SlideShare une entreprise Scribd logo

ISACA Habla del ENS

Roberto Soriano Domenech
Roberto Soriano Domenech
Technologie
1  sur  9
Télécharger pour lire hors ligne
7 Criterios de la Información Cumplimiento. Confiabilidad. L11P1. ENSP1p1 Efectividad. Eficacia. L11P1. ENSPag 1. Eficiencia. L11P2, ENSArt28 y 4.6.2 Confidencialidad. L11A1, A6, A31, … ENSP1 Integridad. L11P5, ENSP1 Disponibilidad. L11P3, ENSP! ISACA Valencia - V Congress 2011-November 1
ISACA habla de la L11 o ENS (1) Evaluar y Administrar los Riesgos de TI 5 Optimizado cuando La administración de riesgos ha evolucionado al nivel en que un proceso estructurado está implantado en toda la organización y es bien administrado. Las buenas prácticas se aplican en toda la organización. La captura, análisis y reporte de los datos de administración de riesgos están altamente automatizados. La orientación se toma de los líderes en el campo y la organización de TI participa en grupos de interés para intercambiar experiencias. La administración de riesgos está altamente integrada en todo el negocio y en las operaciones de TI, está bien aceptada, y abarca a los usuarios de servicios de TI. La dirección detecta y actúa cuando se toman decisiones grandes de inversión o de operación de TI, sin considerar el plan de administración de riesgos. La dirección evalúa las estrategias de mitigación de riesgos de manera continua. PO9.4 Evaluación PO9.4 Evaluación de Riesgos de TI Riesgos Evaluar de forma recurrente la probabilidad e impacto de todos los riesgos identificados, usando métodos cualitativos y cuantitativ os. La probabil idad e impacto asociados a los riesgos inherentes y residuales se debe determinar de forma individual, por categorí a y con base en el portafolio. d da ad to d iali ien da ilid d nc ad ida ia bili l im nib nc de ri d ctiv nf ia mp po cie nfi eg Dis Efe Co Cu Co Efi I nt S S P P P S S ISACA Valencia - V Congress 2011-November 2
ISACA habla de la L11 o ENS (2) • • • Definir los requerimientos técnicos y de Identificar Soluciones automatizadas • Definir cómo los requerimientos funcionales y de control del negocio se traducen a soluciones automatizadas Identificar soluciones que satisfagan los requerimientos del usuario Identificar soluciones que sean negocio • Realizar estudios de factibilidad como se efectivas y eficientes técnicamente factibles y rentables define en los estándares de desarrollo La necesidad de una nueva aplicación o Responder arequiere de análisis antes • función los requerimientos de de la compra o desarrollo para garantizar que los • Tomar la decisión de “comprar vs. • Considerar los requerimientos de requisitos del negocio se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definición de las seguridad y control desde el principio necesidades, negocio de acuerdo con la estrategia del desarrollar” que optimice el valor y considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica riesgo negocio minimice el y económica, ejecuta un análisis (o rechazar) losy de • Aprobar de riesgo requerimientos y costo-beneficio y concluye con una decisión final de “desarrollar” o “comprar”. Todos estos pasos permiten a las organizaciones de factibilidad los resultados del estudio minimizar el costo para Adquirir e Implementar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del negocio. AI1.1 AI1.1 Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del Negocio Identificar, dar prioridades, especificar y acordar los requerimientos de negocio funcionales y técnicos que cubran el alcance completo de todas las iniciativas requeridas para # de proyectos donde los beneficios • lograr los resultados esperados de los programas de inversión en TI. % de proyectos en el plan anual de TI • % de interesados satisfechos con la • establecidos no se lograron debido a precisión del estudio de factibilidad sujetos a un estudio de factibilidad Desde Entradas suposiciones incorrectas de factibilidad • Grado en que la definición de los • % de estudios de factibilidad autorizados PO1 Planes estratégicos y tácticos de TI• % de usuarios satisfechos con la beneficios cambia desde el estudio de por el dueño del proceso de negocio funcionalidad recibida factibilidad hasta la implantación PO3 Actualizaciones periódicas del “estado de la • % del portafolio aplicativo que no es tecnología”; estándares tecnológicos consistente con la arquitectura PO8 Estándares de adquisición y desarrollo • % de estudios de factibilidad entregados PO10 Directrices de administración del proyecto y planes a tiempo y en presupuesto detallados del proyecto AI6 Descripción del proceso de cambio DS1 SLAs DS3 Plan de desempeño y capacidad (requerimientos) ISACA Valencia - V Congress 2011-November 3
