Upload File

©copyright 2013 isaca. todos los derechos reservados. el impacto adverso de un evento relacionado...

  • Home
  • Documents
  • ©Copyright 2013 ISACA. Todos los derechos reservados. El impacto adverso de un evento relacionado con la seguridad puede describirse en términos de la
10
©Copyright 2013 ISACA. Todos los derechos reservados. •El impacto adverso de un evento relacionado con la seguridad puede describirse en términos de la pérdida o degradación de cualquiera de las siguientes tres metas de seguridad o de una combinación de ellas: — Integridad — Disponibilidad — Confidencialidad •Algunos impactos tangibles (por ejemplo, una pérdida de ganancias) pueden medirse en términos cuantitativos, donde otros (por ejemplo, pérdida de la confianza por parte del público) no pueden. 2.11.4 Valoración y análisis de impactos

Upload: claudia-acosta-paez

Post on 23-Jan-2016

216 views

Category:

Documents


0 download

Report

TRANSCRIPT

Information Risk Management and Compliance Chapter 2

El impacto adverso de un evento relacionado con la seguridad puede describirse en trminos de la prdida o degradacin de cualquiera de las siguientes tres metas de seguridad o de una combinacin de ellas: IntegridadDisponibilidadConfidencialidadAlgunos impactos tangibles (por ejemplo, una prdida de ganancias) pueden medirse en trminos cuantitativos, donde otros (por ejemplo, prdida de la confianza por parte del pblico) no pueden.2.11.4 Valoracin y anlisis de impactosCopyright 2013 ISACA. Todos los derechos reservados.1Pginas de Referencia del Manual de Preparacin al Examen: Pg. 124-125Determinar el RTO puede depender de varios factores:La necesidad cclica (diaria, semanal, mensual o anual) de la informacin y la organizacin.Las interdependencias entre la informacin y los requerimientos de la organizacin.El costo de las opciones disponibles.2.12 Tiempo objetivo de recuperacin

Copyright 2013 ISACA. Todos los derechos reservados.2Directivas para el Instructor: Subrayar el hecho de que tpicamente las actividades que tienen que ver con servicio al cliente en la operacin son una parte importante en la determinacin de los RTOs.

Contenidos a Enfatizar: La determinacin de un RTO puede depender de un nmero de factores incluyendo la necesidad cclica (hora, semana, mes o ao) de la informacin y la organizacin, interdependencias de la informacin y los requisitos de la organizacin.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 126

Los requerimientos de la organizacin pueden estar basados en:Necesidades de los clientes.Obligaciones contractuales.Acuerdos de niveles de servicio.Requerimientos regulatorios.2.12 Tiempo objetivo de recuperacin

Copyright 2013 ISACA. Todos los derechos reservados.3Directivas para el Instructor:

Contenidos a Enfatizar:Los requerimientos de la organizacin se basan en las necesidades del cliente, los acuerdos de niveles de servicio o SLAs y, posiblemente, los requerimientos regulatorios. El gerente de seguridad de la informacin debe considerar que el RTO puede variar dependiendo del momento del mes o ao. La informacin financiera podra no ser tan crtica al inicio del mes cuando acaba de comenzar un nuevo mes fiscal. Esta misma informacin ser altamente crtica al final del mes cuando se estn preparando los informes financieros mensuales y se est cerrando el perodo contable. Ser necesario tener en cuenta el momento especfico en que ocurren los ciclos de negocio y su dependencia de la informacin como parte de la clasificacin de informacin.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 126

A menudo se tienen dos perspectivas para el RTO, que el Gerente de Seguridad de Informacin debe considerar:La de las personas cuyo trabajo es utilizar la informacin.La de la Alta Direccin, la cual considera los costos y probablemente decida entre las unidades de negocio que compiten por los recursos.2.12 Tiempo objetivo de recuperacin

Copyright 2013 ISACA. Todos los derechos reservados.4Directivas para el Instructor:

Contenidos a Enfatizar:Con el proceso de evaluacin de riesgo el gerente de seguridad de informacin ha determinado la criticidad de los varios recursos de informacin. Ahora un RTO debe ser incluido para cada fragmento de informacin. A menudo, se tienen dos perspectivas para el RTO. Una es la perspectiva del individuo cuyo trabajo es utilizar la informacin, y la otra es la opinin de la alta direccin. Un recurso de informacin que un supervisor divisional puede creer es crtico, puede no ser crtico a los ojos del gerente de operaciones, quien puede incluir el riesgo de organizacin total en la evaluacin de RTO. El gerente de seguridad de informacin debe entender que ambas perspectivas son importantes y trabajar hacia un RTO que considere ambas perspectivas.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 126

2.12.1 El RTO y su relacin con losobjetivos y procesos de los Planes de Continuidad del Negocio y de ContingenciaLos RTOs son necesarios para identificar y desarrollar estrategias de contingencia.Generalmente, RTOs ms cortos requieren procedimientos de contingencia ms costosos.Existe un punto de equilibrio del tiempo para determinar el RTO, en el que el impacto que tiene una interrupcin comienza a ser mayor que el costo de la recuperacin.La mayora de las organizaciones pueden reducir sus RTO; no obstante, existe un costo relacionado con dicha reduccin.Copyright 2013 ISACA. Todos los derechos reservados.5Contenidos a Enfatizar: Es necesario que una organizacin conozca el RTO para los recursos de informacin a fin de que desarrolle e implemente un plan de continuidad del negocio efectivo (BCP). Una vez determinados los RTO, la organizacin puede identificar y desarrollar estrategias de contingencia que permitan alcanzar los RTO de los recursos de informacin. Una vez que se conoce el RTOs, la organizacin puede identificar y desarrollar las estrategias de la contingencia que reunirn el RTOs de los recursos de informacin.

