SlideShare una empresa de Scribd logo

Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnología-maricarmen garcia

Descargar como PPTX, PDF
Maricarmen García de Ureña
Maricarmen García de Ureña

- Principios de la gestión de riesgos de tecnología - El proceso de auditoría para la gestión de riesgos de tecnología - Técnicas utilizadas y resultados esperados de la planificación y ejecución de las auditorías de gestión de riesgos - Estándares y mejores prácticas internacionales incluyendo ISO 27005, ISO 31000, Risk IT de ISACA y regulaciones locales de países latinoamericanos. - Como ejecutar en la práctica una auditoría de riesgos de tecnología

Educación
1 de 47
www.isaca.org 1 1 Auditoría de Gestión de Riesgos de Tecnología Maricarmen García, CBCP Pag.1 Sesión # 312 2009 Costa Rica
www.isaca.org 2 2Pag.2 Agenda • Introducción • Estándares y mejores prácticas internacionales • Principios de la Gestión de Riesgos de Tecnología • El proceso de auditoría para la Gestión de Riesgos de Tecnología • Como ejecutar la auditoría de riesgos de Tecnología • Técnicas utilizadas y resultados esperados
www.isaca.org 3 3Pag.3 Introducción
www.isaca.org 4 4Pag.4 Estándares y mejores prácticas internacionales
www.isaca.org 5 5Pag.5 Marcos de referencia • ISO 31000 • BS 31100 • Basilea II • AS/NZS 4360 • ISO/IEC 27005 • ITGI - Risk IT • OCTAVE • CRAMM • MAGERIT • BS 7799-3 • NIST SP800-30 • ARMS • UNE 71504 • M_o_R
www.isaca.org 6 6Pag.6 Principios de la gestión de riesgos de tecnología
www.isaca.org 7 7Pag.7 Principios de la gestión de riesgos ISO 31000 La gestión de riesgos: … crea valor … es parte integral de los procesos de la organización … es parte de la toma de decisiones … atiende la incertidumbre específicamente … es sistemática, estructurada y oportuna … se basa en la mejor información disponible … está adaptada a la organización … considera factores humanos y culturales … es transparente e inclusiva … es dinámica, iterativa y responde al cambio … facilita la mejora continua
www.isaca.org 8 8Pag.8 Principios de la gestión de riesgos ISACA / ITGI – Risk IT La gestión de riesgos de Tecnología de Información: … está conectada a los objetivos del negocio … alinea la gestión de riesgos del negocio relacionados con TI con la gestión de riesgos organizacional … busca el balance entre los costos y beneficios de gestionar riesgos … promueve una comunicación de riesgos de TI justa y abierta … establece el tono adecuado desde arriba, mientras define y refuerza la responsabilidad personal para operar con niveles de tolerancia aceptables y bien definidos … es un proceso continuo, parte de las actividades diarias
www.isaca.org 9 9Pag.9 ISO 31000 (Borrador) Compromiso de la gerencia Diseño del marco de referencia Implementar la gestión de riesgos Monitorear y revisar Mejora continua
www.isaca.org 10 10Pag.10 ISO 31000 (Borrador) Establecer el contexto Identificación riesgos Análisis de riesgos Evaluación de riesgos Tratamiento de riesgos Comunicaciónyconsulta Monitoreoyrevisión
www.isaca.org 11 11Pag.11 BS 31100 Mandato y compromiso Diseño del marco de referencia Implementar la gestión de riesgos Monitorear y revisar Mantenimiento y mejora
www.isaca.org 12 12Pag.12 BS 31100 Revisar Identificar EvaluarResponder Reportar
www.isaca.org 13 13Pag.13 ISO 27005 Establecer el contexto Identificación riesgos Estimación de riesgos Evaluación de riesgos Tratamiento de riesgos Aceptación de riesgos Comunicaciónderiesgos Monitoreoyrevisiónderiesgos Inicio ReducirRetenerEvitarTransf.
www.isaca.org 14 14Pag.14 The Risk IT Framework Habilitar beneficios / valor de TI Entrega de programas y proyectos de TI Entrega de operaciones y servicios de TI Valor del negocio No Ganar Ganar Valor del negocio Perder Preservar
www.isaca.org 15 15 Risk Evaluation © 2008 ITGI Risk IT Foundation Collect Data Analyse Risk Maintain Risk Profile Risk Response Articulate Risk Manage Risk React to Events Risk Governance Establish & Maintain a Common Risk View Integrate with ERM Make Risk- aware Business Decisions Communication Pag.15 The Risk IT Framework Componentes
www.isaca.org 16 16Pag.16 El proceso de auditoría para la gestión de riesgos de tecnología
www.isaca.org 17 17Pag.17 Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
www.isaca.org 18 18Pag.18 Iniciar la auditoría • Designar al líder le auditoría • Definir objetivos, alcance y criterios • Determinar factibilidad • Seleccionar equipo de auditoría • Identificar responsables por parte del auditado Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
www.isaca.org 19 19Pag.19 Competencias del auditor de riesgos de tecnología • Conocimiento y entendimiento de la gestión de riesgos de tecnología. • Experiencia y conocimiento en tecnología de información. • Conocimiento de requerimientos legales y regulatorios relativos a gestión de riesgos de tecnología. • Habilidades y entrenamiento en gestión de riesgos. • Conocimiento de herramientas y software para la gestión de riesgos. • Conocimiento de estándares y mejores prácticas para la gestión de riesgos de tecnología.
www.isaca.org 20 20Pag.20 Definir el criterio de auditoría • Leyes • Regulaciones • Contratos • Acuerdos de Niveles de servicio • Estatutos • Normatividad interna • Estándares internacionales • Otras mejores prácticas
www.isaca.org 21 21Pag.21 Definir el criterio de auditoría ISO 31000 IEC/DIS 31010 BS 31100 ISO/IEC 27005 Risk IT Basilea II OCTAVE NIST SP800-30 AS/NZS 4360 M_o_R CRAMM MAGERIT TRA Working Guide BS 7799-3 ARMS UNE 71504 ERM Coso Leyes Metodología Interna Regulaciones
www.isaca.org 22 22Pag.22 Conducir revisión preliminar • Revisar documentos relevantes asociados con la gestión de riesgos de tecnología, incluyendo registros y su adecuación con el criterio de auditoría. • Ejemplos: • Política de gestión de riesgos de tecnología • Metodología de gestión de riesgos de tecnología • Reportes de análisis y evaluación de riesgos Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
www.isaca.org 23 23Pag.23 Desarrollar plan de auditoría • Preparar plan de auditoría • Asignar trabajo a miembros del equipo • Preparar documentos de trabajo Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
