Plan de Continuidad del Negocio

Slides:



Advertisements
Presentaciones similares
TIC I: Seguridad Informática. Gestión del riesgo.
Advertisements

ANALISIS DE FALLA Y CRITICIDAD
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies
NORMA ISO DIS 9001:2015 Draft International Standard.
1.Identificación de los riesgos 2.Fuentes para identificar riesgos 3.Otros procedimientos para identificar riesgos 4.Clasificación de los riesgos Identificación.
Reforzar los conocimientos sobre la planificación, control y mejora de la calidad de acuerdo con los requisitos de la Norma ISO 9001 en su Requisito 8.
Auditoría de gestión Sánchez Pincay laura Karina trávez mero Gabriela Alexandra rosero pachay Evelin párraga cuenca maría victoria espinal anggie SANTANA.
NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.
El Ciclo de la Gestión del Riesgo Objetivos 1.Definir los términos Amenaza, Vulnerabilidad y Riesgo. 2.Describir la Relación entre el Ciclo de los Desastres.
No conformidades y su análisis/ Acciones preventivas y/o correctivas TUTOR LEONARDO OLMOS INGENIERO INDUSTRIAL ESP. GERENCIA EN SEGURIDAD Y SALUD EN EL.
El Ciclo de la Gestión del Riesgo Objetivos 1.Definir los términos Amenaza, Vulnerabilidad y Riesgo. 2.Describir la Relación entre el Ciclo de los Desastres.
Alan Guillermo Zamora Téllez
SEGURIDAD CORPORATIVA
Universidad Autónoma del Estado de Hidalgo
Implementación del SMS
PLAN DIRECTOR DE SEGURIDAD DEL AYUNTAMIENTO DE BUENAS MANERAS
MANTENIMIENTO BASADO EN CONDICIONES RBI
LAS VERIFICACIONES, LAS listas de CONTROL y LOS mapas de Riesgos
DECRETO 1072 / 25 MAYO DEL 2015 Es la compilación de varias reglamentaciones preexistentes en materia laboral y algunas en Riesgos Laborales, mencionándose.
Requisitos legales y otros Objetivos y programa (s)
ADMINISTRACIÓN INTEGRAL DE RIESGOS
Administración de proyectos
TAREAS CRÍTICAS Y PROCEDIMIENTOS DE TRABAJO
Auditoria Informática Unidad III
Identificación de Peligros y Evaluación de Riesgos
Auditoria Informática Unidad III
Auditoria Informática Unidad III
PROPUESTA METODOLÓGICA DE GESTIÓN DE RIESGOS TECNOLÓGICOS PARA EMPRESAS DEL SECTOR DE LAS TELECOMUNICACIONES. Maestría en Evaluación y Auditoría.
Seguridad Lógica y Física
IDENTIFICACIÓN DE PELIGRO
ANÁLISIS DE RIESGOS DE SISTEMAS DE INFORMACIÓN
Universidad manuela beltran - virtual
Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Jalisco y sus Municipios. Focalizada.
Políticas de Seguridad Los Sistemas de Información y la Seguridad.
Mantenimiento basado en el Riesgo (Inspección basada en el Riesgo)
NIA 310 NIA 315 NIA 320 NIA 400.
SISTEMA DE GESTION DE CALIDAD ISO 9001:2015
CONTEXTO DE LA ORGANIZACIÓN
IMPORTANCIA RELATIVA EN REALIZACION DE UNA AUDITORIA
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN: SGSI
GESTIÓN DEL RIESGO Grupo isarco.
ISO SGSI ISO FASES SGSI ANEXOS (A) ISO 27002
GESTION DEL RIESGO «En el colegio María Auxiliadora Educamos con Calidad para un proyecto de Felicidad» SISTEMA DE GESTION DE CALIDAD.
ESTUDIO ORGANIZACIONAL. Representa un detalle de la empresa propietaria del proyecto que se pretende desarrollar, realizando un a análisis de actores.
MAGERIT Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Monitorear y controlar el Trabajo del proyecto Es el proceso que consiste en monitorear, analizar y regular el avance a fin de cumplir con los objetivos.
Diana Marcela Casas Salazar Profesional en Salud Ocupacional Universidad del Tolima.
Unidad 5: Evaluación de los sistemas
Auditoria de Tecnologías de Información PLANIFICACION Ing. Eder Gutiérrez Quispe.
Análisis funcional: interacción con la metodología a seguir en el análisis económico Cr. Alejandro Horjales Diciembre, 2010 III Jornadas Tributarias 2010.
NOMBRE: SandyYarleque Olaya DOCENTE: Edy Javier García Córdova CURSO: Seguridad Informática CICLO: V “B” ESPECIALIDAD: Computación e Informática Piura-
TAREAS CRÍTICAS Y PROCEDIMIENTOS DE TRABAJO
TAREAS CRÍTICAS Y PROCEDIMIENTOS DE TRABAJO
Planes del Proyecto.
SEGURIDAD INFORMÁTICA TEMA PRINCIPIOS DE LA SEGURIDAD INFORMÁTICA.
GESTIÓN FINANCIERA MARIELA SOLIPA PEREZ. Administración y Dirección financiera La Administración financiera es el área de la Administración que cuida.
SEGURIDAD E HIGIENE INDUSTRIA. MAPAS DE RIESGOS.
EFECTIVIDAD DEL CONTROL INTERNO Un sistema efectivo de control interno proporciona seguridad razonable sobre el logro de los objetivos de la organización.
RIESGOS FINANCIEROS FACULTAD DE CIENCIAS CARRERA: ING. EN CIENCIAS ECONÓMICAS Y FINANCIERAS.
NTC ISO 45001:2018. El nuevo estándar internacional para el Sistema de Gestión de Seguridad y Salud en el Trabajo.
La información y la comunicación son dos elementos claves en el quehacer institucional en función del cumplimiento de sus objetivos.
CRITICIDAD.
Inclusión y Participación de los Trabajadores del Sector Público en la Seguridad y Salud en el Trabajo Ing. Flavio Ventura Silva Dirección General de Derechos.
El Ciclo de la Gestión del Riesgo Objetivos 1.Definir los términos Amenaza, Vulnerabilidad y Riesgo. 2.Describir la Relación entre el Ciclo de los Desastres.
ANALISIS CAUSA RAIZ Y PM. Un concepto importante Las 4M DEL PROCESO. 1) MAQUINA 2) MANO DE OBRA 3) METODO 4) MATERIA PRIMA.
“OPERATIVA Y SEGURIDAD INFORMÁTICA DEL SISTEMA RSIRAT PARA EL SEGUIMIENTO Y CONTROL DE LAS RESOLUCIONES REGIONALES DE LA LIBERTAD”
ANALISIS DE TRABAJO SEGURO ¿Qué es el AST? Es una metodología diseñada para identificar peligros, prevenir incidentes y ayudarle al personal a controlar.
Hechos relevantes – Información contractual
Plan de Sistemas de Información (PSI). Plan de Sistemas de Información (PSI) Descripción y Objetivos Tiene como objetivo la obtención de un marco de referencia.
IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN DE RIESGOS Y ESTABLECIMIENTO DE CONTROLES IPERC Jhony Montesinos Cossio.
Transcripción de la presentación:

