Proveedores de servicios externos

Slides:



Advertisements
Presentaciones similares
SISTEMASDE GESTION AMBIENTAL
Advertisements

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto
Aspectos Organizativos para la Seguridad
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.
“8 Principios de la Gestión Administrativa”
Administración de los riesgos desde la perspectiva del Control Interno
Auditoria en Informatica Lic. Enrique Hernandez H.
Medición, Análisis y Mejora
Universidad de Buenos Aires Facultad de Ciencias Económicas
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Módulo 13 Procesos de Verificación de la Implementación del SAA.
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
Presentación de la Norma Técnica de Seguridad de la Información
ADMINISTRACIÓN DE REQUERIMIENTOS
“Adopción de SGSI en el Sector Gobierno del PERÚ”
Metodología de Control Interno, Seguridad y Auditoría Informática
Ing. Alexandra García Ing. Patricia Nogales. OBJETIVOS: General Específicos.
Administración del riesgo en las AFP
Administración Proyectos Jorge Baracaldo Robin Ochoa.
Gestión de la Continuidad del negocio BS BCI
Normas Internacionales
Implementación OHSAS TEMA: Implementación OHSAS Ing. Larry D. Concha B. UNIVERSIDAD AUTONOMA SAN FRANCISCO.
©Copyright 2013 ISACA. Todos los derechos reservados Capacidades Las capacidades son habilitadores fundamentales del gobierno. Las capacidades.
©Copyright 2013 ISACA. Todos los derechos reservados Personal El gerente de seguridad también debe considerar los riesgos relativos al personal:
©Copyright 2013 ISACA. Todos los derechos reservados. El impacto adverso de un evento relacionado con la seguridad puede describirse en términos de la.
Objetivos de aprendizaje
COLOMBIA Bogotá, D.C., Marzo 18 de 2004 SISTEMA DE GESTION DE RESPONSIBLE CARE – RCMS (ACC)
©Copyright 2013 ISACA. Todos los derechos reservados. La gestión de riesgos consiste por lo general en los siguientes procesos: Definición del alcance.
1.8.3 Métricas de Alineación Estratégica
Diseño del servicio ITIL..
©Copyright 2013 ISACA. Todos los derechos reservados El estado deseado ISO/IEC 27002/ISO/IEC 27001— Las 11 Divisiones Principales: —Política de.
COBIT KARYL LARA N.. ENTREGA Y SOPORTE A este Dominio le concierne la entrega real de los servicios requeridos, que cubre desde las operaciones tradicionales.
©Copyright 2013 ISACA. Todos los derechos reservados Otros Proveedores de Soporte y Aseguramiento Organizacional  Jurídico  Cumplimiento 
Programa de Auditoría Interna
©Copyright 2013 ISACA. Todos los derechos reservados. Un gobierno de seguridad de la información robusto puede ofrecer muchos beneficios a una organización.
35 años de investigación, innovando con energía 1 Mayo, 2012 P LAN DE ASEGURAMIENTO DE LA CALIDAD DEL DESARROLLO DE SOFTWARE E STÁNDAR IEEE 730 Y G UÍA.
1.17 Implementación del gobierno de la seguridad—Ejemplo
©Copyright 2013 ISACA. Todos los derechos reservados. 1.5 Gobierno Efectivo de la Seguridad de la Información BMIS - Una clara estrategia organizacional.
Seguridad y Auditoria de Sistemas Ciclo
Clasificación de los activos de información
SGSI: Sistemas de Gestión de la Seguridad de la Información
©Copyright 2013 ISACA. Todos los derechos reservados. 2.4 Visión general de la gestión de riesgos Desafíos de la gestión de riesgos Existe un alto potencial.
©Copyright 2013 ISACA. Todos los derechos reservados. Confianza y valor de los sistemas de información ISACA ®
Comunicación Interna y Externa
Dominios de control para la información y tecnologías (cobit) Pamela Pacheco Aviles.
Implementación OHSAS TEMA: Implementación OHSAS Ing. Larry D. Concha B. UNIVERSIDAD AUTONOMA SAN FRANCISCO.
Implementación OHSAS TEMA: Implementación OHSAS Ing. Larry D. Concha B. UNIVERSIDAD AUTONOMA SAN FRANCISCO.
 