ISACA habla de la L11 o ENS (3) Garantizar la Control sobre el proceso TI de del Serviciode Continuidad Salidas de las prueba Resultados Hacia PO9 contingencia Garantizar la continuidad del servicio Criticidad de puntos de configuración DS9 de TI Que satis face el requerimiento del negocio de TI parade Plan de almacenamiento DS11 DS13 respaldos y de protección Asegurar el mínimo impactoUmbrales o en caso de una interrupción de servicios de TI al negoci de incidente/desastre DS8 Requerimientos de servicios contra DS1 DS2 Enfocándose en desastres incluyendo roles y responsabilidades Reportes de desempeño de los ME1 El desarrollo de resistencia (resilience) en las soluciones automatizadas y desarrollando, manteniendo y probando procesos los planes de continuidad de TI Se logra con • Desarrollando y manteniendo (mejorando) los planes de contingencia de TI • Con entrenamiento y pruebas de los planes de contingencia de TI • Guardando copias de los planes de contingencia y de los datos fuera de las instalaciones DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones Y se mide con Almacenar fuera de las instalaciones todos los medios de respaldo, documentación y otros recursos de TI críticos, necesarios para la recuperación de TI y para los planes de continuidad del negocio. • Número de horas los respaldos a almacenar debe a interrupciones no planeadas El contenido de perdidas por usuario por mes, debidas determinarse en conjunto entre los responsables de los procesos de negocio y el personal de procesos críticos de negocio que dependen de TI, que no están cubiertos por un • Número de TI. La administración del sitio de almacenamiento externo a las instalaciones, debe apegarse a la política de clasificaciónde continuidad las prácticas de almacenamiento de datos de la plan de datos y a empresa. La gerencia de TI debe asegurar que los acuerdos con sitios externos sean evaluados periódicamente, al menos una vez por año, respecto al contenido, a la protección ambiental y a la seguridad. Asegurarse de la compatibilidad del hardware y del software para poder recuperar los datos archivados y periódicamente probar y renovar los datos archivados. ISACA Valencia - V Congress 2011-November 4
ISACA habla de la L11 o ENS (4) Garantizar el Cumplimiento Regulatorio Control sobre el proceso TI de Garantizar el cumplimiento regulatorio Que satisface el requerimiento del negocio de TI para Cumplir las leyes y regulaciones Enfocándose en La identificación de todas las leyes y regulaciones aplicables y el nivel correspondiente de cumplimiento de TI y la optimización de los procesos de TI para reducir el riesgo de no cumplimiento Se logra con • La identificación de los requisitos legales y regulatorios relacionados con TI • La evaluación del impacto de los requisitos regulatorios • El monitoreo y reporte del cumplimiento de los requisitos regulatorios Y se mide con • El costo del no cumplimiento de TI, incluyendo arreglos y multas • Tiempo promedio de demora entre la identificación de los problemas externos de cumplimiento y su resolución • Frecuencia de revisiones de cumplimiento ISACA Valencia - V Congress 2011-November 5
Principio de Seguridad De obligado cumplimiento para las AAPP En la empresa privada tenemos la ISO27000, opcional. Implantar las mejores practicas de Seguridad no garantiza que no se padezcan incidentes, asegura saber que sucede, porque y lo mas importante estar capacitado a recuperarse en tiempo Invertir en SEGURIDAD es SOBREVIVIR ISACA Valencia - V Congress 2011-November 6
Hemos hablado de ENS pero… de ISACA De COBIT – Un proceso de los 4 dominios de un total de 34 procesos – Pag1. Descripción del proceso, criterios, dominio, áreas de enfoque, recursos – Pag2. Objetivos de Control. 210 Controles. – Pag3. Entradas y Salidas, RACI, Metas y Métricas – Pag4. Modelo de Madurez Pero además CISA, CISM, CGEIT, CRISC ISACA Valencia - V Congress 2011-November 7
Grupos de Trabajo Grupo de Trabajo ENS – Revisión del RD y Ley11 – Revisión de guías – Figura del Auditor, Figura del CPO Juan Miguel Signes AVS Fidel Santiago AVS José Ignacio Ortolá Florida Uni Oscar Padial Reina Sofía David Simó Hospitales Nisa Roberto Soriano ISACA Valencia Elisabeth Iglesias Audedatos Renato Aquilino Cesser Alejandro Salom Sindicatura Antonio Villalón S2 Grupo ISACA Valencia - V Congress 2011-November 8
GRACIAS Roberto Soriano ISACA Valencia presidente@isacavalencia.org @isacavalencia @rosodo /company/isaca-valencia /in/robertosoriano /isacavalencia /robertosoriano

