Desarrollo Del Profesional de Seguridad

ISO 31000:2018
www.consultoresauditores.com
ISO
22301
SGCN GESTOR INTEGRAL DE
ISO LA SEGURIDAD
37001
SGAS
ISO
18788
SGOS
SECURITY ISO/IEC
29100
Protección
Vísión propial IIP
Ing. Miller Romero ISO/IEC
27032
Ciber RESPETAR
Security
ISO/IEC
27001
SGSI RESARCIR
ISO
28000
SGSCS
ISO www.consultoresauditores.com CUMPLIR
31000
Risk
Manager
PROTEGER
ISO 14001:2004
“SISTEMAS DE GESTION DE AMBIENTAL”
ANTECEDENTES GESTION DE RIESGOS SG
sistema de gestión ambiental SGA
parte del sistema de gestión de una organización, empleada para desarrollar e implementar su política ambiental y gestionar sus aspectos
ambientales
MEDIO AMBIENTE
entorno en el cual una organización opera, incluidos el aire, el
agua, el suelo, los recursos naturales, la flora, la fauna, los
seres humanos y sus interrelaciones.
ASPECTO AMBIENTAL
elemento de las actividades, productos o servicios de una
organización que puede interactuar con el medio ambiente.
IMPACTO AMBIENTAL
cualquier cambio en el medio ambiente, ya sea adverso o
beneficioso, como resultado total o parcial de los aspectos
ambientales de una organización.
Ing. Miller A. Romero C. / ceo@consultoresauditores.com

ISO 14001:2004
ANTECEDENTES GESTION DE RIESGOS SG
4.3 PLANIFICACIÓN
4.3.1 Aspectos ambientales
a) identificar los aspectos ambientales

b) determinar aquellos aspectos que tienen o pueden tener
impactos significativo sobre el medio ambiente (es decir,
aspectos ambientales significativos).
La organización debe asegurarse de que los

aspectos ambientales significativos se tengan en
cuenta en el establecimiento, implementación y
mantenimiento de su sistema de gestión ambiental.

ISO 14001:2004
ASPECTOS AMBIENTALES ANTECEDENTES GESTION DE RIESGOS SG
Consumo de gas
Consumo de combustible
Consumo de materiales eléctricos y electrónicos
Consumo de solventes y pinturas
Consumo de material de limpieza
Consumo de papel
Generación de aguas residuales y agentes orgánicos
Generación de residuos urbanos
Generación de envases contaminantes con reactivos químicos.
Generación de estopas y materiales impregnados con
solventes y pinturas
Uso de agroquímicos y pesticidas
Residuos biológicos infecciosos
Generación de polvos
Generación de gases contaminantes
Generación de malos olores
Afectación a la flora
Daño físico a la fauna
Daño en la salud de las personas
ISO 28000:2007
“SISTEMAS DE GESTION PARA LA SEGURIDAD DE
LA CADENA DE SUMINISTRO”
Esta norma internacional está basada en el formato ISO adoptado por ISO 14001:2004 debido a su
enfoque de sistema de gestión basado en el riesgo.
AMENAZA Y RIESGO
Gestión de la seguridad
Actividades y prácticas sistemáticas y coordinadas por

medio de las cuales una organización maneja de manera
óptima sus riesgos y las amenazas e impactos
potenciales asociados derivados de ellos.
Riesgo: Probabilidad de materialización de una amenaza

a la seguridad y sus consecuencias

ISO 28000:2007
4.1. Requisitos Generales
La organización debe establecer,

documentar, implementar, mantener y
mejorar continuamente un sistema de
gestión de la seguridad eficaz para
identificar las amenazas de la
seguridad, valorar los riesgos y
controlar y mitigar sus
consecuencias.