Jenniffer Rivera Reyes
Metodologías Lsi. Katia Tapia A., Mae.
©Copyright 2013 ISACA. Todos los derechos reservados Riesgo residual Los riesgos que permanecen aun después de que se han diseñado controles.
Programa de Administración de Riesgos.
AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT
Procesos itil Equipo 8.
P07. Administrar Recursos Humanos de TI
TÉCNICAS Y HERRAMIENTAS PARA LA ACTUALIZACIÓN DE LA DNC
ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.
©Copyright 2013 ISACA. Todos los derechos reservados Seguros Los tipos más comunes de Seguros que pueden ser considerados son: Primera Parte.
Ley 1581 de ¿Qué se ha de entender por protección de datos personales? 1. Junto con el Habeas data, hace parte de los derechos del consumidor. 2.
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
Ingeniería del Software
Planificación de Sistemas de Información
Marco Integrado de Control Interno, con enfoque COSO III, 2013
Presentación de la Norma Técnica de Seguridad de la Información.
GESTIÓN DE PROYECTOS.
Transcripción de la presentación:

2.12.4 Proveedores de servicios externos Las consideraciones al contratar servicios de outsourcing incluyen: Criticidad de las funciones de negocio a ser tercerizadas. La complejidad del proceso. Requerimientos de control sobre segregación de funciones y controles de diseño, implementación y monitoreo. Requerimientos regulatorios. Los cambios en los ambientes internos y externos del negocio. Directivas para el Instructor: Páginas de Referencia del Manual de Preparación al Examen: Págs. 127

2.12.4 Proveedores de servicios externos Las cláusulas clave que deberían ser parte de un SLA deben incluir, sin limitarse a: El derecho a auditar los libros contables de los proveedores. El derecho a revisar sus procesos. La insistencia en los procedimientos operativos estándar (SOPs). El derecho a evaluar las habilidades de los recursos del proveedor. Informar con anticipación si se van a realizar cambios en los recursos utilizados. Directivas para el Instructor: Para los recursos internos y externos, el Gerente de Seguridad de Información debe entender los procesos de negocio y los recursos de información que son críticos a cada línea de negocio. Esta información se puede obtener de discusiones con los dueños individuales de los procesos de negocio, de la documentación técnica mantenida por las áreas de sistema y de las discusiones con la alta dirección. Páginas de Referencia del Manual de Preparación al Examen: Pg. 128

2.13 Integración con los procesos de Ciclo de Vida Los cambios a una organización pueden afectar la información crítica que debe asegurar: Cambios a nivel de aplicaciones, red o hardware. Éxito financiero (objetivo mayor para ataques). Nuevos productos. Cambios en el liderazgo. Cambios en los procesos. Cambio organizacional (fusiones). La gestión de cambios es un método efectivo para mantener una adecuada protección de seguridad. Un enfoque proactivo permite al Gerente de Seguridad de Información planear e implementar mejor las políticas y los procedimientos de seguridad de manera consistente con los objetivos y las metas de negocio de la organización. Contenidos a Enfatizar: Asegurar que las actividades de identificación, análisis y mitigación de riesgos se integren a los procesos de ciclo de vida diferente es una tarea importante de la gerencia de seguridad de la información. La mayoría de las organizaciones cuentan con procedimientos para la gestión de cambios que pueden ofrecer al gerente de seguridad de la información un enfoque para implementar procesos de gestión de riesgos de forma continua. Debido a que es probable que los cambios a cualquier recurso de información introduzcan nuevas vulnerabilidades y que modifiquen la ecuación del riesgo general, es importante que el gerente de seguridad de la información esté al tanto de las modificaciones propuestas. Páginas de Referencia del Manual de Preparación al Examen: Pg. 129

2.13 Integración con los procesos de Ciclo de Vida Para poder integrar las actividades de identificación, análisis y mitigación de riesgos en los procesos de ciclo de vida, el Gerente de Seguridad de Información debe saber: De principios y prácticas para la gestión de riesgos basada en el ciclo de vida. Principios para el desarrollo de líneas base y su relación con las evaluaciones de requerimientos de control basadas en riesgos. Contenidos a Enfatizar: Al integrar las actividades de identificación, análisis y mitigación de riesgos en la gestión de cambio (procesos de ciclo de vida), el gerente de seguridad de la información puede asegurar que los recursos de información críticos se protejan adecuadamente. Se trata de un enfoque proactivo, permitiendo al gerente de seguridad de la información planificar e implementar mejor políticas y procedimientos de seguridad en alineación con las metas y los objetivos de negocio de la organización. Igualmente permite que los controles de la seguridad de la información se agreguen a una actividad que tiene el mayor potencial para degradar los controles existentes. Páginas de Referencia del Manual de Preparación al Examen: Págs. 129