Un factor crtico cuando se desarrollan los procesos de contingencia es el costo. Los dueos de los sistemas invariablemente prefieren los RTO que son ms cortos; sin embargo, el equilibrio en los costos puede no estar asegurado. Es posible lograr una recuperacin casi instantnea, cuando se necesita, mediante el uso de tecnologas como la rplica de datos en espejo (mirroring) de los recursos de informacin y la duplicacin de la informacin, de tal forma que, en caso de una interrupcin, los recursos de informacin siempre estn disponibles casi de inmediato. El costo de la recuperacin, por lo tanto, es generalmente menos costoso si el RTO para un recurso dado es ms largo.

Existe un punto de equilibrio del tiempo para determinar el RTO, en el que el impacto que tiene una interrupcin comienza a ser mayor que el costo de la recuperacin. La duracin depende de la naturaleza de la interrupcin del negocio y los recursos afectados. Deben tenerse en cuenta los temas tanto cualitativos como cuantitativos, ya que perder la confianza del cliente, aun si no puede calcularse, puede tener un impacto negativo a largo plazo para la organizacin. La mayora de las organizaciones pueden reducir sus RTOs, pero hay un costo asociado a alcanzar este objetivo.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 126.

2.12.1 El RTO y su relacin con losobjetivos y procesos de los Planes de Continuidad del Negocio y de ContingenciaEs necesario que una organizacin conozca el RTO para los recursos de informacin a fin de que desarrolle e implemente un plan de continuidad del negocio efectivo (BCP). Una vez determinados los RTO, la organizacin puede identificar y desarrollar estrategias de contingencia que permitan alcanzar los RTO de los recursos de informacin. Una vez que se conoce el RTOs, la organizacin puede identificar y desarrollar las estrategias de la contingencia que reunirn el RTOs de los recursos de informacin.

Un factor crtico cuando se desarrollan los procesos de contingencia es el costo. Los dueos de los sistemas invariablemente prefieren los RTO que son ms cortos; sin embargo, el equilibrio en los costos puede no estar asegurado. Es posible lograr una recuperacin casi instantnea, cuando se necesita, mediante el uso de tecnologas como la rplica de datos en espejo (mirroring) de los recursos de informacin y la duplicacin de la informacin, de tal forma que, en caso de una interrupcin, los recursos de informacin siempre estn disponibles casi de inmediato. El costo de la recuperacin, por lo tanto, es generalmente menos costoso si el RTO para un recurso dado es ms largo.

Copyright 2013 ISACA. Todos los derechos reservados.6Contenidos a Enfatizar: Es necesario que una organizacin conozca el RTO para los recursos de informacin a fin de que desarrolle e implemente un plan de continuidad del negocio efectivo (BCP). Una vez determinados los RTO, la organizacin puede identificar y desarrollar estrategias de contingencia que permitan alcanzar los RTO de los recursos de informacin. Una vez que se conoce el RTOs, la organizacin puede identificar y desarrollar las estrategias de la contingencia que reunirn el RTOs de los recursos de informacin.

Un factor crtico cuando se desarrollan los procesos de contingencia es el costo. Los dueos de los sistemas invariablemente prefieren los RTO que son ms cortos; sin embargo, el equilibrio en los costos puede no estar asegurado. Es posible lograr una recuperacin casi instantnea, cuando se necesita, mediante el uso de tecnologas como la rplica de datos en espejo (mirroring) de los recursos de informacin y la duplicacin de la informacin, de tal forma que, en caso de una interrupcin, los recursos de informacin siempre estn disponibles casi de inmediato. El costo de la recuperacin, por lo tanto, es generalmente menos costoso si el RTO para un recurso dado es ms largo.

Existe un punto de equilibrio del tiempo para determinar el RTO, en el que el impacto que tiene una interrupcin comienza a ser mayor que el costo de la recuperacin. La duracin depende de la naturaleza de la interrupcin del negocio y los recursos afectados. Deben tenerse en cuenta los temas tanto cualitativos como cuantitativos, ya que perder la confianza del cliente, aun si no puede calcularse, puede tener un impacto negativo a largo plazo para la organizacin. La mayora de las organizaciones pueden reducir sus RTOs, pero hay un costo asociado a alcanzar este objetivo.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 126.