www.isaca.org 24 24Pag.24 Elementos a revisar • Entendimiento de la organización • Revisar y evaluar: • Consideración de aspectos del contexto externo de la organización. • Consideración de aspectos del contexto interno de la organización
www.isaca.org 25 25Pag.25 Elementos a revisar • Política de gestión de riesgos • Revisar y evaluar: • Compromiso y objetivos de la organización, respecto a la gestión de riesgos de TI. • Liga entre la política de gestión de riesgos y otras políticas de la organización. • Responsabilidades respecto a la gestión de riesgos de tecnología. • Manejo de conflictos de interés. • Apetito de riesgo de la organización. • Procesos, métodos y herramientas para la gestión de riesgos de tecnología. • La forma en que el desempeño de la gestión de riesgos será medido y reportado.
www.isaca.org 26 26Pag.26 Elementos a revisar • Integración dentro de los procesos organizacionales • Revisar y evaluar: • Integración de la gestión de riesgos de tecnología en las practicas y procesos de la organización, • Particularmente: • Desarrollo de políticas. • Planeación. • Procesos de gestión de cambios.
www.isaca.org 27 27Pag.27 Elementos a revisar • Responsabilidad • Revisar y evaluar: • Definición y formalización de responsabilidades y autoridades. • Especificación de responsabilidades para el desarrollo, implementación y mantenimiento del marco de referencia. • Especificación de “propietarios” de riesgo para implementar tratamiento del riesgo, mantenimiento de controles y reporte de información relevante. • Niveles apropiados de reconocimiento, sanción.
www.isaca.org 28 28Pag.28 Elementos a revisar • Recursos asignados • Revisar y evaluar: • Recursos asignados. • Gente (habilidades, experiencia, competencias). • Procesos y procedimientos documentados. • Sistemas de gestión de información y conocimiento.
www.isaca.org 29 29Pag.29 Elementos a revisar • Mecanismos de comunicación y reporte • Revisar y evaluar: • Comunicación de riesgos. • Información disponible en los niveles apropiados de la organización. • Procesos de consulta con las partes interesadas.
www.isaca.org 30 30Pag.30 Elementos a revisar • Implementación de la Gestión de Riesgos de Tecnología • Revisar y evaluar: • Definición de un tiempo y estrategia adecuados para la implementación de la gestión de riesgos • Aplicación de la política y procesos de gestión de riesgos. • Cumplimiento con requerimientos legales y regulatorios.
www.isaca.org 31 31Pag.31 Elementos a revisar • Implementación de la Gestión de Riesgos de Tecnología (Continuación). • Revisar y evaluar: • Toma de decisiones justificada y documentada. • Resguardo de información. • Sesiones de entrenamiento. • Comunicación y consulta con partes interesadas.
www.isaca.org 32 32Pag.32 Elementos a revisar • Monitoreo y revisión • Revisar y evaluar: • Establecimiento de medidores de desempeño. • Medición periódica del proceso. • Revisión de que tan apropiados son la política, el marco de referencia y el plan de gestión de riesgos. • Reporte de riesgos. • Revisión de la efectividad.
www.isaca.org 33 33Pag.33 Elementos a revisar • Criterio de riesgo • Revisar y evaluar si son considerados factores como: • Naturaleza y tipos de consecuencias. • Definición de “probabilidad / posibilidad”. • Líneas de tiempo para probabilidad / posibilidad y/o consecuencias. • Como será determinado el nivel de riesgo. • El nivel en el que el riesgo es aceptable o tolerable. • Nivel de riesgo que requiere tratamiento. • Si las combinaciones de riesgos se considerarán.
www.isaca.org 34 34Pag.34 Elementos a revisar • Identificación de riesgos. • Revisar y evaluar si la organización identifica: • Fuentes de riesgo. • Áreas de impacto. • Eventos y sus causas. • Consecuencias potenciales. • Vulnerabilidades • Amenazas
www.isaca.org 35 35Pag.35 Elementos a revisar • Análisis de riesgos • Revisar y evaluar si la organización: • Considera las causas y fuentes del riesgo. • Consecuencias positivas y negativas. • Probabilidad / posibilidad de ocurrencia. • Factores que afectan las consecuencias o la probabilidad / posibilidad.
www.isaca.org 36 36Pag.36 Elementos a revisar • Evaluación de riesgos • Revisar y evaluar si la organización: • Compara el nivel de riesgos obtenido en le etapa de análisis con el criterio establecido. • Da tratamiento a los riesgos que no cumplen con el(los) criterio(s) de aceptación.
www.isaca.org 37 37Pag.37 Elementos a revisar • Tratamiento de riesgos • Revisar y evaluar si la organización: • Selecciona e implementa mecanismos para la modificación de los riesgos que no cumplen con el criterio de aceptación.
www.isaca.org 38 38Pag.38 Elementos a revisar • Registros del proceso • Revisar y evaluar si la organización: • Cuenta con mecanismos para el registro de actividades de gestión de tecnología.. • Considera estos registros para la mejora del proceso de gestión de riesgos de tecnología.
www.isaca.org 39 39Pag.39 Ejecutar auditoría • Reunión de inicio • Comunicación durante la auditoría • Roles y responsabilidades • Recolectar y verificar información • Documentar hallazgos • Preparar conclusiones de la auditoría • Reunión de cierre Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
www.isaca.org 40 40Pag.40 Preparar aprobar y distribuir informe de auditoría • Preparar reporte de auditoría • Aprobación • Distribución Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
www.isaca.org 41 41Pag.41 Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
www.isaca.org 42 42Pag.42 Técnicas utilizadas y resultados esperados
www.isaca.org 43 43Pag.43 Técnicas utilizadas y resultados esperados • Revisión documental. • Entrevista. • Observación directa. • Cuestionario. • Muestreo.
www.isaca.org 44 44Pag.44 Preguntas? 2008 Santiago Chile
www.isaca.org 45 45Pag.45 Gracias Maricarmen García CBCP maricarmen.garcia@secureit.com.mx
www.isaca.org 46 46 Bogotá, Colombia Marzo, 2010 Te esperamos!
www.isaca.org 47 47 International Conference 2010 Cancún, México 6 al 9 de Junio de 2010 Te esperamos!