2.13.2 Principios y prácticas de la gestión de riesgos basada en el Ciclo de Vida La gestión de riesgos tiene un ciclo de vida: Es más rentable actualizar periódicamente los riesgos. Es una práctica más prudente emplear el enfoque de ciclo de vida para identificar, analizar, evaluar y realizar seguimiento a los riesgos.  Un enfoque sistemático, de arriba hacia abajo, por lo general puede beneficiarse de herramientas de apoyo, capacitación y asesoría. El Gerente de Seguridad de la Información también podrá recurrir a herramientas de software diseñado para realizar seguimiento al ciclo de vida de gestión de riesgos. Contenidos a Enfatizar: En vista de que la gestión de riesgos es un proceso continuo, el gerente de seguridad de la información debería considerar que la misma gestión de riesgos tiene un ciclo de vida. Este ciclo de vida puede comprometer las fases de evaluación, tratamiento y supervisión. La aplicación de un enfoque de gestión de riesgos basado en el ciclo de vida y su integración con la gestión de cambios mejora los costos en cuanto a que no necesariamente debe realizarse una evaluación de riesgo completa en forma periódica. Por el contrario, se pueden hacer actualizaciones a la valoración de riesgos y a los procesos de gestión de riesgos de forma incremental. Páginas de Referencia del Manual de Preparación al Examen: Pg. 130

2.13.2 Principios y prácticas de la gestión de riesgos basada en el Ciclo de Vida En vista de que la gestión de riesgos es un proceso continuo, el gerente de seguridad de la información debería considerar que la misma gestión de riesgos tiene un ciclo de vida. Este ciclo de vida puede comprometer las fases de evaluación, tratamiento y supervisión. La aplicación de un enfoque de gestión de riesgos basado en el ciclo de vida y su integración con la gestión de cambios mejora los costos en cuanto a que no necesariamente debe realizarse una evaluación de riesgo completa en forma periódica. Por el contrario, se pueden hacer actualizaciones a la valoración de riesgos y a los procesos de gestión de riesgos de forma incremental. Contenidos a Enfatizar: En vista de que la gestión de riesgos es un proceso continuo, el gerente de seguridad de la información debería considerar que la misma gestión de riesgos tiene un ciclo de vida. Este ciclo de vida puede comprometer las fases de evaluación, tratamiento y supervisión. La aplicación de un enfoque de gestión de riesgos basado en el ciclo de vida y su integración con la gestión de cambios mejora los costos en cuanto a que no necesariamente debe realizarse una evaluación de riesgo completa en forma periódica. Por el contrario, se pueden hacer actualizaciones a la valoración de riesgos y a los procesos de gestión de riesgos de forma incremental. Páginas de Referencia del Manual de Preparación al Examen: Pg. 130

2.14 Niveles mínimos de controles de seguridad Los niveles base (baselines) especifican los requisitos mínimos de los controles de seguridad. Los principios para desarrollo de niveles mínimos incluyen: Estar familiarizado con controles aceptables de seguridad especificados por los proveedores de tecnologías de información y por organizaciones de seguridad. Evaluar el nivel de seguridad apropiado para una organización y por consiguiente adaptar los niveles mínimos. Contenidos a Enfatizar: La aplicación de niveles mínimos para los procesos de seguridad establece los requerimientos de seguridad mínimos en toda la organización para sean consistentes con los niveles de riesgo aceptables. Se debe establecer diferentes referencias para diferentes clasificaciones de seguridad, con controles de seguridad más estrictos requeridos para más recursos críticos o sensibles. Si la organización no ha implementado un esquema de clasificación, será difícil para el gerente de seguridad de la información desarrollar bases racionales para establecer las referencias sin el riesgo de proteger demasiado algunos recursos o proteger de manera insuficiente a otros. Los niveles de riesgo para cada clasificación de seguridad deben también determinarse y los estándares desarrollarse o modificarse para establecer los límites inferiores de protección de cada dominio de seguridad. Los estándares proporcionan la base para la medición y métodos de análisis con el fin de evaluar si los controles existentes cumplen con las referencias de seguridad.   Páginas de Referencia del Manual de Preparación al Examen: Pág. 130

