Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 140 vistas

    Iso 31000 - 27035

    Cargado por

    LucitaCastillo
    La norma ISO 31000 establece los principios y el marco de trabajo para la gestión de riesgos. La norma ISO 27035 se enfoca en la gestión de incidentes de seguridad de la información. Ambas normas ayudan a las organizaciones a identificar, evaluar y responder a los riesgos y incidentes para proteger sus activos y cumplir con los objetivos.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Iso 31000 - 27035

    Cargado por

    LucitaCastillo
    140 vistas5 páginas
    La norma ISO 31000 establece los principios y el marco de trabajo para la gestión de riesgos. La norma ISO 27035 se enfoca en la gestión de incidentes de seguridad de la información. Ambas normas ayudan a las organizaciones a identificar, evaluar y responder a los riesgos y incidentes para proteger sus activos y cumplir con los objetivos.

    Descripción original:

    norma iso 31000

    Título original

    ISO 31000 - 27035

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    La norma ISO 31000 establece los principios y el marco de trabajo para la gestión de riesgos. La norma ISO 27035 se enfoca en la gestión de incidentes de seguridad de la información. Ambas normas ayudan a las organizaciones a identificar, evaluar y responder a los riesgos y incidentes para proteger sus activos y cumplir con los objetivos.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    140 vistas5 páginas

    Iso 31000 - 27035

    Cargado por

    LucitaCastillo
    La norma ISO 31000 establece los principios y el marco de trabajo para la gestión de riesgos. La norma ISO 27035 se enfoca en la gestión de incidentes de seguridad de la información. Ambas normas ayudan a las organizaciones a identificar, evaluar y responder a los riesgos y incidentes para proteger sus activos y cumplir con los objetivos.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    de 5

    ISO 3100 – GESTION DE RIESGO

    Riesgo: Es todo aquel efecto que puede llegar a impactar directamente el logro de
    nuestros objetivos, como por ejemplo un daño de reputación de la empresa,
    incumplimientos legales, perdidas de información o económicas entre otros.

    Para poder gestionar estos riegos, se creó el primer estándar internacional de gestión
    de riesgo que se formalizo mediante la norma ISO 31000 que promueve una dirección
    para que las compañías integren la toma de decisiones basada en el riesgo en cada una
    de sus etapas desde: La planeación, operación, control, seguimiento y medición en todos
    los niveles de la organización

    ESTRUCTURA DEL ISO 31000


    La norma ISO 31000 está estructurada en 3 elementos claves para una adecuada gestión
    de riesgos, estos son: PRINCIPIOS, MARCO DE TRABAJO Y PROCESO PARA LA GESTION
    DE RIESGOS

    Principios Para La Gestión De Riesgos


    Para q la gestión de riesgo sea eficaz la organización debe cumplir con los siguientes
    principios en todos los niveles:
     Deber ser parte integral de los diferentes procesos
     Debe contar con su propia estructura
     Debe adaptarse al contexto específico de la organización
     Debe promover la participación de todas las partes de la organización
     Debe responder a los cambios de riesgos de manera apropiada y oportuna
     La información debe ser clara y disponible para las partes de la organización
     Los factores humano y cultural deben ser considerados por el proceso de
    gestión de riesgos
     El proceso de gestión de riesgos debe mostrar mejora en el tiempo, en eficacia
    y eficiencia
    Marco De Trabajo Para La Gestión De Riesgo
    Brinda las bases en todos los niveles de la organización, relaciona los
    componentes del marco de trabajo para la gestión de riesgos, estos son:
     Compromiso de la dirección: requiere de un compromiso sostenido por parte de
    la dirección de la organización para garantizar su eficacia continua
     Diseño del marco para la gestión del riesgo: es evaluar y entender el contexto
    tanto externo como interno de la organización
     Implementación de la gestión de riesgo: Implica planificar y disponer de los
    recursos adecuados
     Seguimiento y revisión del marco: garantiza que la gestión de riesgo sea eficaz
     Mejora continua del marco de trabajo: con base en los resultados del
    seguimiento y revisión se toma decisiones sobre posibles mejoras en la
    organización.