ISO 28000:2007
4.3 Valoración del Riesgo de Seguridad y Planeación
4.3.1 Valoración del riesgo de seguridad
• Amenazas y riesgos de fallas físicas
• Amenazas y riesgos operacionales,
• Eventos ambientales naturales (tormenta, inundación, etc.),

que pueden hacer que las medidas y equipos de seguridad
resulten ineficaces.
ENTRADAS
• Factores ajenos al control de la organización
• Amenazas y riesgos de las partes interesadas, • Los Objetivos y metas de la gestión de la seguridad
• Los Programas de gestión de la seguridad
• Diseño e instalación del equipo de seguridad • La determinación de requisitos para el diseño,
especificación e instalación
• La Identificación de recursos adecuados, incluyendo
• gestión de datos e información y comunicaciones los niveles de contratación de personal
• La Identificación de necesidades de formación y
• Una amenaza a la continuidad de las operaciones habilidades
• El Desarrollo de controles operacionales
• La estructura general de gestión de amenazas y de
riesgos de la organización
ANEXO SL:2012
“ESTRUCTURA DE ALTO NIVEL ISO”
3.09 riesgo:
Efecto de la incertidumbre.
combinación de las consecuencias de

un evento y la “probabilidad” (según
se define en la Guía ISO 73:2009,
3.6.1.1) de que ocurra.

ANEXO SL:2012
“ESTRUCTURA DE ALTO NIVEL ISO”
6 PLANIFICACIÓN
6.1 Acciones para hacer frente a riesgos y oportunidades
Al planificar el sistema de gestión XXX, la organización debe considerar las
cuestiones referidas en el apartado 4.1 y los requisitos referidos en el apartado
4.2, y determinar los riesgos y oportunidades que es necesario abordar con el
fin de:
– asegurar que el sistema de gestión XXX pueda lograr sus resultados

previstos;
– prevenir o reducir efectos indeseados;
– lograr la mejora continua.
La organización debe planificar:
a) las acciones para abordar estos riesgos y oportunidades;

b) la manera de:
– integrar e implementar las acciones en sus procesos del sistema de gestión
XXX;
– evaluar la eficacia de estas acciones.
ISO/IEC 27001:2013
“SISTEMAS DE GESTION DE SEGURIDAD DE LA
INFORMACIÓN”
“CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACION”
6.1.2 Valoración de riesgos de seguridad de

información
• criterios de aceptación de riesgos y valoración de

riesgos
• Asegurar resultados en la valoración de riesgos
• Valoración de riesgos SI (Identificar, analizar y

evaluar)
• identificar a los propietarios de los riesgos
• Priorizar riesgos (Evaluación)

ISO/IEC 27001:2013
INFORMACIÓN”
6.1.3 Información sobre el

tratamiento de riesgos de
seguridad
• Determinar todos los controles que sean

necesarios para poner en práctica la opción (s)
de tratamiento de riesgos de seguridad de
información elegido;
ANEXO A (Obligatorio) : 14 dominios, 35

objetivos de control y 114 controles
• producir una Declaración de aplicabilidad

• formular un plan de información sobre el
tratamiento de riesgos de seguridad

ISO/IEC 27001:2013
INFORMACIÓN”
6.2 Los objetivos de seguridad de la

información y la planificación para
alcanzarlos
• La organización debe establecer los objetivos

de seguridad de información en las funciones
y niveles pertinentes.
• Los objetivos de seguridad de información

deben tener en cuenta los requisitos de
seguridad de la información aplicables y los
resultados de la valoración del riesgo y el
tratamiento del riesgo.

ISO/IEC 27001:2013
INFORMACIÓN”
8.2 Valoración de riesgos de seguridad de información
• La organización debe llevar a cabo las valoraciónes de

riesgos de seguridad de la información a intervalos
planificados o cuando se propone o se producen cambios
significativos, teniendo en cuenta los criterios establecidos.
• La organización debe retener la información documentada

de los resultados de las valaoraciones de riesgos de
seguridad de la información.
8.3 Información sobre el tratamiento de riesgos de

seguridad
• La organización debe poner en práctica el plan de

tratamiento de riesgos de seguridad de la información.
ISO/IEC 27032:2012
“DIRECTRICES PARA LA CIBERSEGURIDAD”
La guía técnica provee controles para

abordar estos riesgos, incluyendo
controles para:
• prepararse para ataques de, por

ejemplo, malwares, malhechores
individuales u organizaciones
criminales en Internet
• detectar y monitorear ataques
• responder a los ataques