2.14 Niveles mínimos de controles de seguridad La aplicación de niveles mínimos para los procesos de seguridad establece los requerimientos de seguridad mínimos en toda la organización para sean consistentes con los niveles de riesgo aceptables. Se debe establecer diferentes referencias para diferentes clasificaciones de seguridad, con controles de seguridad más estrictos requeridos para más recursos críticos o sensibles. Si la organización no ha implementado un esquema de clasificación, será difícil para el gerente de seguridad de la información desarrollar bases racionales para establecer las referencias sin el riesgo de proteger demasiado algunos recursos o proteger de manera insuficiente a otros. Contenidos a Enfatizar: La aplicación de niveles mínimos para los procesos de seguridad establece los requerimientos de seguridad mínimos en toda la organización para sean consistentes con los niveles de riesgo aceptables. Se debe establecer diferentes referencias para diferentes clasificaciones de seguridad, con controles de seguridad más estrictos requeridos para más recursos críticos o sensibles. Si la organización no ha implementado un esquema de clasificación, será difícil para el gerente de seguridad de la información desarrollar bases racionales para establecer las referencias sin el riesgo de proteger demasiado algunos recursos o proteger de manera insuficiente a otros. Los niveles de riesgo para cada clasificación de seguridad deben también determinarse y los estándares desarrollarse o modificarse para establecer los límites inferiores de protección de cada dominio de seguridad. Los estándares proporcionan la base para la medición y métodos de análisis con el fin de evaluar si los controles existentes cumplen con las referencias de seguridad.   Páginas de Referencia del Manual de Preparación al Examen: Pág. 130

2.14 Niveles mínimos de controles de seguridad Los niveles de riesgo para cada clasificación de seguridad deben también determinarse y los estándares desarrollarse o modificarse para establecer los límites inferiores de protección de cada dominio de seguridad. Los estándares proporcionan la base para la medición y métodos de análisis con el fin de evaluar si los controles existentes cumplen con las referencias de seguridad. Contenidos a Enfatizar: La aplicación de niveles mínimos para los procesos de seguridad establece los requerimientos de seguridad mínimos en toda la organización para sean consistentes con los niveles de riesgo aceptables. Se debe establecer diferentes referencias para diferentes clasificaciones de seguridad, con controles de seguridad más estrictos requeridos para más recursos críticos o sensibles. Si la organización no ha implementado un esquema de clasificación, será difícil para el gerente de seguridad de la información desarrollar bases racionales para establecer las referencias sin el riesgo de proteger demasiado algunos recursos o proteger de manera insuficiente a otros. Los niveles de riesgo para cada clasificación de seguridad deben también determinarse y los estándares desarrollarse o modificarse para establecer los límites inferiores de protección de cada dominio de seguridad. Los estándares proporcionan la base para la medición y métodos de análisis con el fin de evaluar si los controles existentes cumplen con las referencias de seguridad.   Páginas de Referencia del Manual de Preparación al Examen: Pág. 130

2.15.1 Monitoreo de riesgos Un componente importante del ciclo de vida de la gestión de riesgos es su monitoreo, valoración y evaluación continua. Tanto los resultados como el estado de este análisis continuo necesitan documentarse y reportarse a la Alta Dirección con regularidad periódica. El Gerente de Seguridad de Información debe contar con procesos definidos mediante los cuales sea posible evaluar eventos relacionados con la seguridad con base en el impacto que tendrían en la organización. Monitoreo y reporte de riesgos mediante indicadores clave de riesgos (KRIs), que señalan cuando una empresa está sujeta a riesgos que exceden el apetito o tolerancia. Contenidos a Enfatizar: Implementar un programa efectivo de gestión de riesgos requiere de monitoreo y comunicación. Monitorear la eficacia de los controles es una actividad continua que se requiere para gestionar el riesgo. Es preciso establecer canales de comunicación tanto para reportar como para difundir información relevante para gestionar los riesgos, como para proporcionar información sobre actividades relacionadas con los riesgos en toda la empresa al gerente de seguridad de la información, que incluya el reporte de cambios significativos en el riesgo, la capacitación y la concienciación. Páginas de Referencia del Manual de Preparación al Examen: Pg. 132

2.15.2 Reporte de cambios significativos en el riesgo Notificación de cambios significativos en riesgos: Actualizarse cuando existan cambios en la organización. Considerar cualquier cambio significativo del perfil de riesgos de la organización. Incluir un proceso mediante el cual un importante fallo o evento de seguridad desencadenará un informe a la alta dirección. Para facilitar dicho reporte, se pueden utilizar ayudas visuales como gráficos, cuadros y visiones generales resumidas. Asimismo, el programa de seguridad debe incluir un proceso mediante el cual una violación significativa a la seguridad o un evento importante en la seguridad generen un reporte especial a la alta dirección. El gerente de seguridad de la información debe contar con procesos definidos mediante los cuales sea posible evaluar eventos relacionados con la seguridad con base en el impacto que tendrían en la organización. Dicha evaluación podría garantizar que se emita un informe especial a la alta dirección para informarle del evento, el impacto y las acciones tomadas para mitigar el riesgo. Páginas de Referencia del Manual de Preparación al Examen: Pg. 133

