La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Angel Rodriguez Carlos Enrique Calderón García Carlos Felipe

Publicada porCelia Maestre Paz Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Angel Rodriguez Carlos Enrique Calderón García Carlos Felipe"— Transcripción de la presentación:

1 Angel Rodriguez Carlos Enrique Calderón García Carlos Felipe
Metodología y gobierno de la gestión de riesgos de tecnologías de la información Angel Rodriguez Carlos Enrique Calderón García Carlos Felipe

2 Resumen Riesgos TI Estándares – normas y metodologías

3 Introducción Mitigar – TI
Establecer controles Aceptar el riesgo (controles imposibles) Eliminar el riesgo (procesos del negocio) Trasladar el riesgo a un tercero La decisión sobre qué tipo de estrategia utilizar requiere un análisis de riesgo para cuantificar el impacto de que el riesgo se lleve a cabo, así como su probabilidad de ocurrencia.

4 Mitigar – TI Establecer controles significa la generación de políticas, normas y procedimientos en procedimientos, equipos, aplicaciones, sistemas operativos que conlleven a la mitigación del riesgo. Aceptar el riesgo significa que se asume y conoce cuál sería el impacto en el negocio si el riesgo se materializa.

5 Mitigar – TI Eliminar los procesos que conllevan al riesgo significaría cambiar el que hacer (negocio) de la organización El traslado del riesgo a través de pólizas, tener una clara probabilidad de que el riesgo se lleve a cabo para realizar un balance entre el costo y el beneficio del seguro. Tener en cuenta que está relacionada con el cubrimiento económico de la materialización – porque – el impacto en términos de imagen será la organización

6 Orígenes de la regulación y su papel en la formalización de la gestión de riesgos de Ti
Riesgo (Acción) – TI (Procesos) Es necesario gestionar estos riesgos porque no hacerlo puede generar altos costos para la organización.

7 Orígenes de la regulación y su papel en la formalización de la gestión de riesgos de Ti
Ejemplos Agencia de vuelos – utilidades de un trimestre Transacciones Tarjetas de crédito Acelerador de partículas (bing bang) Inapropiada gestión de riesgos (TI – operación – misión del negocio) Ti - corporativo

8 Orígenes de la regulación y su papel en la formalización de la gestión de riesgos de Ti
Países (India) ha implementado soluciones TI para activos gubernamentales – conlleva a que exista un alto riesgo de ataques terroristas a través de vulnerabilidades de los sistemas TI Se han establecido estrictas reglamentaciones y regulaciones para minimizar los riesgos operacionales – Mecanismos que regulan la actividad, fijar los criterios técnicos y jurídicos

9 Nist, IT Risk, Risk IT , Octave y Margerit
Orígenes de la regulación y su papel en la formalización de la gestión de riesgos de Ti Estándares para el análisis y gestión de riesgos (Frameworks o marcos de trabajo) Nist, IT Risk, Risk IT , Octave y Margerit Cuyo objetivo es integrar buenas practicas de forma ordenada y sistémica – diseñados para facilitar el análisis de riesgos y orientar la implantación de un sistema de gestión de riesgos

10 Una metodología para el análisis de riesgos de TI
Un Framework no asegura que el análisis de riesgo se lleve de manera exitosa por este motivo se definen planes de acción y protección. – Areas Octave (Amenaza Operacionalmente Crítica, Evaluación de Activos y vulnerabilidad) metodología desarrollada por el CERT – cuyo objetivo es facilitar la evaluación de riesgos de una organización.

11 Principales características
Octave se centra en el estudio de riesgos organizacionales y se focaliza principalmente en los aspectos relacionados con el día a día de las empresas. La evaluación identifica los activos relacionados con la información (TI valerosos), así estudia la infraestructura de la información a diario. (involucra a las personas – configuración y debilidades)

12 Desarrollo de la evaluación
OCTAVE mediante una serie de talleres en los que el equipo de análisis y el personal clave de los diferentes niveles de la organización adelantan el levantamiento y análisis de la información.