Recommandé

Adquirir e implementar
Adquirir e implementarAdquirir e implementar
Adquirir e implementar
montserratfuentesuribe
 
Cuadros adquirir e implementar
Cuadros adquirir e implementarCuadros adquirir e implementar
Cuadros adquirir e implementar
montserratfuentesuribe
 
Montse
MontseMontse
Montse
montserratfuentesuribe
 
Adquisición E Implementación - Dominio
Adquisición E Implementación - DominioAdquisición E Implementación - Dominio
Adquisición E Implementación - Dominio
tati1304
 
Cobit: Dominio 2: Adquisición e Implementación
Cobit: Dominio 2: Adquisición e ImplementaciónCobit: Dominio 2: Adquisición e Implementación
Cobit: Dominio 2: Adquisición e Implementación
Raúl López
 
Ingeniería de requisitos
Ingeniería de requisitosIngeniería de requisitos
Ingeniería de requisitos
hadfy
 
Cuadros adquirir e implementar
Cuadros adquirir e implementarCuadros adquirir e implementar
Cuadros adquirir e implementar
citlalimtz2621
 
Adquirir e implementar
Adquirir e implementarAdquirir e implementar
Adquirir e implementar
citlalimtz2621
 

Recommandé

Adquirir e implementar
Adquirir e implementarAdquirir e implementar
Adquirir e implementar
montserratfuentesuribe
 
Cuadros adquirir e implementar
Cuadros adquirir e implementarCuadros adquirir e implementar
Cuadros adquirir e implementar
montserratfuentesuribe
 
Montse
MontseMontse
Montse
montserratfuentesuribe
 
Adquisición E Implementación - Dominio
Adquisición E Implementación - DominioAdquisición E Implementación - Dominio
Adquisición E Implementación - Dominio
tati1304
 
Cobit: Dominio 2: Adquisición e Implementación
Cobit: Dominio 2: Adquisición e ImplementaciónCobit: Dominio 2: Adquisición e Implementación
Cobit: Dominio 2: Adquisición e Implementación
Raúl López
 
Ingeniería de requisitos
Ingeniería de requisitosIngeniería de requisitos
Ingeniería de requisitos
hadfy
 
Cuadros adquirir e implementar
Cuadros adquirir e implementarCuadros adquirir e implementar
Cuadros adquirir e implementar
citlalimtz2621
 
Adquirir e implementar
Adquirir e implementarAdquirir e implementar
Adquirir e implementar
citlalimtz2621
 
Dominio: Adquisición e Implementación
Dominio: Adquisición e ImplementaciónDominio: Adquisición e Implementación
Dominio: Adquisición e Implementación
Marthabosque
 
Evelyn Carolina Galvez
Evelyn Carolina GalvezEvelyn Carolina Galvez
Evelyn Carolina Galvez
evegalvez
 
Auditoria Planificación y Organización
Auditoria Planificación y OrganizaciónAuditoria Planificación y Organización
Auditoria Planificación y Organización
karycaiza1
 
Focal Point para gestion del portfolio
Focal Point para gestion del portfolioFocal Point para gestion del portfolio
Focal Point para gestion del portfolio
Luis Reyes
 
Adquisición e Implementación
Adquisición e ImplementaciónAdquisición e Implementación
Adquisición e Implementación
Ely0826
 
Los indicadores como base del despliegue de la estrategia a procesos webinar
Los indicadores como base del despliegue de la estrategia a procesos webinarLos indicadores como base del despliegue de la estrategia a procesos webinar
Los indicadores como base del despliegue de la estrategia a procesos webinar
StrategosInowa
 
Presentacion metodologia
Presentacion metodologiaPresentacion metodologia
Presentacion metodologia
global bis
 
Adquisición e implementacion valeria pereira
Adquisición e implementacion valeria pereiraAdquisición e implementacion valeria pereira
Adquisición e implementacion valeria pereira
gloriavaleria
 
Gsi t12 (erpâ´s)
Gsi t12 (erpâ´s)Gsi t12 (erpâ´s)
Gsi t12 (erpâ´s)
Carmen Hevia Medina
 
Tm ds of_procesos_v20120222_v2_linkedin
Tm ds of_procesos_v20120222_v2_linkedinTm ds of_procesos_v20120222_v2_linkedin
Tm ds of_procesos_v20120222_v2_linkedin
Hernan Maiante
 
Trabajo sena andres cueva
Trabajo sena andres cuevaTrabajo sena andres cueva
Trabajo sena andres cueva
anthonnydavid
 
Trabajo sena
Trabajo senaTrabajo sena
Trabajo sena
robincastellanos1
 
Trabajo sena
Trabajo senaTrabajo sena
Trabajo sena
vladimirjose2
 
Archivos.ceneval.edu.mx archivos portal_17353_guiadel_egel-info
Archivos.ceneval.edu.mx archivos portal_17353_guiadel_egel-infoArchivos.ceneval.edu.mx archivos portal_17353_guiadel_egel-info
Archivos.ceneval.edu.mx archivos portal_17353_guiadel_egel-info
Mario Chávez Morales
 
Seminario Focal Point 30 junio 2009
Seminario Focal Point 30 junio 2009Seminario Focal Point 30 junio 2009
Seminario Focal Point 30 junio 2009
Marco Cimino
 