2.16 Capacitación y concientización Dado que las personas son generalmente el mayor riesgo para una organización, el entrenamiento apropiado puede tener un impacto significativo en la mitigación del riesgo. Contenidos a Enfatizar: La gente, por lo general, representa el mayor riesgo para cualquier organización casi siempre mediante accidentes, errores, falta de conocimiento / información y, de vez en cuando, mediante intentos maliciosos. Implementar campañas apropiadas de capacitación y concientización puede hacer una contribución positiva sustancial a la gestión de riesgos. Muchos controles son de procedimientos y requieren de conocimiento operativo y cumplimiento. Se deben configurar y operar correctamente los controles técnicos para brindar el nivel esperado de aseguramiento. Es responsabilidad del gerente de seguridad de la información garantizar que los usuarios reciban formación sobre procedimientos y que entiendan los procesos de gestión de riesgos. Asimismo, se deben incluir actividades apropiadas de capacitación y concientización en cualquier programa de gestión de riesgos. Páginas de Referencia del Manual de Preparación al Examen: Pg. 133

2.16 Capacitación y concientización La gente, por lo general, representa el mayor riesgo para cualquier organización casi siempre mediante accidentes, errores, falta de conocimiento / información y, de vez en cuando, mediante intentos maliciosos. Implementar campañas apropiadas de capacitación y concientización puede hacer una contribución positiva sustancial a la gestión de riesgos. Muchos controles son de procedimientos y requieren de conocimiento operativo y cumplimiento. Se deben configurar y operar correctamente los controles técnicos para brindar el nivel esperado de aseguramiento. Contenidos a Enfatizar: La gente, por lo general, representa el mayor riesgo para cualquier organización casi siempre mediante accidentes, errores, falta de conocimiento / información y, de vez en cuando, mediante intentos maliciosos. Implementar campañas apropiadas de capacitación y concientización puede hacer una contribución positiva sustancial a la gestión de riesgos. Muchos controles son de procedimientos y requieren de conocimiento operativo y cumplimiento. Se deben configurar y operar correctamente los controles técnicos para brindar el nivel esperado de aseguramiento. Es responsabilidad del gerente de seguridad de la información garantizar que los usuarios reciban formación sobre procedimientos y que entiendan los procesos de gestión de riesgos. Asimismo, se deben incluir actividades apropiadas de capacitación y concientización en cualquier programa de gestión de riesgos. Páginas de Referencia del Manual de Preparación al Examen: Pg. 133

2.16 Capacitación y concientización Es responsabilidad del gerente de seguridad de la información garantizar que los usuarios reciban formación sobre procedimientos y que entiendan los procesos de gestión de riesgos. Asimismo, se deben incluir actividades apropiadas de capacitación y concientización en cualquier programa de gestión de riesgos. Contenidos a Enfatizar: La gente, por lo general, representa el mayor riesgo para cualquier organización casi siempre mediante accidentes, errores, falta de conocimiento / información y, de vez en cuando, mediante intentos maliciosos. Implementar campañas apropiadas de capacitación y concientización puede hacer una contribución positiva sustancial a la gestión de riesgos. Muchos controles son de procedimientos y requieren de conocimiento operativo y cumplimiento. Se deben configurar y operar correctamente los controles técnicos para brindar el nivel esperado de aseguramiento. Es responsabilidad del gerente de seguridad de la información garantizar que los usuarios reciban formación sobre procedimientos y que entiendan los procesos de gestión de riesgos. Asimismo, se deben incluir actividades apropiadas de capacitación y concientización en cualquier programa de gestión de riesgos. Páginas de Referencia del Manual de Preparación al Examen: Pg. 133

2.16 Capacitación y concientización Los usuarios finales deben recibir entrenamiento en: La importancia de adherirse a las políticas y procedimientos de seguridad de la empresa. Responder a situaciones de emergencia. La importancia del acceso lógico en un ambiente de TI. Los requerimientos de privacidad y confidencialidad. Páginas de Referencia del Manual de Preparación al Examen: Pg. 133 15

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.