CALIDAD Y TÉCNICAS DE EVALUACIÓN DE LOS SISTEMAS UNIDAD I

Slides:



Advertisements
Presentaciones similares
Metodologías existentes para mitigar el Riesgo Operacional
Advertisements

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
ESTRATEGIA E-BUSINESS
i. - IDENTIFICACIÓN DEL PROYECTO 1. - Análisis interno 2
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD "ALONSO DE OJEDA"
ANALISIS DE RIESGOS.
Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.
METODOLOGIA PARA EVALUAR UNA APLICACIÓN EN FUNCIONAMIENTO
MaNuaL APQP CAPITULO 1 EQUIPO # 1 Lucero Honorina Alderete Loera
Mantenimiento basado en el Riesgo (Inspección basada en el Riesgo)
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS
UPC – SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.
Guía para la evaluación de seguridad en un sistema
Planeación de Sistemas de Información
Medición, Análisis y Mejora
Universidad de Buenos Aires Facultad de Ciencias Económicas
Sistema de Control de Gestión.
Enfoque basado en procesos
Estructura Sistema de Control Interno
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
Situaciones Detectadas en la Entidad…
! USTED ES IMPORTANTE PARA NUESTRA ENTIDAD ¡
“Sistemas de Gestión de Seguridad y Salud Ocupacional”
UNA HERRAMIENTA PARA AGREGAR VALOR
“Adopción de SGSI en el Sector Gobierno del PERÚ”
SISTEMA DE GESTION DE LA SEGURIDAD Y SALUD EN EL TRABAJO (SG-SST)
¿Para qué ISO 17025? Ser reconocido como competente en la realización de ensayos específicos. La satisfacción de los clientes y mayor confianza en los.
Análisis y Gestión de Riesgos
Seguridad y control Unidad V Material de apoyo “activos”
Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar.
AUDITORIAS RESUMEN DE ASPECTOS RELEVANTE EN LA GESTION BASADO EN EL REFERENCIAL ISO 9001:2008.
¡Bienvenido al curso AUDITORES 17020:2012!
4/26/2015Gestión de Proyectos de Software1 RISK MANAGEMENT Carlos Mario Zapata J.
DIRECTRICES PARA LA MEJORA DEL DESEMPEÑO
Asegura el control a la ejecución de los procesos de la entidad, orientándola a la consecución de los resultados y productos necesarios para el cumplimiento.
VERSIÓN 05 - FORMATO ACCIONES CORRECTVAS, PREVENTIVAS Y DE MEJORA, PRODUCTO O SERVICIO NO CONFORME 2. ANÁLISIS DE CAUSAS.
Gestión de la Continuidad del negocio BS BCI
“Generación de un Plan estratégico tecnológico, caso TI (PETi) : un enfoque de Sistemas y Gestión” Luis Hevia.
Plan de Sistemas de Información (PSI)
Ing. Sergio León Maldonado
©Copyright 2013 ISACA. Todos los derechos reservados. La gestión de riesgos consiste por lo general en los siguientes procesos: Definición del alcance.
Acciones Correctivas Preventivas Mejora
RIESGOS PROYECTO WEB.
¡BIENVENIDOS! MODELO ESTANDAR DE CONTROL INTERNO MECI 1000:2005
©Copyright 2013 ISACA. Todos los derechos reservados El estado deseado ISO/IEC 27002/ISO/IEC 27001— Las 11 Divisiones Principales: —Política de.
Ing. Ana Elena Murgas Vargas
GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION
Análisis Conceptual para la Gestión de Nuevos Negocios Tecnológicos
SGSI: Sistemas de Gestión de la Seguridad de la Información
Fecha: 2/9/98 99CAES012_00.POT IMPLANTACIÓN DE UN MODELO DE CALIDAD MODELO DE CALIDAD OR G A N I Z AC I Ó N MODELO DESARROLLO CLIENTE TECNOLOGÍATECNOLOGÍA.
 