Usampymes2
Usampymes2Usampymes2
Usampymes2
christian nieto
 
Usampymes1
Usampymes1Usampymes1
Usampymes1
christian nieto
 
Planificación y Organización - Dominio
Planificación y Organización - DominioPlanificación y Organización - Dominio
Planificación y Organización - Dominio
Jesvale
 
Requerimientos
RequerimientosRequerimientos
Requerimientos
Secretaría de Estado de Educación
 
¿Como hacer nudos de corbatas?
¿Como hacer nudos de corbatas?¿Como hacer nudos de corbatas?
¿Como hacer nudos de corbatas?
Roberto Soriano Domenech
 
Cobi T Innovacion
Cobi T InnovacionCobi T Innovacion
Cobi T Innovacion
Roberto Soriano Domenech
 
Auditoriade Intrusion Rsd Ccrb2007
Auditoriade Intrusion Rsd Ccrb2007Auditoriade Intrusion Rsd Ccrb2007
Auditoriade Intrusion Rsd Ccrb2007
Roberto Soriano Domenech
 

Contenu connexe

Tendances

Adquisición e implementacion valeria pereira
Adquisición e implementacion valeria pereiraAdquisición e implementacion valeria pereira
Adquisición e implementacion valeria pereira
gloriavaleria
 
Tm ds of_procesos_v20120222_v2_linkedin
Tm ds of_procesos_v20120222_v2_linkedinTm ds of_procesos_v20120222_v2_linkedin
Tm ds of_procesos_v20120222_v2_linkedin
Hernan Maiante
 
Archivos.ceneval.edu.mx archivos portal_17353_guiadel_egel-info
Archivos.ceneval.edu.mx archivos portal_17353_guiadel_egel-infoArchivos.ceneval.edu.mx archivos portal_17353_guiadel_egel-info
Archivos.ceneval.edu.mx archivos portal_17353_guiadel_egel-info
Mario Chávez Morales
 

Tendances (19)

Dominio: Adquisición e Implementación
Dominio: Adquisición e ImplementaciónDominio: Adquisición e Implementación
Dominio: Adquisición e Implementación
 
Evelyn Carolina Galvez
Evelyn Carolina GalvezEvelyn Carolina Galvez
Evelyn Carolina Galvez
 
Auditoria Planificación y Organización
Auditoria Planificación y OrganizaciónAuditoria Planificación y Organización
Auditoria Planificación y Organización
 
Focal Point para gestion del portfolio
Focal Point para gestion del portfolioFocal Point para gestion del portfolio
Focal Point para gestion del portfolio
 
Adquisición e Implementación
Adquisición e ImplementaciónAdquisición e Implementación
Adquisición e Implementación
 
Los indicadores como base del despliegue de la estrategia a procesos webinar
Los indicadores como base del despliegue de la estrategia a procesos webinarLos indicadores como base del despliegue de la estrategia a procesos webinar
Los indicadores como base del despliegue de la estrategia a procesos webinar
 
Presentacion metodologia
Presentacion metodologiaPresentacion metodologia
Presentacion metodologia
 
Adquisición e implementacion valeria pereira
Adquisición e implementacion valeria pereiraAdquisición e implementacion valeria pereira
Adquisición e implementacion valeria pereira
 
Gsi t12 (erpâ´s)
Gsi t12 (erpâ´s)Gsi t12 (erpâ´s)
Gsi t12 (erpâ´s)
 
Tm ds of_procesos_v20120222_v2_linkedin
Tm ds of_procesos_v20120222_v2_linkedinTm ds of_procesos_v20120222_v2_linkedin
Tm ds of_procesos_v20120222_v2_linkedin
 
Trabajo sena andres cueva
Trabajo sena andres cuevaTrabajo sena andres cueva
Trabajo sena andres cueva
 
Trabajo sena
Trabajo senaTrabajo sena
Trabajo sena
 
Trabajo sena
Trabajo senaTrabajo sena
Trabajo sena
 
Archivos.ceneval.edu.mx archivos portal_17353_guiadel_egel-info
Archivos.ceneval.edu.mx archivos portal_17353_guiadel_egel-infoArchivos.ceneval.edu.mx archivos portal_17353_guiadel_egel-info
Archivos.ceneval.edu.mx archivos portal_17353_guiadel_egel-info
 
Seminario Focal Point 30 junio 2009
Seminario Focal Point 30 junio 2009Seminario Focal Point 30 junio 2009
Seminario Focal Point 30 junio 2009
 
Usampymes2
Usampymes2Usampymes2
Usampymes2
 
Usampymes1
Usampymes1Usampymes1
Usampymes1
 
Planificación y Organización - Dominio
Planificación y Organización - DominioPlanificación y Organización - Dominio
Planificación y Organización - Dominio
 