Recomendados

Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Riesgos
RiesgosRiesgos
RiesgosRicardo Mansilla
 
Iso 31000
Iso 31000Iso 31000
Iso 31000Uro Cacho
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005Melvin Jáquez
 
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso223012.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301Maricarmen García de Ureña
 
Marco de referencia para la gestión del riesgo
Marco de referencia para la gestión del riesgoMarco de referencia para la gestión del riesgo
Marco de referencia para la gestión del riesgoMaría D Pérez H
 
Taller gestion de riesgos
Taller gestion de riesgosTaller gestion de riesgos
Taller gestion de riesgosMaurice Frayssinet
 

Recomendados

Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Riesgos
RiesgosRiesgos
RiesgosRicardo Mansilla
 
Iso 31000
Iso 31000Iso 31000
Iso 31000Uro Cacho
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005Melvin Jáquez
 
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso223012.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301Maricarmen García de Ureña
 
Marco de referencia para la gestión del riesgo
Marco de referencia para la gestión del riesgoMarco de referencia para la gestión del riesgo
Marco de referencia para la gestión del riesgoMaría D Pérez H
 
Taller gestion de riesgos
Taller gestion de riesgosTaller gestion de riesgos
Taller gestion de riesgosMaurice Frayssinet
 
Descubre la iso 31000 para la gestion de riesgos
Descubre la iso 31000 para la gestion de riesgosDescubre la iso 31000 para la gestion de riesgos
Descubre la iso 31000 para la gestion de riesgosgedpro project management experts
 
Principales cambios de la norma ISO31000:2018
Principales cambios de la norma ISO31000:2018 Principales cambios de la norma ISO31000:2018
Principales cambios de la norma ISO31000:2018 PECB
 
Risk Management MAC 20100917
Risk Management MAC 20100917Risk Management MAC 20100917
Risk Management MAC 20100917ASI El Salvador
 
Lecciones aprendidas en la implementación de un sistema de gestión de riesgos...
Lecciones aprendidas en la implementación de un sistema de gestión de riesgos...Lecciones aprendidas en la implementación de un sistema de gestión de riesgos...
Lecciones aprendidas en la implementación de un sistema de gestión de riesgos...PECB
 
ISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSJuan Carlos Bajo Albarracín
 
Plataforma Tecnológica para la Gestión de la ISO 31000
Plataforma Tecnológica para la Gestión de la ISO 31000Plataforma Tecnológica para la Gestión de la ISO 31000
Plataforma Tecnológica para la Gestión de la ISO 31000ISOTools Colombia
 
Sinergia Gestión De Riesgos
Sinergia Gestión De RiesgosSinergia Gestión De Riesgos
Sinergia Gestión De RiesgosIsrael Díaz Ramos
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Iso 31000 2009 risk management
Iso 31000 2009 risk managementIso 31000 2009 risk management
Iso 31000 2009 risk managementAlexander Velasque Rimac
 
Guia practica de_gestion_de_riesgos
Guia practica de_gestion_de_riesgosGuia practica de_gestion_de_riesgos
Guia practica de_gestion_de_riesgosMM CO
 
ISO 31000 ISOTools Chile
ISO 31000 ISOTools ChileISO 31000 ISOTools Chile
ISO 31000 ISOTools ChileISOTools Chile
 
ISO 22301 Seguridad de las sociedades- Continuidad del negocio
ISO 22301 Seguridad de las sociedades- Continuidad del negocioISO 22301 Seguridad de las sociedades- Continuidad del negocio
ISO 22301 Seguridad de las sociedades- Continuidad del negocioMaricarmen García de Ureña
 
AEN/CTN 307 “Gestión del riesgo” Contextualización de su actividad y seguimie...
AEN/CTN 307 “Gestión del riesgo” Contextualización de su actividad y seguimie...AEN/CTN 307 “Gestión del riesgo” Contextualización de su actividad y seguimie...
AEN/CTN 307 “Gestión del riesgo” Contextualización de su actividad y seguimie...Miguel A. Amutio
 
Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020Primala Sistema de Gestion
 
Presentación ISO 31000
Presentación ISO 31000Presentación ISO 31000
Presentación ISO 31000Silvana Paola Arias Robayo
 
ISO 31000 RISK MANAGER - GERENTE DE RIESGOS ISO 31000
ISO 31000 RISK MANAGER - GERENTE DE RIESGOS ISO 31000ISO 31000 RISK MANAGER - GERENTE DE RIESGOS ISO 31000
ISO 31000 RISK MANAGER - GERENTE DE RIESGOS ISO 31000CONSULTORES & AUDITORES EN GESTION S.A.S
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
 
Iso 31000
Iso 31000Iso 31000
Iso 31000saul diaz
 
Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo oceanicacumplimiento
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
ISO 31000:2009 GESTION DE RIESGO
ISO 31000:2009 GESTION DE RIESGOISO 31000:2009 GESTION DE RIESGO
ISO 31000:2009 GESTION DE RIESGOWarwick Fabrics (Australia) Pty. Ltd.
 
Plan de comunicaciones
Plan de comunicacionesPlan de comunicaciones
Plan de comunicacionesEdi_delgadillo
 

Más contenido relacionado

La actualidad más candente

Principales cambios de la norma ISO31000:2018
Principales cambios de la norma ISO31000:2018 Principales cambios de la norma ISO31000:2018
Principales cambios de la norma ISO31000:2018 PECB
 
Risk Management MAC 20100917
Risk Management MAC 20100917Risk Management MAC 20100917
Risk Management MAC 20100917ASI El Salvador
 
Lecciones aprendidas en la implementación de un sistema de gestión de riesgos...
Lecciones aprendidas en la implementación de un sistema de gestión de riesgos...Lecciones aprendidas en la implementación de un sistema de gestión de riesgos...
Lecciones aprendidas en la implementación de un sistema de gestión de riesgos...PECB
 
Plataforma Tecnológica para la Gestión de la ISO 31000
Plataforma Tecnológica para la Gestión de la ISO 31000Plataforma Tecnológica para la Gestión de la ISO 31000
Plataforma Tecnológica para la Gestión de la ISO 31000ISOTools Colombia
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Guia practica de_gestion_de_riesgos
Guia practica de_gestion_de_riesgosGuia practica de_gestion_de_riesgos
Guia practica de_gestion_de_riesgosMM CO
 