Metodologías Lsi. Katia Tapia A., Mae.
Ciclo de Video Conferencias 2002 Equipo Técnico Interinstitucional de Capacitación del Sector Público Segunda Video Conferencia Sistema de Calidad y Gestión.
Programa de Administración de Riesgos.
Organización para la calidad.
Procesos itil Equipo 8.
ESTUDIOS DE ANÁLISIS DE RIESGOS
PLAN DE SEGURIDAD DEL AGUA Determinación de los peligros y eventos peligrosos y evaluación de los riesgos Marzo 2015.
GLOSARIO DE CALIDAD I.E. PEDREGAL. Qué es un Sistema de Gestión de Calidad? Es una metodología de gestión que pretende ayudar a las organizaciones a aumentar.
AUDITORIA piga – pgirhs - paaers
ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.
Modelo Empresarial de Procesos ETB
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
Taller – Plan Nacional de Adaptación de Honduras (PNA) Dirección General de Inversiones Públicas (DGIP) Julio, 2015.
Transición del Sistema de Gestión Integrado de los Requisitos de la Norma NTC ISO 9001:2008 a los Requisitos de la Norma NTC ISO 9001:2015 Febrero de 2016.
MODULO 4 Sistema Integrado de gestión 1 Sistema Integrado de gestión – conceptos, fundamentos y requisitos comunes MÓDULO 4.
Transcripción de la presentación:

CALIDAD Y TÉCNICAS DE EVALUACIÓN DE LOS SISTEMAS UNIDAD I INTRODUCCIÓN A LA EVALUACIÓN DE PROYECTOS INFORMÁTICOS Y A LA GESTIÓN DE PROCESOS TI PIERRE SERGEI ZUPPA AZÚA

PROCESOS BÁSICOS DE GESTIÓN DE TI Nivel de Estratégico: procesos de Estrategia Gobierno de TI. Nivel Operativo: Cadena de valor para el cliente: G. Demanda G. Proyectos G. Aplicaciones G. Explotación G. Infraestructura G. del Servicio. Nivel de Soporte: procesos transversales de Soporte Monitorización Gestión de Proveedores.

SÍNTOMAS DE UN PROYECTO EN CRISIS Baja comunicación. Planeación y administración inadecuada. Requerimientos inestables. Falta de entrenamiento. Cronograma no realista /no realizable. Alta rotación del personal. Uso inadecuado de recursos. Ambiente de trabajo inadecuado. Personal atado a tecnología obsoleta. Carencia de compromiso a largo plazo. Baja implicación o compromiso de los participantes.  Baja definición de roles y responsabilidades

FASE DE PREOCUPACIÓN EN UN PROYECTO

DIAGRAMA DE ACCIÓN Fin 1. Identificación Acciones correctivas 2. Análisis de la No conformidad potencial u oportunidad de mejora Acciones correctivas Deben ocurrir cuando un problema surge. 3. Ejecución de la acción preventiva Acciones preventivas Cuando ocurren cambios en el proyecto que no fueron previstos. 4. Cierre de la acción preventiva ¿Conforme? 5. Seguimiento ¿Conforme? Fin

DETECCIÓN DE PROBLEMAS EN UN PROYECTO

FACTORES CRÍTICOS PARA EJECUTAR UNA RECUPERACIÓN Compromiso. Habilidades. Capacidades. Entendimiento verdadero. Revisión. FODA. Manejo de la política.

LEY DE MORPHY Si algo puede salir mal, saldrá mal, en el peor momento y en el peor lugar. Todo suceso malo, es susceptible de empeorar. Cambiar de cola siempre produce el efecto de enlentecer en la que te encuentras. Si requieres de un tiempo limitado para realizar un proyecto, requerirás como mínimo del doble. Siempre existirá usuarios que ofrezcan resistencia al cambio. El número de incidencias con un usuario es inversamente proporcional a su descontento con el proyecto. Cualquier grado de seguridad impuesto será vulnerado a la primera. A mayor diferencia tecnológica con clientes y proveedores, mayor necesidad de integración con ellos. A mayor violación de las obligaciones legales, mayor necesidad de aparentar legalidad. A la creencia de menor necesidad del cambio tecnológico, mayor es ésta.

CUADRO DE RIESGOS Componentes Niveles Desempeño Soporte Costo Calendarización Catastrófico Crítica Marginal Despreciable

TIPOS DE ANÁLISIS Cuantitativo Cualitativo Evalúa la prioridad de los riesgos identificados mediante valores numéricos para los costes de daños y controles de seguridad. Impacto sobre los objetivos como: Costos. Cronograma. Alcance. Calidad. Establece un rango de valores para determinar los costos de daños y controles de seguridad. La matriz de probabilidad e impacto puede usarse para clasificar los riesgos según su importancia individual. La prioridad de los riesgos puede establecerse para el: Costo. Tiempo. Alcance. Calidad.

MÉTODOS CUALITATIVOS Listas de chequeos. Análisis preliminar de riesgos PHA. What if?. Análisis de modo de falla y efecto FMEA. HAZID. HPA. HAZOP.