    Proceso Para La Gestión De Riesgo


    Es la parte integral de la gestión y de la toma de decisión dentro de la organización, los
    pasos son:
     La comunicación y consulta: Deben llevarse a cabo en todas las etapas del
    proceso para comprender el riesgo y las bases con la que se toman las decisiones
     Establecimiento del contexto: El entorno externo (social, político y cultural) e
    interno (estrategias y objetivos) deben ser considerados antes de identificar la
    serie de riesgos estableciendo así el alcance y los criterios para el resto del
    proceso.
     Evaluación del riesgo
    -Identificación de riesgos: genera una lista de riesgos que puede
    aumentar, prevenir, degradar, acelerar o retrasar el logro los objetivos
    -Análisis de los riesgos: involucra las causas y consecuencias positivas y
    negativas
    -Valoración de los riesgos: facilita la toma de decisiones basada en los
    resultados del análisis
     Tratamiento de los riesgos: involucra la selección de una o más opciones para
    modificar los riesgos y la implementación de las mismas.
     Monitoreo y revisión: comprende todos los procesos para la gestión del riesgo
    con el fin de garantizar, obtener información, mejorar la valoración del riesgo,
    analizar y detectar cambios en el contexto externo e interno.
    IMPLEMENTACIÓN DE LA GESTIÓN DE RIEGOS EN LA ORGANIZACIÓN

     Asegurar el compromiso por parte de la alta dirección en la gestión de riesgos,


    adoptarla en cada uno de los procesos de la organización
     Revisar, apoyar y fomentar una cultura de gestión de los riesgos.
     Verificar los objetivos estratégicos de la organización e identificar todos aquellos
    riesgos que de presentarse nos podrían impedir alcanzarlos.
     Trabajar en equipo, cada parte de la organización conozca su rol a tomar en caso
    de presenten dichos eventos.
     Planificar todas aquellas actividades para disminuir los riesgos.

    BENEFICIOS DE IMPLEMENTAR LA GESTIÓN DE RIESGOS:

     Desarrollar una estrategia para identificar y disminuir los riesgos a fin de alcanzar
    los objetivos y asegurar los activos principales de la empresa.
     Al implementar la ISO las organizaciones pueden ver las oportunidades q se
    pueden llegar a presentar cuando se gestionan los riesgos y analizar los efectos
    negativos de llegarse a presentar dicho efecto.
     Es un apoyo para que la organización mejore sus directrices y eventualmente su
    desempeño.
     Desarrollar una cultura de enfoque al riesgo, en donde los colaboradores y partes
    interesadas estén conscientes de la importancia de monitorear y manejar los
    riesgos.
    ISO 27035 - GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

    ¿Qué son los incidentes de seguridad de la información?


    Por lo general, las políticas de seguridad de la información o los controles por sí solos no
    garantizaran una protección total para la información, sistemas de información,
    servicios o redes.

    GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN


    Los controles de la seguridad de la información no son perfectos debido a que pueden
    fallar, pueden trabajar solo parcialmente o incluso, a veces, están ausentes, es decir, no
    están en funcionamiento. Debido a esto, los incidentes pasan debido que los controles
    preventivos no son totalmente eficaces o fiables.

    ESTRUCTURA DE LA GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

    ENFOQUE ESTRUCTURAL
     Identificar, comunicar y evaluar los incidentes de la seguridad de la información
     Contestar, gestionar los incidentes de la seguridad de la información
     Identificar, examinar y gestionar las vulnerabilidades de seguridad de la
    información
     Aumentar la mejora de la continuidad de la seguridad de la información y de la
    gestión de los incidentes, como respuesta a la gestión de incidentes de la
    seguridad de la información y de las vulnerabilidades

    ETAPAS CLAVES
     Preparase para enfrentarse a los incidentes.
     Reconocer los incidentes de seguridad de la información.
     Examinar los incidentes y tomar las decisiones sobre la forma en que se han
    llevado a cabo las cosas.
     Dar respuesta a los incidentes, lo que quiere decir, investigarlos y resolverlos.
     Aprender de las lecciones.
    BENEFICIOS
    Aporta información para la organización y gestión de las actividades de respuesta ante
    incidentes de seguridad de la información en la organización, brindando un enfoque
    global y basado en las mejores prácticas.

     Cumplimiento El primer beneficio, sobre cualquiera de los que posteriormente


    se van a comentar, es el cumplimiento de los aspectos relacionados con la
    información, como es la protección o seguridad de los datos, la privacidad o el
    control de la tecnología de la información (TI).
     Ventaja competitiva Evidentemente, disponer de un sistema de gestión de
    seguridad de la información conforme a la norma ISO 27035 es una llave de oro
    que abre nuevos mercados y clientes. Esto es, le ofrece a la empresa una gran
    ventaja competitiva, con mayor éxito en aquellas organizaciones que disponen
    o manejan información altamente sensible.
     Descenso de los gastos por incidentes de seguridad En este caso, se trata de un
    beneficio que supone una de las primeras preocupaciones que tienen los
    directivos a la hora de afrontar la implementación de la norma ISO 27035.
     Organización En cuanto a la organización, la norma ISO 27035 favorece el
    establecimiento y la asignación de roles, responsabilidades y obligaciones, ya
    que obliga a definirlos para su funcionamiento y buen desempeño.

    También podría gustarte