9
2011-November 1 ISACA Valencia - V Congress 7 Criterios de la Información Cumplimiento. Confiabilidad. L11P1. ENSP1p1 Efectividad. Eficacia. L11P1. ENSPag 1. Eficiencia. L11P2, ENSArt28 y 4.6.2 Confidencialidad. L11A1, A6, A31, … ENSP1 Integridad. L11P5, ENSP1 Disponibilidad. L11P3, ENSP!

ISACA Habla del ENS

Embed Size (px)

Citation preview

Page 1: ISACA Habla del ENS

2011-November 1ISACA Valencia - V Congress

7 Criterios de la Información

� Cumplimiento.

� Confiabilidad. L11P1. ENSP1p1

� Efectividad. Eficacia. L11P1. ENSPag 1.

� Eficiencia. L11P2, ENSArt28 y 4.6.2

� Confidencialidad. L11A1, A6, A31, … ENSP1

� Integridad. L11P5, ENSP1

� Disponibilidad. L11P3, ENSP!

Page 2: ISACA Habla del ENS

2011-November 2ISACA Valencia - V Congress

ISACA habla de la L11 o ENS (1)

� Evaluar y Administrar los Riesgos de TI

Efe

ctiv

idad

Efic

ienci

aC

onfid

enc

ialid

ad

Inte

grida

dD

ispo

nib

ilidad

Cum

plim

iento

Conf

iabili

dad

S S P P P S S

PO9PO9PO9PO9.4 .4 .4 .4 EvaluaEvaluaEvaluaEvaluación de Rción de Rción de Rción de Riesgosiesgosiesgosiesgos de TI de TI de TI de TI Evaluar de forma recurrente la probabilidad e impacto de todos los riesgos identificados, usando métodos cualitativos y cuantitativos. La probabil idad e impacto asociados a los riesgos inherentes y residuales se debe determinar de forma individual, por categoría y con base en el portafolio.

5 Optimizado 5 Optimizado 5 Optimizado 5 Optimizado cuando La administración de riesgos ha evolucionado al nivel en que un proceso estructurado está implantado en toda la organización y es bien administrado. Las buenas prácticas se aplican en toda la organización. La captura, análisis y reporte de los datos de administración de riesgos están altamente automatizados. La orientación se toma de los líderes en el campo y la organización de TI participa en grupos de interés para intercambiar experiencias. La administración de riesgos está altamente integrada en todo el negocio y en las operaciones de TI, está bien aceptada, y abarca a los usuarios de servicios de TI. La dirección detecta y actúa cuando se toman decisiones grandes de inversión o de operación de TI, sin considerar el plan de administración de riesgos. La dirección evalúa las estrategias de mitigación de riesgos de manera continua.

Page 3: ISACA Habla del ENS

2011-November 3ISACA Valencia - V Congress

ISACA habla de la L11 o ENS (2)

� Identificar Soluciones automatizadasLa necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades, considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión final de “desarrollar” o “comprar”. Todos estos pasos permiten a las organizaciones minimizar el costo para Adquirir e Implementar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del negocio.

AIAIAIAI1.1 1.1 1.1 1.1 Definición y Definición y Definición y Definición y MMMMantenimiento de los antenimiento de los antenimiento de los antenimiento de los RRRRequerimientos equerimientos equerimientos equerimientos TTTTécnicos y écnicos y écnicos y écnicos y FFFFuncionales del uncionales del uncionales del uncionales del NNNNegocioegocioegocioegocio Identificar, dar prioridades, especificar y acordar los requerimientos de negocio funcionales y técnicos que cubran el alcance completo de todas las iniciativas requeridas para lograr los resultados esperados de los programas de inversión en TI.

DesdeDesdeDesdeDesde EntradasEntradasEntradasEntradas PO1 Planes estratégicos y tácticos de TI

PO3 Actualizaciones periódicas del “estado de la tecnología”; estándares tecnológicos

PO8 Estándares de adquisición y desarrollo

PO10 Directrices de administración del proyecto y planes detallados del proyecto

AI6 Descripción del proceso de cambio

DS1 SLAs

DS3 Plan de desempeño y capacidad (requerimientos)

• Definir cómo los requerimientos funcionales y de control del negocio se traducen a soluciones automatizadas efectivas y eficientes

• Responder a los requerimientos de negocio de acuerdo con la estrategia del

negocio

• Identificar soluciones que satisfagan los requerimientos del usuario

• Identificar soluciones que sean técnicamente factibles y rentables

• Tomar la decisión de “comprar vs. desarrollar” que optimice el valor y

minimice el riesgo

• Definir los requerimientos técnicos y de negocio

• Realizar estudios de factibilidad como se define en los estándares de desarrollo