13 Fase 1 Construir perfiles de amenazas basados en los activos
Los diferentes miembros de la organización contribuyen con su visión sobre los activos que son críticos para la empresa, la manera como se usan y lo que en la actualidad se está haciendo para protegerlos. El equipo evalúa la información y selecciona los activos más importantes.

14 Etapas Las tres primeras son talleres realizados a diferentes niveles de la organización: directivo, gerencial, operativo y de TI. En cada uno de estos talleres se desarrollan actividades tendientes a identificar los principales activos relacionados con la información, las amenazas que se identifican sobre cada uno de ellos, el impacto que tienen dichas amenazas sobre los mismos y sobre la organización, y los requerimientos de seguridad de cada activo.

15 Activos críticos: Se identifican los activos relacionados con la información que son de mayor criticidad para la operación y subsistencia de la organización. Requerimientos de seguridad para los activos críticos: Se identifican los aspectos que son importantes de proteger para cada activo.

16 Fase 2 Identificar vulnerabilidades en la infraestructura
El equipo de análisis identifica los principales elementos de TI y los diferentes componentes que se relacionan con cada activo crítico. Se evalúan entonces los diferentes componentes para identificar las vulnerabilidades que pudieran facilitar las acciones no autorizadas sobre los activos críticos. Componentes claves Vulnerabilidades tecnológicas actuales

17 Fase 3- Desarrollar estrategias y planes de seguridad
En esta etapa el equipo de análisis identifica los riesgos sobre los diferentes activos críticos y decide qué acciones tomar. El equipo crea entonces una estrategia de protección y planes de mitigación, basados en la información recolectada. Identificación y evaluación de riesgos Estrategia de protección y planes de mitigación del riesgo

18 GOBIERNO DENTRO DE LOS RIESDOS DE TI

19 Conclusion Adicionalmente a conocer los estándares, normas, regulaciones y metodologías de análisis de riesgos, es necesario contar con un gobierno de TI que establezca en forma clara las directrices estratégicas para llevar en forma éxitos estos procesos de análisis de riesgos. Para lograr un proceso exitoso se requiere de la sinergia del conocimiento de estándares y normas con las metodologías y un gobierno TI que lidere.

Descargar ppt "Angel Rodriguez Carlos Enrique Calderón García Carlos Felipe"

Presentaciones similares

ESTRATEGIA E-BUSINESS

ESTRATEGIA E-BUSINESS
Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
DESARROLLANDO EL PLAN DE TRABAJO

DESARROLLANDO EL PLAN DE TRABAJO
PLAN ESTRATÉGICO Introducción 1.- Definición.

PLAN ESTRATÉGICO Introducción 1.- Definición.
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
COSO I y COSO II.

COSO I y COSO II.
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
PLANIFICACION ESTRATEGICA BASICA

PLANIFICACION ESTRATEGICA BASICA
PLANEACIÓN ESTRATÉGICA

PLANEACIÓN ESTRATÉGICA
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.

Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.
SISTEMA ADMINISTRACIÓN

SISTEMA ADMINISTRACIÓN
Administración de los riesgos desde la perspectiva del Control Interno

Administración de los riesgos desde la perspectiva del Control Interno
Auditoria en Informatica Lic. Enrique Hernandez H.

Auditoria en Informatica Lic. Enrique Hernandez H.
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
GOBERNABILIDAD DE PROYECTOS

GOBERNABILIDAD DE PROYECTOS
Estrategia TI Entendimiento estratégico

Estrategia TI Entendimiento estratégico
MINISTERIO DE ECONOMÍA Y FINANZAS DIRECCION NACIONAL DE CONTABILIDAD

MINISTERIO DE ECONOMÍA Y FINANZAS DIRECCION NACIONAL DE CONTABILIDAD
La Administración de Riesgos como Herramienta del Gobierno Corporativo

La Administración de Riesgos como Herramienta del Gobierno Corporativo

Presentaciones similares

Anuncios Google