ISO/IEC 27032:2012
4.46
amenaza
causa potencial de un incidente no deseado,
que puede resultar en un perjuicio a un
sistema, individuo u organización
FUENTES DE RIESGO / AMENAZAS

4.52
• ingeniería social
• Hackers Vulnerabilidad
• software malignos (“malwares”)
debilidad de un activo o control que puede ser
• spyware
• otro software potencialmente no deseado aprovechada por una amenaza

ISO/IEC 27032:2012
ESTRATEGIA DE CIBERSEGURIDAD
Una amplia educación

para los consumidores y
empleados otorgando
CONFIANZA de cómo
identificar y abordar
riesgos específicos de
Ciberseguridad en la
organización, así como
en el Ciberespacio.

ISO/IEC 27032:2012
“Los riesgos en Ciberseguridad se pueden asociar con la pérdida de la privacidad”
11.2 Valoración y tratamiento de riesgos
• ISO 31000 principios y directrices genéricas sobre

la gestión de riesgos
• ISO/IEC 27005, provee directrices y procesos para

la gestión de riesgos de seguridad de la
información en una organización, apoyando en
particular los requisitos para un ISMS de acuerdo a
ISO/IEC 27001.
12 Controles de Ciberseguridad
12.1 Visión general
Una vez que se identifican los riesgos a la

Ciberseguridad y se bosquejan las directrices
apropiadas, se pueden seleccionar e implementar los
controles de Ciberseguridad

ISO/IEC 29100:2011
“MARCO PARA LA PRIVACIDAD”
Esta Norma Internacional proporciona un marco de alto nivel para la protección de la información de identificación personal
(IIP) dentro de los sistemas de tecnología de la información y la comunicación (TIC).
2.19
riesgo de privacidad
Efecto de la incertidumbre en la
privacidad
2.14
controles de privacidad
Medidas que tratan los riesgos de

privacidad al reducir su probabilidad o
sus consecuencias.
2.20
Valoración de riesgos de privacidad
proceso general de identificación de riesgos, análisis de riesgos y evaluación de riesgos con respecto al procesamiento de
información de identificación personal (IIP) (evaluación de impacto en la privacidad).

ISO/IEC 29100:2011
“MARCO PARA LA PRIVACIDAD”

ISO 18788:2015
“SISTEMAS DE GESTION PARA OPERACIONES DE
SEGURIDAD PRIVADA”
Ejecutar valoraciones del riesgo exhaustivas, internas y externas, asociadas con los riesgos para la protección, la
seguridad y los derechos humanos.
3.20 análisis del riesgo para los derechos “PROTEGER, RESPETAR Y RESARCIR”
humanos
Proceso para identificar, analizar, evaluar y

documentar los riesgos relacionados con los
derechos humanos y sus impactos, con el fin de
gestionar el riesgo y mitigar o prevenir los
impactos adversos en los derechos humanos y
las infracciones legales.
3.51 aceptación del riesgo (risk acceptance)
Decisión informada para tomar un riesgo

particular
3.54 valoración del riesgo (risk assessment)
Procesoglobal de identificación del riesgo (3.57), análisis del riesgo y evaluación del riesgo.