• Considerar los requerimientos de seguridad y control desde el principio

• Aprobar (o rechazar) los requerimientos y

los resultados del estudio de factibilidad

• % de proyectos en el plan anual de TI sujetos a un estudio de factibilidad

• % de estudios de factibilidad autorizados

por el dueño del proceso de negocio

• % de interesados satisfechos con la precisión del estudio de factibilidad

• Grado en que la definición de los beneficios cambia desde el estudio de factibilidad hasta la implantación

• % del portafolio aplicativo que no es consistente con la arquitectura

• % de estudios de factibilidad entregados

a tiempo y en presupuesto

• # de proyectos donde los beneficios establecidos no se lograron debido a suposiciones incorrectas de factibilidad

• % de usuarios satisfechos con la

funcionalidad recibida

Page 4: ISACA Habla del ENS

2011-November 4ISACA Valencia - V Congress

ISACA habla de la L11 o ENS (3)

� Garantizar la Continuidad del ServicioControl sobre el proceso TI deControl sobre el proceso TI deControl sobre el proceso TI deControl sobre el proceso TI de

Garantizar la continuidad del servicio

Que satisface el Que satisface el Que satisface el Que satisface el requerimientorequerimientorequerimientorequerimiento del negocio de TI para del negocio de TI para del negocio de TI para del negocio de TI para

Asegurar el mínimo impacto al negocio en caso de una interrupción de servicios de TI

Enfocándose en Enfocándose en Enfocándose en Enfocándose en

El desarrollo de resistencia (resilience) en las soluciones automatizadas y desarrollando, manteniendo y probando

los planes de continuidad de TI

Se logra con Se logra con Se logra con Se logra con

• Desarrollando y manteniendo (mejorando) los planes de contingencia de TI

• Con entrenamiento y pruebas de los planes de contingencia de TI

• Guardando copias de los planes de contingencia y de los datos fuera de las instalaciones

Y se mide con Y se mide con Y se mide con Y se mide con

• Número de horas perdidas por usuario por mes, debidas a interrupciones no planeadas

• Número de procesos críticos de negocio que dependen de TI, que no están cubiertos por un plan de continuidad

DS4.9 Almacenamiento de DS4.9 Almacenamiento de DS4.9 Almacenamiento de DS4.9 Almacenamiento de RRRRespaldos espaldos espaldos espaldos FFFFuera de las uera de las uera de las uera de las IIIInstalacionesnstalacionesnstalacionesnstalaciones Almacenar fuera de las instalaciones todos los medios de respaldo, documentación y otros recursos de TI críticos, necesarios para la recuperación de TI y para los planes de continuidad del negocio. El contenido de los respaldos a almacenar debe determinarse en conjunto entre los responsables de los procesos de negocio y el personal de TI. La administración del sitio de almacenamiento externo a las instalaciones, debe apegarse a la política de clasificación de datos y a las prácticas de almacenamiento de datos de la empresa. La gerencia de TI debe asegurar que los acuerdos con sitios externos sean evaluados periódicamente, al menos una vez por año, respecto al contenido, a la protección ambiental y a la seguridad. Asegurarse de la compatibilidad del hardware y del software para poder recuperar los datos archivados y periódicamente probar y renovar los datos archivados.

SalidasSalidasSalidasSalidas HaciaHaciaHaciaHacia

Resultados de las prueba de contingencia

PO9

Criticidad de puntos de configuración de TI

DS9

Plan de almacenamiento de respaldos y de protección

DS11 DS13

Umbrales de incidente/desastre DS8

Requerimientos de servicios contra desastres incluyendo roles y responsabilidades

DS1 DS2

Reportes de desempeño de los procesos

ME1

Page 5: ISACA Habla del ENS

2011-November 5ISACA Valencia - V Congress

ISACA habla de la L11 o ENS (4)

� Garantizar el Cumplimiento Regulatorio

Control sobre el proceso TI deControl sobre el proceso TI deControl sobre el proceso TI deControl sobre el proceso TI de

Garantizar el cumplimiento regulatorio

Que satisface el Que satisface el Que satisface el Que satisface el requerimientorequerimientorequerimientorequerimiento del negocio de TI para del negocio de TI para del negocio de TI para del negocio de TI para

