Beruflich Dokumente
Kultur Dokumente
Mejoramiento Implementacin
contino del de la gestin de
marco de trabajo riesgos
Monitoreo y
revisin de marco
de trabajo
Valuacin de riesgos
Comunicacin y consultas
Identificacin de riesgos
Monitoreo y revisin
Anlisis de riesgos
Evaluacin de riesgos
Tratamiento de riesgos
1.1.5. BENEFICIOS
La correcta gestin del riesgo, hace que sus efectos se vean mitigados y
sus consecuencias no sean tan adversas como lo seran si el riesgo no se
gestionase.
De responsabilidad de producto.
De responsabilidad profesional.
De responsabilidad civil.
De propiedad comercial.
1.2.2. MEJORAR
Con determinada frecuencia los planes de gestin de riesgos deben
ser revisados para que no pierdan su adecuacin e idoneidad.
Las partes internas y externas pueden utilizar esta norma para evaluar la
capacidad que tiene la organizacin de cumplir los requisitos de seguridad
de informacin de la propia organizacin.
Requisitos legales
Requisitos contractuales
Requisitos regulatorios, etc.
Prlogo
Introduccin
Anexo B Abreviaturas
Bibliografa
Esta nueva norma es una oportunidad para que las organizaciones alineen su
direccin estratgica con su sistema de gestin de SST. Adems, se hace
mayor hincapi en mejorar el desempeo en materia de salud y seguridad en
el trabajo.
Enfoque principal
Compromiso De Alta Gerencia
Necesidad Para Demostrar Liderazgo
Participacin De Los Colaboradores
Desarrollo Y Operacin Como Un Sistema De Gestin
Identificacin Y Anlisis De Riesgos
Responsabilidad Con Los Trabajadores Bajo Control De La Empresa
Proveer Una Plataforma Para Mejora Continua
Integrar El Sistema De Gestin Como Parte Del Negocio
Necesidades Para Prevenir Enfermedades, (Incluyendo Agotamiento
Mental)
Necesidad De Reconocer Las Causas De La Enfermedad Inmediatas
(Accidentes O Epidemias)
Reconocer Las Enfermedades De Alta Exposicin (Radiacin, Cncer)
Estructura de la norma
mbito de aplicacin.
Referencias normativas.
Trminos y definiciones.
Planificacin en la prctica
Las acciones para cubrir riesgos y oportunidades deben ser:
Liderazgo en la prctica
Existe un compromiso de la direccin para garantizar:
Que los objetivos y polticas del SGCN son compatibles con la estrategia
de la organizacin y se integran a sus procesos de negocio.
La provisin de los recursos necesarios, orientando y apoyando a las
personas en la comunicacin de la importancia del sistema.
Que el sistema obtiene los resultados esperados y fomente el
mejoramiento continuo
Apoyo
Determinar y proporcionar los recursos necesarios.
Asegurar que las personas sean competentes, considerando la
educacin, formacin y experiencia, tomando acciones para que ellas
adquieran dicha competencia.
Toma de conciencia: conocer su rol durante los incidentes de
interrupcin y las consecuencias de su incumplimiento.
Determinar las comunicaciones internas y externas necesarias (qu,
cundo, a quin) garantizando la disponibilidad de los medios de
comunicacin.
Informacin documentada: respecto al desarrollo, actualizacin, control
(distribucin, almacenamiento, versiones), disponibilidad y proteccin
(acceso y modificacin).
Funcionamiento
Debe existir una planificacin, ejecucin y control de los procesos necesarios
para implementar las acciones definidas, cambios planificados e imprevistos
Anlisis de impacto:
Evaluacin de riesgo:
Evaluacin de desempeo
Realizar una evaluacin de procedimientos de continuidad:
Mejoramiento
Identificar las no conformidades, determinar las causas y tomar las
medidas necesarias para controlarlas y corregirlas.
Revisar la eficacia de las acciones correctivas establecidas.
Mantener evidencias.
Mejorar continuamente la idoneidad, adecuacin y eficacia del SGCN.
2.1 MAGERIT
Es la metodologa de anlisis y gestin de riesgos elaborada por el
Consejo Superior de Administracin Electrnica, como respuesta a la
percepcin de que la Administracin, y, en general, toda la sociedad,
dependen de forma creciente de las tecnologas de la informacin para el
cumplimiento de su misin.