ISO 31000 ISOTools Chile
ISO 31000 ISOTools ChileISO 31000 ISOTools Chile
ISO 31000 ISOTools ChileISOTools Chile
 
ISO 22301 Seguridad de las sociedades- Continuidad del negocio
ISO 22301 Seguridad de las sociedades- Continuidad del negocioISO 22301 Seguridad de las sociedades- Continuidad del negocio
ISO 22301 Seguridad de las sociedades- Continuidad del negocioMaricarmen García de Ureña
 
AEN/CTN 307 “Gestión del riesgo” Contextualización de su actividad y seguimie...
AEN/CTN 307 “Gestión del riesgo” Contextualización de su actividad y seguimie...AEN/CTN 307 “Gestión del riesgo” Contextualización de su actividad y seguimie...
AEN/CTN 307 “Gestión del riesgo” Contextualización de su actividad y seguimie...Miguel A. Amutio
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
 
Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo oceanicacumplimiento
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 

La actualidad más candente (20)

Descubre la iso 31000 para la gestion de riesgos
Descubre la iso 31000 para la gestion de riesgosDescubre la iso 31000 para la gestion de riesgos
Descubre la iso 31000 para la gestion de riesgos
 
Principales cambios de la norma ISO31000:2018
Principales cambios de la norma ISO31000:2018 Principales cambios de la norma ISO31000:2018
Principales cambios de la norma ISO31000:2018
 
Risk Management MAC 20100917
Risk Management MAC 20100917Risk Management MAC 20100917
Risk Management MAC 20100917
 
Lecciones aprendidas en la implementación de un sistema de gestión de riesgos...
Lecciones aprendidas en la implementación de un sistema de gestión de riesgos...Lecciones aprendidas en la implementación de un sistema de gestión de riesgos...
Lecciones aprendidas en la implementación de un sistema de gestión de riesgos...
 
ISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOS
 
Plataforma Tecnológica para la Gestión de la ISO 31000
Plataforma Tecnológica para la Gestión de la ISO 31000Plataforma Tecnológica para la Gestión de la ISO 31000
Plataforma Tecnológica para la Gestión de la ISO 31000
 
Sinergia Gestión De Riesgos
Sinergia Gestión De RiesgosSinergia Gestión De Riesgos
Sinergia Gestión De Riesgos
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
 
Iso 31000 2009 risk management
Iso 31000 2009 risk managementIso 31000 2009 risk management
Iso 31000 2009 risk management
 
Guia practica de_gestion_de_riesgos
Guia practica de_gestion_de_riesgosGuia practica de_gestion_de_riesgos
Guia practica de_gestion_de_riesgos
 
ISO 31000 ISOTools Chile
ISO 31000 ISOTools ChileISO 31000 ISOTools Chile
ISO 31000 ISOTools Chile
 
ISO 22301 Seguridad de las sociedades- Continuidad del negocio
ISO 22301 Seguridad de las sociedades- Continuidad del negocioISO 22301 Seguridad de las sociedades- Continuidad del negocio
ISO 22301 Seguridad de las sociedades- Continuidad del negocio
 
AEN/CTN 307 “Gestión del riesgo” Contextualización de su actividad y seguimie...
AEN/CTN 307 “Gestión del riesgo” Contextualización de su actividad y seguimie...AEN/CTN 307 “Gestión del riesgo” Contextualización de su actividad y seguimie...
AEN/CTN 307 “Gestión del riesgo” Contextualización de su actividad y seguimie...
 
Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020
 
Presentación ISO 31000
Presentación ISO 31000Presentación ISO 31000
Presentación ISO 31000
 
ISO 31000 RISK MANAGER - GERENTE DE RIESGOS ISO 31000
ISO 31000 RISK MANAGER - GERENTE DE RIESGOS ISO 31000ISO 31000 RISK MANAGER - GERENTE DE RIESGOS ISO 31000
ISO 31000 RISK MANAGER - GERENTE DE RIESGOS ISO 31000
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
 
Iso 31000
Iso 31000Iso 31000
Iso 31000
 
Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
 

Destacado

Plan de comunicaciones
Plan de comunicacionesPlan de comunicaciones
Plan de comunicacionesEdi_delgadillo
 
Aramirezcas tfm0514memoria
Aramirezcas tfm0514memoriaAramirezcas tfm0514memoria
Aramirezcas tfm0514memoriakinny32
 
TRABAJO FIN DE MASTER PRL, AUDITORIA SEGURIDAD
TRABAJO FIN DE MASTER PRL, AUDITORIA SEGURIDADTRABAJO FIN DE MASTER PRL, AUDITORIA SEGURIDAD
TRABAJO FIN DE MASTER PRL, AUDITORIA SEGURIDADRita Rois Soler
 
auditoria de gestion
auditoria de gestion auditoria de gestion
auditoria de gestion karencilo83
 
Auditoria de seguridad ejemplo
Auditoria de seguridad ejemploAuditoria de seguridad ejemplo
Auditoria de seguridad ejemploLes Esco
 
Auditoria de la seguridad fisica
Auditoria de la seguridad fisicaAuditoria de la seguridad fisica
Auditoria de la seguridad fisicasandybanez
 
AUDITORIA DE GESTION
AUDITORIA DE GESTIONAUDITORIA DE GESTION
AUDITORIA DE GESTIONADRY1965
 
Calidad Pascual hoja_de_ruta_del_talento
Calidad Pascual hoja_de_ruta_del_talentoCalidad Pascual hoja_de_ruta_del_talento
Calidad Pascual hoja_de_ruta_del_talentoZitec Consultores
 
El proceso y aseguramiento de la calidad
El proceso y aseguramiento de la calidadEl proceso y aseguramiento de la calidad
El proceso y aseguramiento de la calidadrosaelviravasalva
 

Destacado (20)

ISO 31000:2009 GESTION DE RIESGO
ISO 31000:2009 GESTION DE RIESGOISO 31000:2009 GESTION DE RIESGO
ISO 31000:2009 GESTION DE RIESGO
 
Plan de comunicaciones
Plan de comunicacionesPlan de comunicaciones
Plan de comunicaciones
 