Cumplir las leyes y regulaciones

Enfocándose en Enfocándose en Enfocándose en Enfocándose en

La identificación de todas las leyes y regulaciones aplicables y el nivel correspondiente de cumplimiento de TI y la optimización de los procesos de TI para reducir el riesgo de no cumplimiento

Se logra con Se logra con Se logra con Se logra con

• La identificación de los requisitos legales y regulatorios relacionados con TI

• La evaluación del impacto de los requisitos regulatorios

• El monitoreo y reporte del cumplimiento de los requisitos regulatorios

Y se mide con Y se mide con Y se mide con Y se mide con

• El costo del no cumplimiento de TI, incluyendo arreglos y multas

• Tiempo promedio de demora entre la identificación de los problemas externos de cumplimiento y su resolución

• Frecuencia de revisiones de cumplimiento

Page 6: ISACA Habla del ENS

2011-November 6ISACA Valencia - V Congress

Principio de Seguridad

� De obligado cumplimiento para las AAPP

� En la empresa privada tenemos la ISO27000, opcional.

� Implantar las mejores practicas de Seguridad no garantiza que no se padezcan incidentes, asegura saber que sucede, porque y lo mas importante estar capacitado a recuperarse en tiempo

Invertir en SEGURIDAD es SOBREVIVIR

Page 7: ISACA Habla del ENS

2011-November 7ISACA Valencia - V Congress

Hemos hablado de ENS pero…

� de ISACA

� De COBIT

– Un proceso de los 4 dominios de un total de 34 procesos

– Pag1. Descripción del proceso, criterios, dominio, áreas de enfoque, recursos

– Pag2. Objetivos de Control. 210 Controles.

– Pag3. Entradas y Salidas, RACI, Metas y Métricas

– Pag4. Modelo de Madurez

� Pero además CISA, CISM, CGEIT, CRISC

Page 8: ISACA Habla del ENS

2011-November 8ISACA Valencia - V Congress

Grupos de Trabajo

� Grupo de Trabajo ENS

– Revisión del RD y Ley11

– Revisión de guías

– Figura del Auditor, Figura del CPO

Antonio Villalón S2 GrupoAlejandro Salom Sindicatura

Renato Aquilino CesserElisabeth Iglesias Audedatos

Roberto Soriano ISACA ValenciaDavid Simó Hospitales Nisa

Oscar Padial Reina SofíaJosé Ignacio Ortolá Florida Uni

Fidel Santiago AVSJuan Miguel Signes AVS

Page 9: ISACA Habla del ENS

GRACIAS

Roberto Soriano

ISACA Valencia

[email protected]

@isacavalencia @rosodo

/company/isaca-valencia /in/robertosoriano

/isacavalencia /robertosoriano


1.3 ESTÁNDARES Y DIRECTRICES DE ASEGURAMIENTO Y AUDITORÍA DE TI DE ISACA

1.3 ESTÁNDARES Y DIRECTRICES DE ASEGURAMIENTO Y AUDITORÍA DE TI DE ISACA

Documents
Presentación isaca prezi

Presentación isaca prezi

Education
ISACA – Buenos Aires Chapter – ISACA - Presentación de … · 2020. 10. 14. · El logo de ISACA IBEROAMERICA es una marca de ISACA, objeto de uso bajo licencia El logotipo de

ISACA – Buenos Aires Chapter – ISACA - Presentación de … · 2020. 10. 14. · El logo de ISACA IBEROAMERICA es una marca de ISACA, objeto de uso bajo licencia El logotipo de

Documents
©Copyright 2013 ISACA. Todos los derechos reservados. Confianza y valor de los sistemas de información ISACA ®

©Copyright 2013 ISACA. Todos los derechos reservados. Confianza y valor de los sistemas de información ISACA ®

Documents
Presentado por Traducción al Español Cortesía de ISACA Capítulo de Panamá

Presentado por Traducción al Español Cortesía de ISACA Capítulo de Panamá

Documents
WmContentFile 1112464174800 CTX Isaca

WmContentFile 1112464174800 CTX Isaca

Documents
Implementación efectiva de un SGSI ISO 27001 - Isaca

Implementación efectiva de un SGSI ISO 27001 - Isaca

Documents
ISACA ISSA Presentation

ISACA ISSA Presentation

Documents
COBIT 5 Habilitando el cambio - isaca. · PDF fileConfianza y Valor en los sistemas de información Síganos IX CONGRESO ISACA COSTA RICA 2016 ... •Recompensa y reconocimiento. •Medición

