Buenas Prácticas2

ESTÁNDARES Y NORMAS PARA LA GESTIÓN DE
RIESGOS DE TECNOLOGÍAS DE LA INFORMACIÓN

• ISO 31000:2009. Norma general para la Gestión de Riesgos. Dispone de principios y directrices
(Organización Internacional de Normalización).
• ISO/IEC 31010:2009. Proporciona una orientación sobre la técnicas de apreciación del riesgo.
• ISO/IEC 20000-1:2011. Refleja los requisitos del sistema de gestión de servicios.
• ISO/IEC 20000-2:2012. Orienta sobre la aplicación de sistemas de gestión de servicios.
• ISO 22301:2012. Se enfoca en la continuidad de negocio y requisitos.
• ISO/IEC 27000:2009. Proporciona información general y vocabulario sobre seguridad de la
información.
• ISO/IEC 27001:2005. Establece los requisitos para la gestión de la seguridad de la información.
• ISO/IEC 27002:2005. Ofrece información sobre las buenas prácticas de gestión de la seguridad
de la información.
• ISO/IEC 27005:2011. Trata la Gestión de Riesgos de la seguridad de la información.
BUENAS PRÁCTICAS PARA LA GESTIÓN RIESGOS
DE LAS TECNOLOGÍAS DE LA INFORMACÓN
• ITIL V3 (Information Technology Infraestructure Library o Biblioteca de
Infraestructura de Tecnologías de la Información) presenta un
estándar mundial para la gestión de servicios informáticos.
• Cobit 5. Proporciona un marco de trabajo que ayuda a las compañías a

alcanzar sus objetivos para el gobierno y la gestión de las Tecnologías
de la Información corporativas.
ISO 27002
El objetivo es que toda la organización conozca
los activos que posee:
Recursos de la información
TEXTOS PARA
Recursos de software
SEPARADORES
Activos físicos
Servicios
Clasificación de Activos
Un ítem de información no
Sensibilida
d
TEXTOS PARA
Criticidad necesariamente es invariable por
SEPARADORES
siempre y puede modificarse de
acuerdo a la Política propia de la
Organización.
ACTIVOS
Propietario
La norma ISO 27002 estabece que se deben justificar los
activos y que cuenten con un propietario.
Será necesario mantener un inventario de activos de
información.
Es aquella persona o entidad que tiene la responsabilidad
gerencial aprobada de controlar la producción, desarrollo,
mantenimiento, uso y seguridad de los activos de
información.
.
Realizar un inventario
Proteger la propiedad
Uso aceptable de los activos
Devolución de los activos

ISO 27005
ISO 31000
METODOLOGÍAS DE CUANTIFICACIÓN
• Es una metodología de análsis y gestión de

riesgos. Su función principal es evaluar cuánto
MAGERIT valor da una compañía en un proceso y cómo
protegerlo.
• Grupo de discusión sobre la gestión de riesgos.

DELPHI Cuestionarios riterativos y focalizados hasta
lograr un consenso.
MAGERIT
DELPHI
Tomado de: Cicero Comunicación

GESTIÓN DE RIESGOS EN LA GESTIÓN
DEL SERVICIO
ITSM: es un enfoque
estratégico para dar valor a un
negocio mediante soluciones
TI combinando personas,
procesos y tecnología. La idea
es conectar las TI con la Necesidades
estrategia de negocio.
La metotodología ITSM ha sido Servicios TI

utilizado en buenas prácticas
como ITIL.
ITIL: INFORMATION TECHNOLOGY
INFRAESTRUCTURE LIBRARY
Son prácticas estándar para mejorar la prestación de un servicio.
CICLO DE VIDA:
• Estrategia: La gestión es parte de la estrategia de la organización.
• Diseño: Principios y métodos para transformar objetivos estratégicos en
portafolios y servicios.
• Transición: para la implementación de nuevos servicios o mejora.
• Operación: mejores prácticas para la gestión rutinaria.
• Mejora Continua: se mantiene el valor ofrecido a los clientes con las etapas
anteriores.
COBIT 5
La optimización del riesgo pasa a ser un objetivo del gobierno, pasando
a un siguiente nivel respecto a la mitigación de riesgos.
Se concibe como: “Garantizar que los riesgos para el negocio
relacionados con TI no exceden el nivel aceptable establecido por la
dirección y que el impacto de los riesgos inherentes a TI que podrían
afectar al negocio son gestionados y que la probabilidad de potenciales
incumplimientos a leyes es minimizada”

Buenas Prácticas2

Cargado por

Copyright:

Formatos disponibles

Buenas Prácticas2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Buenas Prácticas2

Cargado por

Copyright:

Formatos disponibles

ESTÁNDARES Y NORMAS PARA LA GESTIÓN DE

RIESGOS DE TECNOLOGÍAS DE LA INFORMACIÓN

• Cobit 5. Proporciona un marco de trabajo que ayuda a las compañías a

Uso aceptable de los activos

Devolución de los activos

• Es una metodología de análsis y gestión de

• Grupo de discusión sobre la gestión de riesgos.

Tomado de: Cicero Comunicación

La metotodología ITSM ha sido Servicios TI

También podría gustarte