Plan de Continuidad del Negocio Gestión de Riesgos Junio 2011

Introducción Objetivos: Alcance: Identificar eventos potenciales que puedan afectar negativamente la operación de la organización. Evaluar, aplicar y monitorear medidas que permitan minimizar las consecuencias negativas de esos eventos. Considerar, analizar y adaptar en forma continua los resultados obtenidos en los nuevos escenarios planteados en cada ciclo de revisión. Proporcionar una seguridad razonable sobre el logro de los objetivos planteados por la dirección. Alcance: Aplica a todas las actividades desempeñadas por el Consejo, que contribuyen a su razón de ser o agregan valor a los servicios brindados, independientemente del lugar en donde se realicen, y del personal y de los medios utilizados. 2

Conceptos Activo: recurso que da soporte a las actividades de negocio de la organización, necesario para que ésta funcione correctamente y alcance los objetivos propuestos por la dirección. Amenaza: evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales. Vulnerabilidad: error, debilidad o falta de control existente en un recurso o proceso que puede ser explotado por una amenaza potencial. En otras palabras, es una condición que favorece la ocurrencia de un evento fortuito. Impacto: magnitud del daño que debería afrontar la organización en caso de que una determinada amenaza explote una vulnerabilidad. Control: procedimientos o mecanismos que tienen por objetivo reducir la probabilidad de ocurrencia de las amenazas o el impacto producido si se concretaran. Será indistintamente llamado salvaguarda o contramedida. Riesgo: probabilidad de que una amenaza aproveche y explote una debilidad asociada a un activo, provocando daño sobre este último. 3