Requerimientos
RequerimientosRequerimientos
Requerimientos
 

En vedette

Cumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DS
Cumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DSCumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DS
Cumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DS
Roberto Soriano Domenech
 
Transferencia de Información Electrónica - Planificación
Transferencia de Información Electrónica - PlanificaciónTransferencia de Información Electrónica - Planificación
Transferencia de Información Electrónica - Planificación
Dharma Consulting
 
Herramientas Avanzadas para la Gestión de Proyectos - WBS Chart Pro en la Ges...
Herramientas Avanzadas para la Gestión de Proyectos - WBS Chart Pro en la Ges...Herramientas Avanzadas para la Gestión de Proyectos - WBS Chart Pro en la Ges...
Herramientas Avanzadas para la Gestión de Proyectos - WBS Chart Pro en la Ges...
Dharma Consulting
 
Herramientas Avanzadas para la Gestión de Proyectos - PERT CHART EXPERT en la...
Herramientas Avanzadas para la Gestión de Proyectos - PERT CHART EXPERT en la...Herramientas Avanzadas para la Gestión de Proyectos - PERT CHART EXPERT en la...
Herramientas Avanzadas para la Gestión de Proyectos - PERT CHART EXPERT en la...
Dharma Consulting
 
Herramientas Avanzadas para la Gestión de Proyectos - Introducción al PERT CH...
Herramientas Avanzadas para la Gestión de Proyectos - Introducción al PERT CH...Herramientas Avanzadas para la Gestión de Proyectos - Introducción al PERT CH...
Herramientas Avanzadas para la Gestión de Proyectos - Introducción al PERT CH...
Dharma Consulting
 
Curso Taller de MS Project 2010 - Control del Proyecto usando el Valor Ganado
Curso Taller de MS Project 2010 - Control del Proyecto usando el Valor GanadoCurso Taller de MS Project 2010 - Control del Proyecto usando el Valor Ganado
Curso Taller de MS Project 2010 - Control del Proyecto usando el Valor Ganado
Dharma Consulting
 
Curso Taller de MS Project 2010 - Configuración de la Línea Base
Curso Taller de MS Project 2010 - Configuración de la Línea BaseCurso Taller de MS Project 2010 - Configuración de la Línea Base
Curso Taller de MS Project 2010 - Configuración de la Línea Base
Dharma Consulting
 

En vedette (19)

¿Como hacer nudos de corbatas?
¿Como hacer nudos de corbatas?¿Como hacer nudos de corbatas?
¿Como hacer nudos de corbatas?
 
Cobi T Innovacion
Cobi T InnovacionCobi T Innovacion
Cobi T Innovacion
 
Auditoriade Intrusion Rsd Ccrb2007
Auditoriade Intrusion Rsd Ccrb2007Auditoriade Intrusion Rsd Ccrb2007
Auditoriade Intrusion Rsd Ccrb2007
 
Cumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DS
Cumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DSCumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DS
Cumplimiento Legal. Normativa que afecta a la Empresa y como afecta al CSO o DS
 
Cobi T Para Que Sirve
Cobi T Para Que SirveCobi T Para Que Sirve
Cobi T Para Que Sirve
 
CobiT Itil Iso 27000 Marcos De Gobierno
CobiT Itil Iso 27000 Marcos De GobiernoCobiT Itil Iso 27000 Marcos De Gobierno
CobiT Itil Iso 27000 Marcos De Gobierno
 
Earned value Project Management (evpm)
Earned value Project Management (evpm)Earned value Project Management (evpm)
Earned value Project Management (evpm)
 
Convenio servicio de capacitacion nacional
Convenio servicio de capacitacion nacionalConvenio servicio de capacitacion nacional
Convenio servicio de capacitacion nacional
 
Convenio de servicio de capacitacion extranjero
Convenio de servicio de capacitacion extranjeroConvenio de servicio de capacitacion extranjero
Convenio de servicio de capacitacion extranjero
 
Convenio de Representación
Convenio de Representación Convenio de Representación
Convenio de Representación
 
Transferencia de Información Electrónica - Planificación
Transferencia de Información Electrónica - PlanificaciónTransferencia de Información Electrónica - Planificación
Transferencia de Información Electrónica - Planificación
 
Herramientas Avanzadas para la Gestión de Proyectos - WBS Chart Pro en la Ges...
Herramientas Avanzadas para la Gestión de Proyectos - WBS Chart Pro en la Ges...Herramientas Avanzadas para la Gestión de Proyectos - WBS Chart Pro en la Ges...
Herramientas Avanzadas para la Gestión de Proyectos - WBS Chart Pro en la Ges...
 