ISACA
ISACAISACA
ISACA
 
Auditoria isaca
Auditoria isacaAuditoria isaca
Auditoria isaca
 
Aramirezcas tfm0514memoria
Aramirezcas tfm0514memoriaAramirezcas tfm0514memoria
Aramirezcas tfm0514memoria
 
TRABAJO FIN DE MASTER PRL, AUDITORIA SEGURIDAD
TRABAJO FIN DE MASTER PRL, AUDITORIA SEGURIDADTRABAJO FIN DE MASTER PRL, AUDITORIA SEGURIDAD
TRABAJO FIN DE MASTER PRL, AUDITORIA SEGURIDAD
 
Filmina 1
Filmina 1Filmina 1
Filmina 1
 
Auditoria de gestion
Auditoria de gestionAuditoria de gestion
Auditoria de gestion
 
auditoria de gestion
auditoria de gestion auditoria de gestion
auditoria de gestion
 
Auditoria de seguridad ejemplo
Auditoria de seguridad ejemploAuditoria de seguridad ejemplo
Auditoria de seguridad ejemplo
 
Auditoria de la seguridad fisica
Auditoria de la seguridad fisicaAuditoria de la seguridad fisica
Auditoria de la seguridad fisica
 
AUDITORIA DE GESTION
AUDITORIA DE GESTIONAUDITORIA DE GESTION
AUDITORIA DE GESTION
 
Calidad Pascual hoja_de_ruta_del_talento
Calidad Pascual hoja_de_ruta_del_talentoCalidad Pascual hoja_de_ruta_del_talento
Calidad Pascual hoja_de_ruta_del_talento
 
2. aseguramiento de la calidad en proyectos
2. aseguramiento de la calidad en proyectos2. aseguramiento de la calidad en proyectos
2. aseguramiento de la calidad en proyectos
 
AUDITORIA DE GESTION
AUDITORIA DE GESTION AUDITORIA DE GESTION
AUDITORIA DE GESTION
 
TESIS AUDITORIA DE GESTION
TESIS AUDITORIA DE GESTION TESIS AUDITORIA DE GESTION
TESIS AUDITORIA DE GESTION
 
La fusion de gantt y kanban
La fusion de gantt y kanbanLa fusion de gantt y kanban
La fusion de gantt y kanban
 
Auditoria de gestion
Auditoria de gestionAuditoria de gestion
Auditoria de gestion
 
El proceso y aseguramiento de la calidad
El proceso y aseguramiento de la calidadEl proceso y aseguramiento de la calidad
El proceso y aseguramiento de la calidad
 
Iso 14001 2015
Iso 14001 2015Iso 14001 2015
Iso 14001 2015
 

Similar a Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnología-maricarmen garcia

SEGURIDAD EN LA CADENA DE SUMINISTRO.pdf
SEGURIDAD EN LA CADENA DE SUMINISTRO.pdfSEGURIDAD EN LA CADENA DE SUMINISTRO.pdf
SEGURIDAD EN LA CADENA DE SUMINISTRO.pdfPerraSuerteRaicilla
 
perfil del auditor informatico
perfil del auditor informaticoperfil del auditor informatico
perfil del auditor informaticoYovani Morales
 
El perfil del auditor informático
El perfil del auditor informáticoEl perfil del auditor informático
El perfil del auditor informáticoYovani Morales
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
Certificacion Internacional ISO 31000 Risk Manager
Certificacion Internacional ISO 31000 Risk ManagerCertificacion Internacional ISO 31000 Risk Manager
Certificacion Internacional ISO 31000 Risk ManagerJacinto Santiago Gonzalez
 
Saim Corporativo_Curso taller Analisis Causa Raiz.pptx
Saim Corporativo_Curso taller Analisis Causa Raiz.pptxSaim Corporativo_Curso taller Analisis Causa Raiz.pptx
Saim Corporativo_Curso taller Analisis Causa Raiz.pptxgtzamir
 
Cigras2011 cserra-presentacion1 modo de compatibilidad
Cigras2011 cserra-presentacion1 modo de compatibilidadCigras2011 cserra-presentacion1 modo de compatibilidad
Cigras2011 cserra-presentacion1 modo de compatibilidadjdcojom
 
Cigras2011 cserra-presentacion1 modo de compatibilidad
Cigras2011 cserra-presentacion1 modo de compatibilidadCigras2011 cserra-presentacion1 modo de compatibilidad
Cigras2011 cserra-presentacion1 modo de compatibilidadJONATHAN DAVID MORALES MENDEZ
 
Cigras2011 cserra-presentacion1 modo de compatibilidad
Cigras2011 cserra-presentacion1 modo de compatibilidadCigras2011 cserra-presentacion1 modo de compatibilidad
Cigras2011 cserra-presentacion1 modo de compatibilidadFernando Casanello
 
Iso 27001
Iso 27001Iso 27001
Iso 27001mar778
 
Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013iaraoz
 
Latin CACS 2009 Carlos Chalico
Latin CACS 2009 Carlos ChalicoLatin CACS 2009 Carlos Chalico
Latin CACS 2009 Carlos ChalicoCarlos Chalico
 
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...AmirCalles1
 
Plantilla unidad II
Plantilla unidad IIPlantilla unidad II
Plantilla unidad IIAnnie Mrtx
 

Similar a Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnología-maricarmen garcia (20)

SEGURIDAD EN LA CADENA DE SUMINISTRO.pdf
SEGURIDAD EN LA CADENA DE SUMINISTRO.pdfSEGURIDAD EN LA CADENA DE SUMINISTRO.pdf
SEGURIDAD EN LA CADENA DE SUMINISTRO.pdf
 
perfil del auditor informatico
perfil del auditor informaticoperfil del auditor informatico
perfil del auditor informatico
 
El perfil del auditor informático
El perfil del auditor informáticoEl perfil del auditor informático
El perfil del auditor informático
 
Cobit
CobitCobit
Cobit
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
 
Certificacion Internacional ISO 31000 Risk Manager
Certificacion Internacional ISO 31000 Risk ManagerCertificacion Internacional ISO 31000 Risk Manager
Certificacion Internacional ISO 31000 Risk Manager
 
Auditoría del SGCN según ISO 22301
Auditoría del SGCN según ISO 22301Auditoría del SGCN según ISO 22301
Auditoría del SGCN según ISO 22301
 
