GESTION_DE_RIESGOS_DE_TI

download GESTION_DE_RIESGOS_DE_TI

of 5

Transcript of GESTION_DE_RIESGOS_DE_TI

  • 8/7/2019 GESTION_DE_RIESGOS_DE_TI

    1/5

    SISTESEG

    Pgina 1 de 5

    GESTIGESTIGESTIGESTINNNN DEDEDEDE RIESGOS DRIESGOS DRIESGOS DRIESGOS DE TIE TIE TIE TI....

    1.1.1.1.INTRODUCCIINTRODUCCIINTRODUCCIINTRODUCCINNNN

    Dentro de los modelos de gestin de TI soportados bajo el enfoque de procesos,

    gestin de riesgos y PHVA, se encuentran las normas ISO 27001, ISO 20000, ITIL y

    BS 25999 de seguridad de la informacin, gestin de servicios de TI y continuidad

    del negocio (BCP, DRP), respectivamente, cuya implementacin debe asegurar un

    trabajo eficiente y orientado con las directrices estratgicas de las diferentesinstituciones. La consideracin simultanea de estos modelos de gestin, requiere de

    un proceso sincronizado de implementacin que evite la duplicidad de operaciones y

    las estructuras burocrticas a nivel documental, de tal manera que se configure un

    verdadero sistema integrado de gestin alrededor de los servicios de TI. SISTESEG

    consiente de esta realidad ha trabajado en disear de forma adecuada procesos de

    implementacin con un enfoque integral que le permita a las diferentes instituciones

    disear e implementar un sistema de gestin flexible que realmente apoye el

    cumplimiento de las expectativas de sus partes interesadas (Estudiantes,

    accionistas, empleados, profesores, proveedores, etc.), en tiempos reducidos y sin

    generar traumatismos en la operacin diaria de la institucin.

    Por otro lado, la seguridad de la informacin y la continuidad del negocio son dos

    componentes crticos de la estrategia futura de muchas instituciones a nivel nacional

    e internacional. El desarrollo a futuro del documento de lineamientos le permitir a

    las diferentes instituciones, por un lado, comprender la importancia de definir

    polticas, normas, procedimientos y estndares, de acuerdo a los requerimientos de

    su misin, basados en recomendaciones, mejores prcticas (frameworks)

    desarrollados con cooperacin internacional, y por otro lado, se busca tambin, a

    travs del desarrollo de estos lineamientos, identificar herramientas o productos

  • 8/7/2019 GESTION_DE_RIESGOS_DE_TI

    2/5

    SISTESEG

    Pgina 2 de 5

    tecnolgicos que apoyen los controles que permiten mitigar el riesgo y mejorar de

    esta manera la seguridad de la informacin y la continuidad de las operaciones.

    Lo anteriormente expresado nos ha llevado a proponer lineamientos que consideren

    los aspectos fundamentales de ISO 27001, ISO 27002, ISO 27005, ISO 20000,

    COBIT 4.1, COSO, ITIL V3 y BS 25999, entre otros, con el fin de plantear una ruta

    estratgica que le ofrezca a las organizaciones la capacidad para estar mejor

    preparada ante un entorno cambiante y de alto riesgo. Este documento se propone

    pues desarrollar los lineamientos para la implementacin efectiva y eficiente de

    estas recomendaciones internacionales y controles, promoviendo de esta forma un

    verdadero gobierno de TI y, por ende, de esta manera, lograr una mejor gestin del

    riesgo al que pueden estar expuestas hoy en da las empresas.

    2.2.2.2.ALCANCEALCANCEALCANCEALCANCE

    Los lineamientos para los servicios de TI cubre tambin aspectos como:

    disponibilidad, desempeo, confidencialidad, integridad y controles de acceso fsico,

    administrativos y lgicos, de tal forma que proponemos un enfoque integral deacercamiento a la gestin del riesgo y al gobierno de TI. De tal manera que se pueda

    combinar efectivamente la seguridad de la informacin en los diferentes sistemas

    hoy disponibles en las diferentes divisiones. Todo lo anterior conforma una

    estrategia integrada para la seguridad de la informacin y la continuidad del negocio,

    basado, claro est, en una estrategia efectiva de gestin de riesgos.