Herramientas Avanzadas para la Gestión de Proyectos - PERT CHART EXPERT en la...
Herramientas Avanzadas para la Gestión de Proyectos - PERT CHART EXPERT en la...Herramientas Avanzadas para la Gestión de Proyectos - PERT CHART EXPERT en la...
Herramientas Avanzadas para la Gestión de Proyectos - PERT CHART EXPERT en la...
 
Herramientas Avanzadas para la Gestión de Proyectos - Introducción al PERT CH...
Herramientas Avanzadas para la Gestión de Proyectos - Introducción al PERT CH...Herramientas Avanzadas para la Gestión de Proyectos - Introducción al PERT CH...
Herramientas Avanzadas para la Gestión de Proyectos - Introducción al PERT CH...
 
Presentación de la empresa
Presentación de la empresaPresentación de la empresa
Presentación de la empresa
 
Curso Taller de MS Project 2010 - Control del Proyecto usando el Valor Ganado
Curso Taller de MS Project 2010 - Control del Proyecto usando el Valor GanadoCurso Taller de MS Project 2010 - Control del Proyecto usando el Valor Ganado
Curso Taller de MS Project 2010 - Control del Proyecto usando el Valor Ganado
 
Curso Taller de MS Project 2010 - Configuración de la Línea Base
Curso Taller de MS Project 2010 - Configuración de la Línea BaseCurso Taller de MS Project 2010 - Configuración de la Línea Base
Curso Taller de MS Project 2010 - Configuración de la Línea Base
 
Gestión de Proyectos con Microsoft Project
Gestión de Proyectos con Microsoft ProjectGestión de Proyectos con Microsoft Project
Gestión de Proyectos con Microsoft Project
 
Convenio de consultoría conjunta
Convenio de consultoría conjuntaConvenio de consultoría conjunta
Convenio de consultoría conjunta
 

Similaire à ISACA Habla del ENS

Adquisición e Implementación
Adquisición e ImplementaciónAdquisición e Implementación
Adquisición e Implementación
PAMELA085IMBA
 
Brochure sciforma 5
Brochure sciforma 5 Brochure sciforma 5
Brochure sciforma 5
Quanam
 
áReas de la auditoria informática
áReas de la auditoria informáticaáReas de la auditoria informática
áReas de la auditoria informática
ISTELAM
 

Similaire à ISACA Habla del ENS (20)

Adquisicion e implementacion cobit
Adquisicion e implementacion cobitAdquisicion e implementacion cobit
Adquisicion e implementacion cobit
 
Diana gaibor a.i
Diana gaibor a.iDiana gaibor a.i
Diana gaibor a.i
 
Deber auditoria de sistemas
Deber auditoria de sistemasDeber auditoria de sistemas
Deber auditoria de sistemas
 
Deber auditoria de sistemas
Deber auditoria de sistemasDeber auditoria de sistemas
Deber auditoria de sistemas
 
Adquisicion e implementacion dominio
Adquisicion e implementacion dominioAdquisicion e implementacion dominio
Adquisicion e implementacion dominio
 
Planificacion organización
Planificacion organizaciónPlanificacion organización
Planificacion organización
 
Adquisición e Implementación
Adquisición e ImplementaciónAdquisición e Implementación
Adquisición e Implementación
 
Trabajo sena
Trabajo senaTrabajo sena
Trabajo sena
 
Adquisiciones e implementacion
Adquisiciones e implementacionAdquisiciones e implementacion
Adquisiciones e implementacion
 
Adquirir Implementar Cobit4
Adquirir Implementar Cobit4Adquirir Implementar Cobit4
Adquirir Implementar Cobit4
 
Planificación y organización
Planificación y organizaciónPlanificación y organización
Planificación y organización
 
Especificar los requerimientos para el desarrollo de un software
Especificar los requerimientos para el desarrollo de un softwareEspecificar los requerimientos para el desarrollo de un software
Especificar los requerimientos para el desarrollo de un software
 
Especificar los requerimientos o requisitos
Especificar los requerimientos o requisitosEspecificar los requerimientos o requisitos
Especificar los requerimientos o requisitos
 
Brochure sciforma 5
Brochure sciforma 5 Brochure sciforma 5
Brochure sciforma 5
 
08 Global Knowledge Avanza 2009
08 Global Knowledge Avanza 200908 Global Knowledge Avanza 2009
08 Global Knowledge Avanza 2009
 
Montse
MontseMontse
Montse
 
áReas de la auditoria informática
áReas de la auditoria informáticaáReas de la auditoria informática
áReas de la auditoria informática
 
INGENIERÍA DE REQUISITOS E INGENIERÍA DE REQUERIMIENTOS
INGENIERÍA DE REQUISITOS E INGENIERÍA DE REQUERIMIENTOSINGENIERÍA DE REQUISITOS E INGENIERÍA DE REQUERIMIENTOS
INGENIERÍA DE REQUISITOS E INGENIERÍA DE REQUERIMIENTOS
 
