de
Riesgos de IT”, y es un método formal
orientado a activos, cuya misión es
descubrir los riesgos a los que se
encuentran expuestos nuestros sistemas
de información y recomendar las medidas
apropiadas que deberían adoptarse para
controlar estos riesgos.
https://www.ccn-cert.cni.es/publico/herramientas/pilar5/magerit/
72. ONGEI - Seguridad de la Información
COSO ERM, incluye los métodos y procesos
utilizados por las organizaciones para gestionar los
riesgos y aprovechar las oportunidades relacionadas
con el logro de sus objetivos.
Coso ERM proporciona un marco para la gestión de
riesgos , que generalmente implica la identificación
de eventos o circunstancias particulares pertinentes
a los objetivos de la organización (riesgos y
oportunidades), la evaluación en términos de
probabilidad y la magnitud del impacto, que
determinan una estrategia de respuesta, y el
monitoreo del progreso.
Metodología de Gestión de Riesgo
Coso ERM
http://www.coso.org/-erm.htm
73. ONGEI - Seguridad de la Información
La norma ISO/IEC 27001, no especifica
que se utilice una metodología de riesgos
en particular, de hecho usted puede crear
una propia, cumpliendo con lo estipulado
en la norma