ISO 18788:2015
4.1.4 Mapeo y análisis de la cadena de suministro y

subcontratistas
La organización debe identificar y documentar su cadena de

suministro aguas arriba y aguas abajo, en particular el uso
de subcontratistas que pueden tener un impacto en el riesgo
y el potencial de ocasionar un evento indeseable o
disruptivo.
4.1.5 Definición de los criterios del riesgo
La organización debe definir y documentar los criterios

para evaluar la importancia del riesgo.
“IDENTIFICACIÓN DE LOS PUNTOS CRÍTICOS DE CONTROL (PCC)

DEL SGOS”
ISO 18788:2015
ISO/TC 292 “SEGURIDAD Y RESILIENCIA PARA LA SOCIEDAD”
Gestionar el riesgo para las

ISO
partes interesadas, al tiempo que 14001
también gestionan el riesgo para
ISO ISO
la organización 9001
ISO 31000 : 2018

22301
“ENFOQUE GESTION DE
RIESGOS POR CADENA DE
SUMINISTRO” ISO ISO 18788
ISO
28000 SGOS 37001
Establecer medidas contra sobornos,

ISO
ISO
45001
corrupción y delitos similares (SST) ISO
26000
27001
37001 – SARLAFT/SIPLAFT
COMPLIANCE ISO 19600:2014

ISO 18788:2015

ISO 37001:2016
“SISTEMAS DE GESTION ANTI-SOBORNO”
4.5 VALORACIÓN DEL RIESGO DE SOBORNO
• Identificar el riesgo de soborno que la

organización podría anticipar razonablemente
• Analizar, evaluar (priorizar) los riesgos de soborno

identificados
• Evaluar la idoneidad y eficacia de los controles

existentes de la organización para mitigar los
riesgos de soborno valorados.

ISO 37001:2016
“SISTEMAS DE GESTION ANTI-SOBORNO”
FUENTES Y RIESGOS DE SOBORNO
• soborno en los sectores público, privado y sin fines de lucro;

• soborno por parte de la organización;
• soborno por parte de personal de la organización que actúa en nombre
de la organización o para su beneficio
• soborno por parte de socios de negocios de la organización que actúan
en nombre de la organización o para su beneficio;
• soborno a la organización
• soborno del personal de la organización en relación con las actividades
de la organización SGAS ALCANCE A OTROS DELITOS
• soborno de los socios de negocios de la organización en relación con las
LA/FT
actividades de la organización COHECHO TRANSNACIONAL
CONTRABANDO
• soborno directo e indirecto (por ejemplo, un soborno ofrecido o aceptado ARMAS DE DESTRUCCION MASIVA
TRATA DE PERSONAS
por o a través de un tercero.
ETC…

ISO 22301:2012 (DIS 2018)
“SISTEMAS DE GESTION DE CONTINUIDAD DE
NEGOCIO”
Implementar y operar controles y medidas para la gestión global de los riesgos de continuidad
6 Planeación
6.1 Acciones para atender riesgos y oportunidades
• Asegurar que el sistema gerencial puede alcanzar sus
resultados intencionado
• Prevenir o reducir efectos indeseables
• Alcanzar mejoramiento continuo
La organización debe planificar

• Acciones para atender los riesgos y oportunidades
• Como poder integrar e implementar las acciones a los
procesos del SGC y Evaluar la efectividad de las acciones

ISO 22301:2012 (DIS 2018)
NEGOCIO”
8.2.3 valoración del riesgo

La organización debe establecer,
implementar y mantener un proceso
documentado de valoración del riesgo
que de manera sistemática identifique,
analice y evalué los riesgos de
eventos disruptivos para la
organización.

ISO 22301:2012 (DIS 2018)
NEGOCIO”
• Identificar riesgos de una interrupción a las actividades

priorizadas de la organización y procesos, sistemas de
información, personas, activos, outsourcing y otros
recursos que los apoyan
• Analizar sistemáticamente los riesgos
• Evaluar que interrupción relacionada con que riesgo

requiere tratamiento
• Identificar tratamientos conmensurables con objetivos de

recuperación y con la continuidad del negocio y en
concordancia con el apetito al riesgo de la organización.

ISO 22301:2012 (DIS 2018)
NEGOCIO”
8.3 Estrategia de continuidad del

negocio
8.3.1 Determinación y selección
Basadas en los resultados del análisis

de impacto (BIA) y de la valoración
del riesgo.