Presentación 1
Presentación 1Presentación 1
Presentación 1
 
Saim Corporativo_Curso taller Analisis Causa Raiz.pptx
Saim Corporativo_Curso taller Analisis Causa Raiz.pptxSaim Corporativo_Curso taller Analisis Causa Raiz.pptx
Saim Corporativo_Curso taller Analisis Causa Raiz.pptx
 
Cigras2011 cserra-presentacion1 modo de compatibilidad
Cigras2011 cserra-presentacion1 modo de compatibilidadCigras2011 cserra-presentacion1 modo de compatibilidad
Cigras2011 cserra-presentacion1 modo de compatibilidad
 
Cigras2011 cserra-presentacion1 modo de compatibilidad
Cigras2011 cserra-presentacion1 modo de compatibilidadCigras2011 cserra-presentacion1 modo de compatibilidad
Cigras2011 cserra-presentacion1 modo de compatibilidad
 
Cigras2011 cserra-presentacion1 modo de compatibilidad
Cigras2011 cserra-presentacion1 modo de compatibilidadCigras2011 cserra-presentacion1 modo de compatibilidad
Cigras2011 cserra-presentacion1 modo de compatibilidad
 
Sistema Pragmàtic
Sistema PragmàticSistema Pragmàtic
Sistema Pragmàtic
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013
 
Latin CACS 2009 Carlos Chalico
Latin CACS 2009 Carlos ChalicoLatin CACS 2009 Carlos Chalico
Latin CACS 2009 Carlos Chalico
 
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
 
Plantilla unidad II
Plantilla unidad IIPlantilla unidad II
Plantilla unidad II
 
Riesgo Tecnológico.pdf
Riesgo Tecnológico.pdfRiesgo Tecnológico.pdf
Riesgo Tecnológico.pdf
 
Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdf
 

Más de Maricarmen García de Ureña

Bsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocioBsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocioMaricarmen García de Ureña
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000Maricarmen García de Ureña
 
Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Maricarmen García de Ureña
 
Cicon 2008 coordinación con autoridades externas
Cicon 2008 coordinación con autoridades externasCicon 2008 coordinación con autoridades externas
Cicon 2008 coordinación con autoridades externasMaricarmen García de Ureña
 
Integración de continuidad del negocio con iso27001 v2
Integración de continuidad del negocio con iso27001 v2Integración de continuidad del negocio con iso27001 v2
Integración de continuidad del negocio con iso27001 v2Maricarmen García de Ureña
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaAuditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaMaricarmen García de Ureña
 

Más de Maricarmen García de Ureña (11)

Bsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocioBsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocio
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
 
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
 
Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031
 
Caso de real -Dir Finannzas CFE
Caso de real -Dir Finannzas CFECaso de real -Dir Finannzas CFE
Caso de real -Dir Finannzas CFE
 
ANUIES 2009. Tendencias en Sistemas de Gestion
ANUIES 2009. Tendencias en Sistemas de GestionANUIES 2009. Tendencias en Sistemas de Gestion
ANUIES 2009. Tendencias en Sistemas de Gestion
 
Cicon 2008 coordinación con autoridades externas
Cicon 2008 coordinación con autoridades externasCicon 2008 coordinación con autoridades externas
Cicon 2008 coordinación con autoridades externas
 
Integración de continuidad del negocio con iso27001 v2
Integración de continuidad del negocio con iso27001 v2Integración de continuidad del negocio con iso27001 v2
Integración de continuidad del negocio con iso27001 v2
 
Claconsi 2012 bsi-lecciones aprendidas sgsi
Claconsi 2012 bsi-lecciones aprendidas sgsiClaconsi 2012 bsi-lecciones aprendidas sgsi
Claconsi 2012 bsi-lecciones aprendidas sgsi
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaAuditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
 

Último

TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA
TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIATRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA
TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIAAbelardoVelaAlbrecht1
 
Unidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteUnidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteJuan Hernandez
 
Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)
Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)
Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)veganet
 
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdfOswaldoGonzalezCruz
 
Los Nueve Principios del Desempeño de la Sostenibilidad
Los Nueve Principios del Desempeño de la SostenibilidadLos Nueve Principios del Desempeño de la Sostenibilidad
Los Nueve Principios del Desempeño de la SostenibilidadJonathanCovena1
 
Uses of simple past and time expressions
Uses of simple past and time expressionsUses of simple past and time expressions
Uses of simple past and time expressionsConsueloSantana3
 
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOweislaco
 
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdfTarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdfCarol Andrea Eraso Guerrero
 
PPT_Formación integral y educación CRESE (1).pdf
PPT_Formación integral y educación CRESE (1).pdfPPT_Formación integral y educación CRESE (1).pdf
PPT_Formación integral y educación CRESE (1).pdfEDILIAGAMBOA
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxdanalikcruz2000
 
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdfTema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdfDaniel Ángel Corral de la Mata, Ph.D.
 
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdfBIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdfCESARMALAGA4
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUgustavorojas179704
 
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdfFisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdfcoloncopias5
 
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxc3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxMartín Ramírez
 

Último (20)

TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA
TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIATRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA
TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA
 
Unidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteUnidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parte
 
Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)
Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)
Instrucciones para la aplicacion de la PAA-2024b - (Mayo 2024)
 
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
 
Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf
Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdfTema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf
Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf
 
Unidad 3 | Teorías de la Comunicación | MCDI
Unidad 3 | Teorías de la Comunicación | MCDIUnidad 3 | Teorías de la Comunicación | MCDI
Unidad 3 | Teorías de la Comunicación | MCDI
 
TL/CNL – 2.ª FASE .
TL/CNL – 2.ª FASE .TL/CNL – 2.ª FASE .
TL/CNL – 2.ª FASE .
 