COBIT 5 Habilitando el cambio - isaca. · PDF fileConfianza y Valor en los sistemas de información Síganos IX CONGRESO ISACA COSTA RICA 2016 ... •Recompensa y reconocimiento. •Medición

Documents
Isaca presentation

Isaca presentation

Internet
ISACA oferta formativa

ISACA oferta formativa

Documents
Simposio ISACA · Puerto Rico 2018 · 2018. 12. 7. · Simposio ISACA · Puerto Rico 2018. 02 ISACA PUERTO RICO CHAPTER APOCALIPSIS CIBERNÉTICO: LA MADRE DE TODAS LAS BATALLAS DICE

Simposio ISACA · Puerto Rico 2018 · 2018. 12. 7. · Simposio ISACA · Puerto Rico 2018. 02 ISACA PUERTO RICO CHAPTER APOCALIPSIS CIBERNÉTICO: LA MADRE DE TODAS LAS BATALLAS DICE

Documents
Gobierno de la Información - E-GISART, ISACA Buenos Aires Chapter

Gobierno de la Información - E-GISART, ISACA Buenos Aires Chapter

Presentations & Public Speaking
Jornada ISACA-CV: Web 2.0 / Redes sociales (3 de 3)

Jornada ISACA-CV: Web 2.0 / Redes sociales (3 de 3)

Technology
ISACA Valencia  · 2019-09-03 · Sobre ISACA Con casi 140.000 miembros en 180 países, la Information Systems Audit and Control Association (ISACA) es un líder global que provee

ISACA Valencia  · 2019-09-03 · Sobre ISACA Con casi 140.000 miembros en 180 países, la Information Systems Audit and Control Association (ISACA) es un líder global que provee

Documents
Jornada ISACA-CV: Software libre (2 de 3)

Jornada ISACA-CV: Software libre (2 de 3)

Technology
UNIVERSIDAD DE ORIENTE · 2016. 7. 21. · parte de la Junta de Directores de ISACA o del comité apropiado de ISACA y, en última instancia, en sanciones disciplinarias. Los Estándares

UNIVERSIDAD DE ORIENTE · 2016. 7. 21. · parte de la Junta de Directores de ISACA o del comité apropiado de ISACA y, en última instancia, en sanciones disciplinarias. Los Estándares

Documents
BROCHURE I UNT ISACA FULL DAY

BROCHURE I UNT ISACA FULL DAY

Documents
CIGRAS2012 (ISACA Montevideo) Seguridad y Negocio

CIGRAS2012 (ISACA Montevideo) Seguridad y Negocio

Presentations & Public Speaking
Certificaciones Internacionales ISACA 07Sep2016 JSR

Certificaciones Internacionales ISACA 07Sep2016 JSR

Documents
Responsabilidad Penal Corporativa - Programa de Prevención de Delitos - IT Compliance Plan - ISACA

Responsabilidad Penal Corporativa - Programa de Prevención de Delitos - IT Compliance Plan - ISACA

Documents
AUDITORÍA DE SEGURIDAD WEB - ISACA VALENCIA

AUDITORÍA DE SEGURIDAD WEB - ISACA VALENCIA

Documents
ISACA ISO 27K Presentation

ISACA ISO 27K Presentation

Documents
Isaca Auditora de Riesgos de It v2

Isaca Auditora de Riesgos de It v2

Documents
Què ens diu i què no ens diu la FQQuè ens diu i què no ens ...21/01/2019 1 Què ens diu i què no ens diu la FQQuè ens diu i què no ens diu la FQ Lluís Ametller Deppgyartament

Què ens diu i què no ens diu la FQQuè ens diu i què no ens ...21/01/2019 1 Què ens diu i què no ens diu la FQQuè ens diu i què no ens diu la FQ Lluís Ametller Deppgyartament

Documents
Viii congreso isaca 2015 grc

Viii congreso isaca 2015 grc

Business
Isaca ws-bcn-130604

Isaca ws-bcn-130604

Technology
Isaca Final Impresion

Isaca Final Impresion

Documents
Webinar ISACA Chalico

Webinar ISACA Chalico

Documents
TITULO DE LA PONENCIA Subtitulo · 2018-11-27 · ISACA Valencia - 2012 / 2013 13/04/2012 3 / TOTAL DIAPOS Oyente Independiente Informar Auditoría / Auditor . ISACA Valencia - 2012

TITULO DE LA PONENCIA Subtitulo · 2018-11-27 · ISACA Valencia - 2012 / 2013 13/04/2012 3 / TOTAL DIAPOS Oyente Independiente Informar Auditoría / Auditor . ISACA Valencia - 2012

Documents