Directos:
Indirectos:
Modelo de valor
Mapa de riesgos
Declaracin de aplicabilidad
Evaluacin de salvaguardas
Estado de riesgo
Informe de insuficiencias
Cumplimiento de normativa
2. Anlisis de riesgos
3. Gestin de riesgos
2.2 RISKPAC
Todas las metodologas que se desarrollan en la actualidad estn pensadas
para su aplicacin en herramientas. La primera de esta familia la desarroll
PROFILE ANLISIS CORPORATION, y la primera instalacin en cliente data
de 1984. Segn DATAPRO es el software ms vendido. Su enfoque es
metodologa cualitativa. Sus resultados son exportables a procesadores de
texto, bases de datos, hoja electrnica o sistemas grficos. Est estructurada
en tres niveles: Entorno, Procesador y Aplicaciones con 26 categoras de
riesgo en cada nivel. Tiene un Qu pasa si...? con un nivel de riesgo de
evaluacin subjetiva del 1 al 5 y ofrece una lista de contramedidas o
recomendaciones bsicas para ayudar al informe final o plan de acciones.
CARACTERISTICAS
Le brinda una visin general rpida de cmo est "listo para la auditora"
su archivo de gestin de riesgos.
2.3 OCTAVE
HISTORIA Y EVOLUCIN
OCTAVE apunta a dos aspectos diferentes: riesgos operativos y prcticas
de seguridad. La tecnologa es examinada en relacin a las prcticas de
seguridad, permitiendo a las compaas tomar decisiones de proteccin
de informacin basados en los riesgos de confidencialidad, integridad y
disponibilidad de los bienes relacionados a la informacin crtica.
Estos tres pasos dan lugar a otros 5 procesos para completar los 8
puntos de los que consta OCTAVE:
Gua de implementacin:
Fases:
Estos procesos interactan entre s y con los procesos de las otras reas
de conocimiento. Cada proceso puede implicar el esfuerzo de una o ms
personas, dependiendo de las necesidades del proyecto. Cada proceso
se ejecuta por lo menos una vez en cada proyecto y en una o ms fases
del proyecto, en caso de que el mismo est dividido en fases. Aunque los
procesos se presentan aqu como elementos diferenciados con interfaces
bien definidas, en la prctica se superponen e interactan de formas que
no se detallan aqu.
2.5. PRIMA
Prevencin de Riesgos Informticos con Metodologa Abierta.
2.5.1. OBJETIVOS
Establecer y mejorar un entramado de contramedidas que
garanticen que la probabilidad de que las amenazas se
materialicen en hechos (por falta de control) sea lo ms baja
posible o al menos quede reducida de una forma razonable en
costo beneficio.
2.5.2. PASOS PARA LA METODOLOGIA PRIMA
Identificacin de la informacin.
Inventario de entidades de informacin residente y operativa.
Inventario de programas, ficheros de datos, soporte de
informacin.
Identificacin de propietarios. Son los que necesitan para su
trabajo, usan o custodian la informacin.
Definicin de jerarquas de informacin. Suelen ser cuatro.
Definicin de la matriz de clasificacin. Consiste en definir las
polticas, estndares por tipos y jerarquas de informacin.
Confeccin de la matriz de clasificacin. Se relaciona cada
entidad de informacin con los elementos que se correlacin
(transaccin, ficheros, soportes, propietarios, jerarqua).
Realizacin del plan de acciones. Se confecciona el plan de
acciones.
Implantacin y mantenimiento. Se implanta el plan de
acciones y se mantiene actualizado.
2.5.3. CARACTERISTICAS
Cubrir las necesidades de los profesionales que desarrollan
cada uno de los proyectos necesarios de un plan de
seguridad.
Fcilmente adaptable a cualquier tipo de herramienta.
Posee cuestionarios de preguntas para la identificacin de
debilidades o faltas de controles.
Posee listas de ayuda para los usuarios menos
experimentados de debilidades, riesgos y contramedidas.
Permite fcilmente la generacin de informes finales.
Las listas de ayuda y los cuestionarios son abiertos.