Servicios Geinprod : Consultoría, Formación, Iimplantación, Soporte
Servicios Geinprod : Consultoría, Formación, Iimplantación, SoporteServicios Geinprod : Consultoría, Formación, Iimplantación, Soporte
Servicios Geinprod : Consultoría, Formación, Iimplantación, Soporte
 
Lema andrés.doc
Lema andrés.docLema andrés.doc
Lema andrés.doc
 

Dernier

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Dernier (11)

EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 

ISACA Habla del ENS

  • 1. 7 Criterios de la Información Cumplimiento. Confiabilidad. L11P1. ENSP1p1 Efectividad. Eficacia. L11P1. ENSPag 1. Eficiencia. L11P2, ENSArt28 y 4.6.2 Confidencialidad. L11A1, A6, A31, … ENSP1 Integridad. L11P5, ENSP1 Disponibilidad. L11P3, ENSP! ISACA Valencia - V Congress 2011-November 1
  • 2. ISACA habla de la L11 o ENS (1) Evaluar y Administrar los Riesgos de TI 5 Optimizado cuando La administración de riesgos ha evolucionado al nivel en que un proceso estructurado está implantado en toda la organización y es bien administrado. Las buenas prácticas se aplican en toda la organización. La captura, análisis y reporte de los datos de administración de riesgos están altamente automatizados. La orientación se toma de los líderes en el campo y la organización de TI participa en grupos de interés para intercambiar experiencias. La administración de riesgos está altamente integrada en todo el negocio y en las operaciones de TI, está bien aceptada, y abarca a los usuarios de servicios de TI. La dirección detecta y actúa cuando se toman decisiones grandes de inversión o de operación de TI, sin considerar el plan de administración de riesgos. La dirección evalúa las estrategias de mitigación de riesgos de manera continua. PO9.4 Evaluación PO9.4 Evaluación de Riesgos de TI Riesgos Evaluar de forma recurrente la probabilidad e impacto de todos los riesgos identificados, usando métodos cualitativos y cuantitativ os. La probabil idad e impacto asociados a los riesgos inherentes y residuales se debe determinar de forma individual, por categorí a y con base en el portafolio. d da ad to d iali ien da ilid d nc ad ida ia bili l im nib nc de ri d ctiv nf ia mp po cie nfi eg Dis Efe Co Cu Co Efi I nt S S P P P S S ISACA Valencia - V Congress 2011-November 2
  • 3. ISACA habla de la L11 o ENS (2) • • • Definir los requerimientos técnicos y de Identificar Soluciones automatizadas • Definir cómo los requerimientos funcionales y de control del negocio se traducen a soluciones automatizadas Identificar soluciones que satisfagan los requerimientos del usuario Identificar soluciones que sean negocio • Realizar estudios de factibilidad como se efectivas y eficientes técnicamente factibles y rentables define en los estándares de desarrollo La necesidad de una nueva aplicación o Responder arequiere de análisis antes • función los requerimientos de de la compra o desarrollo para garantizar que los • Tomar la decisión de “comprar vs. • Considerar los requerimientos de requisitos del negocio se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definición de las seguridad y control desde el principio necesidades, negocio de acuerdo con la estrategia del desarrollar” que optimice el valor y considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica riesgo negocio minimice el y económica, ejecuta un análisis (o rechazar) losy de • Aprobar de riesgo requerimientos y costo-beneficio y concluye con una decisión final de “desarrollar” o “comprar”. Todos estos pasos permiten a las organizaciones de factibilidad los resultados del estudio minimizar el costo para Adquirir e Implementar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del negocio. AI1.1 AI1.1 Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del Negocio Identificar, dar prioridades, especificar y acordar los requerimientos de negocio funcionales y técnicos que cubran el alcance completo de todas las iniciativas requeridas para # de proyectos donde los beneficios • lograr los resultados esperados de los programas de inversión en TI. % de proyectos en el plan anual de TI • % de interesados satisfechos con la • establecidos no se lograron debido a precisión del estudio de factibilidad sujetos a un estudio de factibilidad Desde Entradas suposiciones incorrectas de factibilidad • Grado en que la definición de los • % de estudios de factibilidad autorizados PO1 Planes estratégicos y tácticos de TI• % de usuarios satisfechos con la beneficios cambia desde el estudio de por el dueño del proceso de negocio funcionalidad recibida factibilidad hasta la implantación PO3 Actualizaciones periódicas del “estado de la • % del portafolio aplicativo que no es tecnología”; estándares tecnológicos consistente con la arquitectura PO8 Estándares de adquisición y desarrollo • % de estudios de factibilidad entregados PO10 Directrices de administración del proyecto y planes a tiempo y en presupuesto detallados del proyecto AI6 Descripción del proceso de cambio DS1 SLAs DS3 Plan de desempeño y capacidad (requerimientos) ISACA Valencia - V Congress 2011-November 3