Los Nueve Principios del Desempeño de la Sostenibilidad
Los Nueve Principios del Desempeño de la SostenibilidadLos Nueve Principios del Desempeño de la Sostenibilidad
Los Nueve Principios del Desempeño de la Sostenibilidad
 
Uses of simple past and time expressions
Uses of simple past and time expressionsUses of simple past and time expressions
Uses of simple past and time expressions
 
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
 
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdfTarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdf
 
PPT_Formación integral y educación CRESE (1).pdf
PPT_Formación integral y educación CRESE (1).pdfPPT_Formación integral y educación CRESE (1).pdf
PPT_Formación integral y educación CRESE (1).pdf
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
 
PPTX: La luz brilla en la oscuridad.pptx
PPTX: La luz brilla en la oscuridad.pptxPPTX: La luz brilla en la oscuridad.pptx
PPTX: La luz brilla en la oscuridad.pptx
 
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdfTema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
 
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdfBIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
 
Sesión La luz brilla en la oscuridad.pdf
Sesión La luz brilla en la oscuridad.pdfSesión La luz brilla en la oscuridad.pdf
Sesión La luz brilla en la oscuridad.pdf
 
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdfFisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdf
 
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxc3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
 

Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnología-maricarmen garcia

  • 1. www.isaca.org 1 1 Auditoría de Gestión de Riesgos de Tecnología Maricarmen García, CBCP Pag.1 Sesión # 312 2009 Costa Rica
  • 2. www.isaca.org 2 2Pag.2 Agenda • Introducción • Estándares y mejores prácticas internacionales • Principios de la Gestión de Riesgos de Tecnología • El proceso de auditoría para la Gestión de Riesgos de Tecnología • Como ejecutar la auditoría de riesgos de Tecnología • Técnicas utilizadas y resultados esperados
  • 4. www.isaca.org 4 4Pag.4 Estándares y mejores prácticas internacionales
  • 5. www.isaca.org 5 5Pag.5 Marcos de referencia • ISO 31000 • BS 31100 • Basilea II • AS/NZS 4360 • ISO/IEC 27005 • ITGI - Risk IT • OCTAVE • CRAMM • MAGERIT • BS 7799-3 • NIST SP800-30 • ARMS • UNE 71504 • M_o_R
  • 6. www.isaca.org 6 6Pag.6 Principios de la gestión de riesgos de tecnología
  • 7. www.isaca.org 7 7Pag.7 Principios de la gestión de riesgos ISO 31000 La gestión de riesgos: … crea valor … es parte integral de los procesos de la organización … es parte de la toma de decisiones … atiende la incertidumbre específicamente … es sistemática, estructurada y oportuna … se basa en la mejor información disponible … está adaptada a la organización … considera factores humanos y culturales … es transparente e inclusiva … es dinámica, iterativa y responde al cambio … facilita la mejora continua
  • 8. www.isaca.org 8 8Pag.8 Principios de la gestión de riesgos ISACA / ITGI – Risk IT La gestión de riesgos de Tecnología de Información: … está conectada a los objetivos del negocio … alinea la gestión de riesgos del negocio relacionados con TI con la gestión de riesgos organizacional … busca el balance entre los costos y beneficios de gestionar riesgos … promueve una comunicación de riesgos de TI justa y abierta … establece el tono adecuado desde arriba, mientras define y refuerza la responsabilidad personal para operar con niveles de tolerancia aceptables y bien definidos … es un proceso continuo, parte de las actividades diarias
  • 9. www.isaca.org 9 9Pag.9 ISO 31000 (Borrador) Compromiso de la gerencia Diseño del marco de referencia Implementar la gestión de riesgos Monitorear y revisar Mejora continua
  • 10. www.isaca.org 10 10Pag.10 ISO 31000 (Borrador) Establecer el contexto Identificación riesgos Análisis de riesgos Evaluación de riesgos Tratamiento de riesgos Comunicaciónyconsulta Monitoreoyrevisión
  • 11. www.isaca.org 11 11Pag.11 BS 31100 Mandato y compromiso Diseño del marco de referencia Implementar la gestión de riesgos Monitorear y revisar Mantenimiento y mejora
  • 13. www.isaca.org 13 13Pag.13 ISO 27005 Establecer el contexto Identificación riesgos Estimación de riesgos Evaluación de riesgos Tratamiento de riesgos Aceptación de riesgos Comunicaciónderiesgos Monitoreoyrevisiónderiesgos Inicio ReducirRetenerEvitarTransf.
  • 14. www.isaca.org 14 14Pag.14 The Risk IT Framework Habilitar beneficios / valor de TI Entrega de programas y proyectos de TI Entrega de operaciones y servicios de TI Valor del negocio No Ganar Ganar Valor del negocio Perder Preservar
  • 15. www.isaca.org 15 15 Risk Evaluation © 2008 ITGI Risk IT Foundation Collect Data Analyse Risk Maintain Risk Profile Risk Response Articulate Risk Manage Risk React to Events Risk Governance Establish & Maintain a Common Risk View Integrate with ERM Make Risk- aware Business Decisions Communication Pag.15 The Risk IT Framework Componentes
  • 16. www.isaca.org 16 16Pag.16 El proceso de auditoría para la gestión de riesgos de tecnología
  • 17. www.isaca.org 17 17Pag.17 Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
  • 18. www.isaca.org 18 18Pag.18 Iniciar la auditoría • Designar al líder le auditoría • Definir objetivos, alcance y criterios • Determinar factibilidad • Seleccionar equipo de auditoría • Identificar responsables por parte del auditado Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
  • 19. www.isaca.org 19 19Pag.19 Competencias del auditor de riesgos de tecnología • Conocimiento y entendimiento de la gestión de riesgos de tecnología. • Experiencia y conocimiento en tecnología de información. • Conocimiento de requerimientos legales y regulatorios relativos a gestión de riesgos de tecnología. • Habilidades y entrenamiento en gestión de riesgos. • Conocimiento de herramientas y software para la gestión de riesgos. • Conocimiento de estándares y mejores prácticas para la gestión de riesgos de tecnología.
  • 20. www.isaca.org 20 20Pag.20 Definir el criterio de auditoría • Leyes • Regulaciones • Contratos • Acuerdos de Niveles de servicio • Estatutos • Normatividad interna • Estándares internacionales • Otras mejores prácticas
  • 21. www.isaca.org 21 21Pag.21 Definir el criterio de auditoría ISO 31000 IEC/DIS 31010 BS 31100 ISO/IEC 27005 Risk IT Basilea II OCTAVE NIST SP800-30 AS/NZS 4360 M_o_R CRAMM MAGERIT TRA Working Guide BS 7799-3 ARMS UNE 71504 ERM Coso Leyes Metodología Interna Regulaciones