    3.3.3.3.OBJETIVOS PRINCIPALOBJETIVOS PRINCIPALOBJETIVOS PRINCIPALOBJETIVOS PRINCIPAL

    Estos lineamientos se enfocan en ofrecer las directrices para una gestin integral de

    la seguridad de la informacin, la prestacin de servicios con calidad y a la

  • 8/7/2019 GESTION_DE_RIESGOS_DE_TI

    3/5

    SISTESEG

    Pgina 3 de 5

    continuidad de las operaciones1. Se busca de esta manera generar un camino claro

    y expedito para luego poder emprender el desarrollo de un modelo de gestin

    seguridad de la informacin, o SGSI, un modelo de gestin de los servicios con

    calidad y, por ltimo, un plan de recuperacin ante desastres.

    4.4.4.4.ASPECTOSASPECTOSASPECTOSASPECTOS A CONSIDEA CONSIDEA CONSIDEA CONSIDERARRARRARRAR EN LA GESTIEN LA GESTIEN LA GESTIEN LA GESTIN DEL RIESGON DEL RIESGON DEL RIESGON DEL RIESGO

    Criterios en seguridad de la informacin

    o Confidencialidado Integridado Disponibilidad y Desempeo

    Elementos a considerar (las cuatro Ps) para un sistema de gestin de la

    seguridad de la informacin efectivo:

    o Procesos Gestin de riesgos Manejo de incidentes

    o Personas Entrenamiento Educacin Certificaciones

    o Productos y tecnologas

    Firewalls Redes

    o Proveedores1PAS 99 es la primera especificacin de requisitos del mundo para sistemas de gestin integrada que se basa en los seis

    requisitos comunes de la gua ISO 72 (una norma para redactar normas para sistemas de gestin). Desarrollada comorespuesta a la demanda del mercado de alinear los procesos y procedimientos en una estructura holstica que permitieraoperar con mayor eficacia. La gestin integrada es adecuada para cualquier organizacin, independientemente del tamao osector, que quiera integrar dos o ms sistemas de gestin en un solo sistema cohesionado con un conjunto holstico dedocumentacin, polticas, procedimientos y procesos segn el BSI.

  • 8/7/2019 GESTION_DE_RIESGOS_DE_TI

    4/5

    SISTESEG

    Pgina 4 de 5

    Estndares internacionales a considerar para realizar el documento de

    lineamientos

    o ISO 27001o ISO 17799o BS 25999o ISO 20000o COBIT 4.1o ITIL V3o COSOo ISO 27005o M_o_Ro MOFo AU NZ/4360o NFPA 75o NFPA 1600o NIST SP 800-34

    Continuidad del Negocio (BCP), planes de contingencia y planes de

    recuperacin ante desastres (DRP)

    o Metodologas sugeridas NIST DRII BCI NFPA 1600 BS 25999

    o Relacin BCP y DRPo Lineamientos para realizar un efectivo BIA2

    2Business impact analysis

  • 8/7/2019 GESTION_DE_RIESGOS_DE_TI

    5/5

    SISTESEG

    Pgina 5 de 5

    o DRP y categorizacin de amenazaso Planes de contingencia y el NIST SP 800-34o Estrategias de recuperacin

    Hot sites Cold sites Warm sites Mirror

    o El modelo BCM propuesto por BS 25999

    Futuro de las auditoras ISO 27001 e ISO 20000

    o Requerimientoso Certificacioneso Beneficios para la Universidad


Parisotti-Sebben-crudele

Parisotti-Sebben-crudele

Emploi 3fev12

Emploi 3fev12

French Final - Study Sheet

French Final - Study Sheet

Milad Un Nabi

Milad Un Nabi

Tutoren Des Akademischen Auslandsamtes-1

Tutoren Des Akademischen Auslandsamtes-1

Model Actiune Cedo

Model Actiune Cedo

Кислотный дом

Кислотный дом

Module 2 Hiver 2012

Module 2 Hiver 2012

renan prière sur l'Acropole

renan prière sur l'Acropole

LED - Loisirs Electroniques D'Aujourd'Hui - 001 - 1982-10

LED - Loisirs Electroniques D'Aujourd'Hui - 001 - 1982-10

CAVALLERIA RUSTICANA (1)

CAVALLERIA RUSTICANA (1)

Liste Des Etablissements Hebergement que 2010 Mt (1)

Liste Des Etablissements Hebergement que 2010 Mt (1)

Les 5 Visages Du Mail Marketing

Les 5 Visages Du Mail Marketing

Hommage a Mitch - Kurt Rosenwinkel

Hommage a Mitch - Kurt Rosenwinkel

Analyse Num

Analyse Num

aprés la finitude

aprés la finitude

ATV-5 brochure French

ATV-5 brochure French

Henri Michaux - Ailleurs

Henri Michaux - Ailleurs

Document de Bord

Document de Bord

rhximeizonos

rhximeizonos