METODOLOGÍA DE EVALUACIÓN DE RIESGO Selección de ámbitos e identificación de activos Asociación de amenazas y vulnerabilidades a activos Ejecución de la evaluación de riesgos Plan de tratamiento de riesgos

MARCO REFERENCIAL INTERNACIONAL ISO 31000:2009 Principles and Guidelines on Implementation ISO/IEC 31010:2009 Risk Management - Risk Assessment Techniques ISO Guide 73:2009 Risk Management - Vocabulary

MODELOS DE CÁLCULO DE RIESGO

MODELO PRAGMÁTICO DE RIESGO Riesgo = Amenaza * Vulnerabilidad * Impacto SI Amenaza Alta, Media, Baja  3,2,1 Vulnerabilidad  Alta, Media, Baja  3,2,1 Impacto  Alto, Medio, Bajo  3,2,1 ENTONCES Riesgo  (3x3x3) ... (1x1x1)  27 ... 1

ESTIMACIÓN DE RIESGOS Probabilidad

ESTIMACIÓN DE RIESGOS Impacto

MODELO DE CÁLCULO DE RIESGO Factores del Riesgo Frecuencia de la Pérdida Frecuencia de la amenaza Tiempo de Contacto No Programada Programada Única vez Periódica Acción del atacante Beneficio Esfuerzo Sanción / Pena Vulnerabilidad Fortaleza de los controles Capacidad de la Amenaza Impacto Impacto Primario Según Activo Criticidad Costo Sensitividad Reputación Competitividad Compliance General Según Amenaza Competencia Acción Acceso Uso indebido Divulgación Modificación DoS Interna / Externa Impacto Secundario Según Organización Tiempo Debido Cuidado Respuesta Contención Remediación Recuperación Detección Factores Externos Legal y Regulatorio Competidores Medio Accionistas

OBJETIVO DE EVALUACIÓN DE RIESGO Seleccionar aquellos controles que permitan mitigar los riesgos no tolerables hasta niveles aceptables para la organización.

CICLO DE MITIGACIÓN DE RIESGOS Agente de la amenaza Activa Amenaza Puede explotar Vulnerabilidad Evidencia Interviene directamente RIESGO Protección Puede ser contrarrestado Activo Puede Dañar Exposición Representa una

GESTIÓN DE RIESGOS (ISO 31000)

GESTIÓN DE RIESGOS

Vulnerabilidades Amenazas ANÁLISIS DE RIESGO Salvaguardas Niveles de riesgo de la organización

ANÁLISIS DE RIESGO Cubre las necesidades de Seguridad de la organización considerando: Recursos económicos. Recursos humanos. Inversión proporcional al riesgo. Objetividad. Tomas de decisiones. Criterios Definidos Usos sucesivos Comparación Inventario de riesgos.

SGSI METODOLOGÍA BENEFICIOS Analizar y ordenar la estructura de los sistemas de información. Definición de procedimientos de trabajo para mantener su seguridad. Controles que permitan medir la eficiencia de las medidas tomadas. Reducción de riesgos. Ahorro de los costos por el aprovechamiento de los recursos. Seguridad. Cumplimiento con la legislación vigente. Respetar los derechos de nuestros clientes y proveedores. Evitar infracciones y sanciones. Mejorar la competitividad en el mercado. Medir la eficiencia de las medidas tomadas. Controlar el CID (Confidencialidad, Integridad y Disponibilidad) para mejora la imagen

FASES DE IMPLEMENTACIÓN Concienciación y formación Organización de la seguridad Política de seguridad Alcance Debe contar la empresa con una estructura organizativa. Se diseña de acuerdo a los objetivos, necesidades y estructura de la empresa

NIVELES DE DOCUMENTACIÓN Políticas Procedimientos Instrucciones Registros Objetivo Generales Desarrollo de los objetivos Comandos técnicos Indicadores, métrica

TÉCNICAS DE IDENTIFICACIÓN DE RIESGOS Técnicas de Recopilación de Información Tormenta de ideas Técnica Delphi Entrevistas Técnica de organización de información Diagramas de afinidad Análisis mediante lista de control Análisis de suposiciones Técnicas de diagramación Diagramas de causa y efecto Diagramas de flujo o de sistemas Diagramas de influencias

TÉCNICAS DE ANÁLISIS DE RIESGOS Análisis cualitativo análisis cuantitativo Técnica Delphi Matriz probabilidad – impacto CBA (Cost Benefit Analysis) Modelado y Simulación Análisis del valor ganado Árboles de decisión Análisis de sensibilidad

METODOLOGÍA ANÁLISIS DE RIESGOS MAGERIT OCTAVE NIST 800-30ª

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.