  • 22. www.isaca.org 22 22Pag.22 Conducir revisión preliminar • Revisar documentos relevantes asociados con la gestión de riesgos de tecnología, incluyendo registros y su adecuación con el criterio de auditoría. • Ejemplos: • Política de gestión de riesgos de tecnología • Metodología de gestión de riesgos de tecnología • Reportes de análisis y evaluación de riesgos Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
  • 23. www.isaca.org 23 23Pag.23 Desarrollar plan de auditoría • Preparar plan de auditoría • Asignar trabajo a miembros del equipo • Preparar documentos de trabajo Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
  • 24. www.isaca.org 24 24Pag.24 Elementos a revisar • Entendimiento de la organización • Revisar y evaluar: • Consideración de aspectos del contexto externo de la organización. • Consideración de aspectos del contexto interno de la organización
  • 25. www.isaca.org 25 25Pag.25 Elementos a revisar • Política de gestión de riesgos • Revisar y evaluar: • Compromiso y objetivos de la organización, respecto a la gestión de riesgos de TI. • Liga entre la política de gestión de riesgos y otras políticas de la organización. • Responsabilidades respecto a la gestión de riesgos de tecnología. • Manejo de conflictos de interés. • Apetito de riesgo de la organización. • Procesos, métodos y herramientas para la gestión de riesgos de tecnología. • La forma en que el desempeño de la gestión de riesgos será medido y reportado.
  • 26. www.isaca.org 26 26Pag.26 Elementos a revisar • Integración dentro de los procesos organizacionales • Revisar y evaluar: • Integración de la gestión de riesgos de tecnología en las practicas y procesos de la organización, • Particularmente: • Desarrollo de políticas. • Planeación. • Procesos de gestión de cambios.
  • 27. www.isaca.org 27 27Pag.27 Elementos a revisar • Responsabilidad • Revisar y evaluar: • Definición y formalización de responsabilidades y autoridades. • Especificación de responsabilidades para el desarrollo, implementación y mantenimiento del marco de referencia. • Especificación de “propietarios” de riesgo para implementar tratamiento del riesgo, mantenimiento de controles y reporte de información relevante. • Niveles apropiados de reconocimiento, sanción.
  • 28. www.isaca.org 28 28Pag.28 Elementos a revisar • Recursos asignados • Revisar y evaluar: • Recursos asignados. • Gente (habilidades, experiencia, competencias). • Procesos y procedimientos documentados. • Sistemas de gestión de información y conocimiento.
  • 29. www.isaca.org 29 29Pag.29 Elementos a revisar • Mecanismos de comunicación y reporte • Revisar y evaluar: • Comunicación de riesgos. • Información disponible en los niveles apropiados de la organización. • Procesos de consulta con las partes interesadas.
  • 30. www.isaca.org 30 30Pag.30 Elementos a revisar • Implementación de la Gestión de Riesgos de Tecnología • Revisar y evaluar: • Definición de un tiempo y estrategia adecuados para la implementación de la gestión de riesgos • Aplicación de la política y procesos de gestión de riesgos. • Cumplimiento con requerimientos legales y regulatorios.
  • 31. www.isaca.org 31 31Pag.31 Elementos a revisar • Implementación de la Gestión de Riesgos de Tecnología (Continuación). • Revisar y evaluar: • Toma de decisiones justificada y documentada. • Resguardo de información. • Sesiones de entrenamiento. • Comunicación y consulta con partes interesadas.
  • 32. www.isaca.org 32 32Pag.32 Elementos a revisar • Monitoreo y revisión • Revisar y evaluar: • Establecimiento de medidores de desempeño. • Medición periódica del proceso. • Revisión de que tan apropiados son la política, el marco de referencia y el plan de gestión de riesgos. • Reporte de riesgos. • Revisión de la efectividad.
  • 33. www.isaca.org 33 33Pag.33 Elementos a revisar • Criterio de riesgo • Revisar y evaluar si son considerados factores como: • Naturaleza y tipos de consecuencias. • Definición de “probabilidad / posibilidad”. • Líneas de tiempo para probabilidad / posibilidad y/o consecuencias. • Como será determinado el nivel de riesgo. • El nivel en el que el riesgo es aceptable o tolerable. • Nivel de riesgo que requiere tratamiento. • Si las combinaciones de riesgos se considerarán.
  • 34. www.isaca.org 34 34Pag.34 Elementos a revisar • Identificación de riesgos. • Revisar y evaluar si la organización identifica: • Fuentes de riesgo. • Áreas de impacto. • Eventos y sus causas. • Consecuencias potenciales. • Vulnerabilidades • Amenazas
  • 35. www.isaca.org 35 35Pag.35 Elementos a revisar • Análisis de riesgos • Revisar y evaluar si la organización: • Considera las causas y fuentes del riesgo. • Consecuencias positivas y negativas. • Probabilidad / posibilidad de ocurrencia. • Factores que afectan las consecuencias o la probabilidad / posibilidad.
  • 36. www.isaca.org 36 36Pag.36 Elementos a revisar • Evaluación de riesgos • Revisar y evaluar si la organización: • Compara el nivel de riesgos obtenido en le etapa de análisis con el criterio establecido. • Da tratamiento a los riesgos que no cumplen con el(los) criterio(s) de aceptación.
  • 37. www.isaca.org 37 37Pag.37 Elementos a revisar • Tratamiento de riesgos • Revisar y evaluar si la organización: • Selecciona e implementa mecanismos para la modificación de los riesgos que no cumplen con el criterio de aceptación.
  • 38. www.isaca.org 38 38Pag.38 Elementos a revisar • Registros del proceso • Revisar y evaluar si la organización: • Cuenta con mecanismos para el registro de actividades de gestión de tecnología.. • Considera estos registros para la mejora del proceso de gestión de riesgos de tecnología.
  • 39. www.isaca.org 39 39Pag.39 Ejecutar auditoría • Reunión de inicio • Comunicación durante la auditoría • Roles y responsabilidades • Recolectar y verificar información • Documentar hallazgos • Preparar conclusiones de la auditoría • Reunión de cierre Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
  • 40. www.isaca.org 40 40Pag.40 Preparar aprobar y distribuir informe de auditoría • Preparar reporte de auditoría • Aprobación • Distribución Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
  • 41. www.isaca.org 41 41Pag.41 Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
  • 43. www.isaca.org 43 43Pag.43 Técnicas utilizadas y resultados esperados • Revisión documental. • Entrevista. • Observación directa. • Cuestionario. • Muestreo.
  • 47. www.isaca.org 47 47 International Conference 2010 Cancún, México 6 al 9 de Junio de 2010 Te esperamos!