Desarrollo de la Metodología 1. Identificación de activos. 2. Identificación de amenazas. 3. Identificación de vulnerabilidades. 4. Análisis de controles existentes. 5. Determinación de probabilidades de ocurrencia. 6. Análisis de impactos. 7. Determinación de niveles de riesgo. 8. Recomendaciones de control. 9. Documentación de resultados. 4

Propuesta de desarrollo de planes y procedimientos Identificación de Activos: Identificar el conjunto de todos los recursos, tangibles e intangibles, necesarios para la correcta ejecución de los procesos de negocio bajo consideración. Para un mejor tratamiento de los mismos, clasificarlos según las siguientes categorías: personal, instalaciones, equipamiento / servicios auxiliares, soportes de información, redes de comunicaciones, equipamiento informático, aplicaciones, sistemas, datos e información. Identificación de Amenazas: Confeccionar un listado de las amenazas que pueden afectar a cada activo. Las amenazas son, en definitiva, “cosas que ocurren”. Y, de todo lo que puede ocurrir, es de interés lo que pueda ocurrirle y causarle daño a los activos que son necesarios para la correcta ejecución de los procesos de negocio. 5

Propuesta de desarrollo de planes y procedimientos Identificación de Vulnerabilidades: Según se considere de utilidad y resulte aplicable, confeccionar un listado de las vulnerabilidades existentes asociadas a cada uno de los activos identificados. Análisis de Controles Existentes: Identificar los controles desplegados para las distintas amenazas y analizar su eficacia. Un control se considerará eficaz si: está perfectamente desplegado, configurado y mantenido; existen procedimientos claros de uso normal y en caso de incidencias; los usuarios involucrados están capacitados; y existen alarmas que avisan de posibles fallos. Determinación de Probabilidades de Ocurrencia: Para cada una de las amenazas identificadas, y considerando además las vulnerabilidades y controles preventivos asociados, estimar la probabilidad de que la misma se materialice. Para esta estimación deberán considerarse según apliquen los siguientes factores: frecuencia de ocurrencia en el pasado según registros disponibles; motivación y/o capacidad de la fuente de la amenaza; eficacia de los controles preventivos vinculados existentes; entre otros. 6

Propuesta de desarrollo de planes y procedimientos Análisis de Impacto: Para cada una de las amenazas identificadas, y considerando además las vulnerabilidades y controles asociados, estimar el impacto a producirse en caso de que se la misma se materialice. Para esta estimación deberán valorarse según aplique las siguientes posibles consecuencias: pérdida económica; alteración de la disponibilidad de servicios; alteración de la integridad, confidencialidad y/o autenticidad de la información; perjuicio a seres humanos; entre otros. Determinación de Niveles de Riesgos: Luego de ser estimados la probabilidad de ocurrencia y el impacto de las amenazas identificadas, determinar el nivel de riesgo correspondiente para cada una. Dicho nivel de riesgo se calculará mediante la multiplicación de la probabilidad de ocurrencia y el impacto de la amenaza correspondiente. A partir de estos valores construir la Matriz de Riesgos. Ésta contiene, sobre el eje horizontal los valores de probabilidad de ocurrencia, sobre el eje vertical los valores de impacto y las celdas se completan con la identificación de las amenazas cuya valoración coincida con los valores de probabilidad e impacto correspondientes. 7

Propuesta de desarrollo de planes y procedimientos Recomendaciones de Control: A partir de los niveles de riesgo calculados, recomendar controles / contramedidas que permitan mitigarlos o eliminarlos. Aquí deberán considerarse las siguientes características de los controles a proponer: factibilidad de implementación, desde el punto de vista técnico, funcional y legal; efectividad; impacto operacional de la implementación; y relación costo-beneficio, representada por el costo de asumir el riesgo versus el beneficio de mitigarlo o eliminarlo. Documentación de Resultados: Si bien la documentación de los resultados parciales obtenidos debe realizarse en paralelo al desarrollo de cada una de las etapas previas, al finalizar cada ciclo es importante revisar y depurar toda la documentación generada ya que será una fuente de referencia continua y vital para los subsiguientes ciclos de ejecución de la metodología. 8

Equipo de Trabajo Para la ejecución del trabajo descrito se conformará un equipo interdisciplinario compuesto por representantes de las siguientes áreas funcionales: Recursos Humanos, Servicios Generales, Sistemas, Seguridad Informática, y Auditoría y Control de Gestión. 9

Gestión de Riesgos 2010 10

Gestión de Riesgos 2010 11

Gestión de Riesgos 2010 12

Gestión de Riesgos 2010 13

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.