ISO
22301
SGCN GESTOR INTEGRAL DE
ISO LA SEGURIDAD
37001
SGAS
ISO
18788
SGOS
SECURITY ISO/IEC
29100
Protección
Vísión propial IIP
Ing. Miller Romero ISO/IEC
27032
Ciber RESPETAR
Security
ISO/IEC
27001
SGSI RESARCIR
ISO
28000
SGSCS
ISO www.consultoresauditores.com CUMPLIR
31000
Risk
Manager
PROTEGER
https://www.youtube.com/c/Consultoresauditores

Desarrollo Del Profesional de Seguridad

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Desarrollo Del Profesional de Seguridad

Hochgeladen von

Copyright:

Verfügbare Formate

ISO 31000:2018

sistema de gestión ambiental SGA

Ing. Miller A. Romero C. / ceo@consultoresauditores.com

a) identificar los aspectos ambientales

La organización debe asegurarse de que los

Ing. Miller A. Romero C. / ceo@consultoresauditores.com

Actividades y prácticas sistemáticas y coordinadas por

Riesgo: Probabilidad de materialización de una amenaza

Ing. Miller A. Romero C. / ceo@consultoresauditores.com

4.1. Requisitos Generales

La organización debe establecer,

Ing. Miller A. Romero C. / ceo@consultoresauditores.com

• Amenazas y riesgos de fallas físicas

• Amenazas y riesgos operacionales,

• Eventos ambientales naturales (tormenta, inundación, etc.),

combinación de las consecuencias de

Ing. Miller A. Romero C. / ceo@consultoresauditores.com

– asegurar que el sistema de gestión XXX pueda lograr sus resultados

La organización debe planificar:

a) las acciones para abordar estos riesgos y oportunidades;

“CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACION”

6.1.2 Valoración de riesgos de seguridad de

• criterios de aceptación de riesgos y valoración de

• Asegurar resultados en la valoración de riesgos

• Valoración de riesgos SI (Identificar, analizar y

• identificar a los propietarios de los riesgos

• Priorizar riesgos (Evaluación)

Ing. Miller A. Romero C. / ceo@consultoresauditores.com

6.1.3 Información sobre el

• Determinar todos los controles que sean

ANEXO A (Obligatorio) : 14 dominios, 35

• producir una Declaración de aplicabilidad

Ing. Miller A. Romero C. / ceo@consultoresauditores.com

6.2 Los objetivos de seguridad de la

• La organización debe establecer los objetivos

• Los objetivos de seguridad de información

Ing. Miller A. Romero C. / ceo@consultoresauditores.com

8.2 Valoración de riesgos de seguridad de información

• La organización debe llevar a cabo las valoraciónes de

• La organización debe retener la información documentada

8.3 Información sobre el tratamiento de riesgos de

• La organización debe poner en práctica el plan de

La guía técnica provee controles para

• prepararse para ataques de, por

• detectar y monitorear ataques

• responder a los ataques

Ing. Miller A. Romero C. / ceo@consultoresauditores.com

FUENTES DE RIESGO / AMENAZAS

Ing. Miller A. Romero C. / ceo@consultoresauditores.com

Una amplia educación

Ing. Miller A. Romero C. / ceo@consultoresauditores.com

“Los riesgos en Ciberseguridad se pueden asociar con la pérdida de la privacidad”

11.2 Valoración y tratamiento de riesgos

• ISO 31000 principios y directrices genéricas sobre

• ISO/IEC 27005, provee directrices y procesos para

Una vez que se identifican los riesgos a la

Ing. Miller A. Romero C. / ceo@consultoresauditores.com

Medidas que tratan los riesgos de

Ing. Miller A. Romero C. / ceo@consultoresauditores.com

Ing. Miller A. Romero C. / ceo@consultoresauditores.com

Proceso para identificar, analizar, evaluar y

3.51 aceptación del riesgo (risk acceptance)

Decisión informada para tomar un riesgo