  • 4. ISACA habla de la L11 o ENS (3) Garantizar la Control sobre el proceso TI de del Serviciode Continuidad Salidas de las prueba Resultados Hacia PO9 contingencia Garantizar la continuidad del servicio Criticidad de puntos de configuración DS9 de TI Que satis face el requerimiento del negocio de TI parade Plan de almacenamiento DS11 DS13 respaldos y de protección Asegurar el mínimo impactoUmbrales o en caso de una interrupción de servicios de TI al negoci de incidente/desastre DS8 Requerimientos de servicios contra DS1 DS2 Enfocándose en desastres incluyendo roles y responsabilidades Reportes de desempeño de los ME1 El desarrollo de resistencia (resilience) en las soluciones automatizadas y desarrollando, manteniendo y probando procesos los planes de continuidad de TI Se logra con • Desarrollando y manteniendo (mejorando) los planes de contingencia de TI • Con entrenamiento y pruebas de los planes de contingencia de TI • Guardando copias de los planes de contingencia y de los datos fuera de las instalaciones DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones Y se mide con Almacenar fuera de las instalaciones todos los medios de respaldo, documentación y otros recursos de TI críticos, necesarios para la recuperación de TI y para los planes de continuidad del negocio. • Número de horas los respaldos a almacenar debe a interrupciones no planeadas El contenido de perdidas por usuario por mes, debidas determinarse en conjunto entre los responsables de los procesos de negocio y el personal de procesos críticos de negocio que dependen de TI, que no están cubiertos por un • Número de TI. La administración del sitio de almacenamiento externo a las instalaciones, debe apegarse a la política de clasificaciónde continuidad las prácticas de almacenamiento de datos de la plan de datos y a empresa. La gerencia de TI debe asegurar que los acuerdos con sitios externos sean evaluados periódicamente, al menos una vez por año, respecto al contenido, a la protección ambiental y a la seguridad. Asegurarse de la compatibilidad del hardware y del software para poder recuperar los datos archivados y periódicamente probar y renovar los datos archivados. ISACA Valencia - V Congress 2011-November 4
  • 5. ISACA habla de la L11 o ENS (4) Garantizar el Cumplimiento Regulatorio Control sobre el proceso TI de Garantizar el cumplimiento regulatorio Que satisface el requerimiento del negocio de TI para Cumplir las leyes y regulaciones Enfocándose en La identificación de todas las leyes y regulaciones aplicables y el nivel correspondiente de cumplimiento de TI y la optimización de los procesos de TI para reducir el riesgo de no cumplimiento Se logra con • La identificación de los requisitos legales y regulatorios relacionados con TI • La evaluación del impacto de los requisitos regulatorios • El monitoreo y reporte del cumplimiento de los requisitos regulatorios Y se mide con • El costo del no cumplimiento de TI, incluyendo arreglos y multas • Tiempo promedio de demora entre la identificación de los problemas externos de cumplimiento y su resolución • Frecuencia de revisiones de cumplimiento ISACA Valencia - V Congress 2011-November 5
  • 6. Principio de Seguridad De obligado cumplimiento para las AAPP En la empresa privada tenemos la ISO27000, opcional. Implantar las mejores practicas de Seguridad no garantiza que no se padezcan incidentes, asegura saber que sucede, porque y lo mas importante estar capacitado a recuperarse en tiempo Invertir en SEGURIDAD es SOBREVIVIR ISACA Valencia - V Congress 2011-November 6
  • 7. Hemos hablado de ENS pero… de ISACA De COBIT – Un proceso de los 4 dominios de un total de 34 procesos – Pag1. Descripción del proceso, criterios, dominio, áreas de enfoque, recursos – Pag2. Objetivos de Control. 210 Controles. – Pag3. Entradas y Salidas, RACI, Metas y Métricas – Pag4. Modelo de Madurez Pero además CISA, CISM, CGEIT, CRISC ISACA Valencia - V Congress 2011-November 7
  • 8. Grupos de Trabajo Grupo de Trabajo ENS – Revisión del RD y Ley11 – Revisión de guías – Figura del Auditor, Figura del CPO Juan Miguel Signes AVS Fidel Santiago AVS José Ignacio Ortolá Florida Uni Oscar Padial Reina Sofía David Simó Hospitales Nisa Roberto Soriano ISACA Valencia Elisabeth Iglesias Audedatos Renato Aquilino Cesser Alejandro Salom Sindicatura Antonio Villalón S2 Grupo ISACA Valencia - V Congress 2011-November 8
  • 9. GRACIAS Roberto Soriano ISACA Valencia presidente@isacavalencia.org @isacavalencia @rosodo /company/isaca-valencia /in/robertosoriano /isacavalencia /robertosoriano