2.12.1 El RTO y su relacin con losobjetivos y procesos de los Planes de Continuidad del Negocio y de ContingenciaExiste un punto de equilibrio del tiempo para determinar el RTO, en el que el impacto que tiene una interrupcin comienza a ser mayor que el costo de la recuperacin. La duracin depende de la naturaleza de la interrupcin del negocio y los recursos afectados. Deben tenerse en cuenta los temas tanto cualitativos como cuantitativos, ya que perder la confianza del cliente, aun si no puede calcularse, puede tener un impacto negativo a largo plazo para la organizacin. La mayora de las organizaciones pueden reducir sus RTOs, pero hay un costo asociado a alcanzar este objetivo.Copyright 2013 ISACA. Todos los derechos reservados.7Contenidos a Enfatizar: Es necesario que una organizacin conozca el RTO para los recursos de informacin a fin de que desarrolle e implemente un plan de continuidad del negocio efectivo (BCP). Una vez determinados los RTO, la organizacin puede identificar y desarrollar estrategias de contingencia que permitan alcanzar los RTO de los recursos de informacin. Una vez que se conoce el RTOs, la organizacin puede identificar y desarrollar las estrategias de la contingencia que reunirn el RTOs de los recursos de informacin.

Un factor crtico cuando se desarrollan los procesos de contingencia es el costo. Los dueos de los sistemas invariablemente prefieren los RTO que son ms cortos; sin embargo, el equilibrio en los costos puede no estar asegurado. Es posible lograr una recuperacin casi instantnea, cuando se necesita, mediante el uso de tecnologas como la rplica de datos en espejo (mirroring) de los recursos de informacin y la duplicacin de la informacin, de tal forma que, en caso de una interrupcin, los recursos de informacin siempre estn disponibles casi de inmediato. El costo de la recuperacin, por lo tanto, es generalmente menos costoso si el RTO para un recurso dado es ms largo.

Existe un punto de equilibrio del tiempo para determinar el RTO, en el que el impacto que tiene una interrupcin comienza a ser mayor que el costo de la recuperacin. La duracin depende de la naturaleza de la interrupcin del negocio y los recursos afectados. Deben tenerse en cuenta los temas tanto cualitativos como cuantitativos, ya que perder la confianza del cliente, aun si no puede calcularse, puede tener un impacto negativo a largo plazo para la organizacin. La mayora de las organizaciones pueden reducir sus RTOs, pero hay un costo asociado a alcanzar este objetivo.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 126.

2.12.2 Punto objetivo de recuperacinSe determina en base a la prdida aceptable de datos en caso de una interrupcin de las operaciones.RPO tendr un efecto en el logro de RTOs cortos.Copyright 2013 ISACA. Todos los derechos reservados.Pg. 126-12782.12.3 Objetivos de la prestacin de servicios (SDO)El nivel mnimo de servicio que se debe restaurar despus de un evento para cumplir con los requerimientos del negocio, hasta que se reinicien las operaciones normales.Los SDO afectarn los RTO y RPO, y deben considerarse para la estrategia de gestin de riesgos.Los niveles ms altos de servicios generalmente requerirn mayores recursos y RPOs ms actuales.Copyright 2013 ISACA. Todos los derechos reservados.Pg. 12792.12.4 Proveedores de servicios externosEn los acuerdos de tercerizacin (outsourcing) el Gerente de Seguridad de la Informacin debe asegurar:Que se realice una evaluacin de riesgos para el proceso que se externalizar.Que se realice un nivel adecuado de diligencia debida antes de firmar el contrato.Que existan clusulas adecuadas de gestin de riesgos de la informacin en el contrato de externalizacin.Que la organizacin tenga los controles y procesos adecuados para facilitar la externalizacin.Gestin diaria de los riesgos de informacin en procesos externalizados. Que se sealen los cambios materiales a la relacin y se realicen nuevas evaluaciones de riesgos si es necesario.Que se sigan procesos adecuados cuando las relaciones finalizan.

Copyright 2013 ISACA. Todos los derechos reservados.10Directivas para el Instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pgs. 127


Isaca Auditora de Riesgos de It v2

ISACA Valencia  · 2019-09-03 · Sobre ISACA Con casi 140.000 miembros en 180 países, la Information Systems Audit and Control Association (ISACA) es un líder global que provee

ISACA – Buenos Aires Chapter – ISACA - Presentación de … · 2020. 10. 14. · El logo de ISACA IBEROAMERICA es una marca de ISACA, objeto de uso bajo licencia El logotipo de

MMaarrccoo ddee RRiieessggooss ddee TTII - colmich.edu.mx · Directrices de gestión ... ISACA® Journal, y desarrolla estándares internacionales en control y auditoría de ... ISACA

COBIT5 ed il naufragio del VASA - Isaca Roma

Viii congreso isaca 2015 grc

Isaca ws-bcn-130604

ISACA oferta formativa

Que Hacer Ante Un Evento Adverso Durante

©Copyright 2013 ISACA. Todos los derechos reservados. Confianza y valor de los sistemas de información ISACA ®

Simposio ISACA · Puerto Rico 2018 · 2018. 12. 7. · Simposio ISACA · Puerto Rico 2018. 02 ISACA PUERTO RICO CHAPTER APOCALIPSIS CIBERNÉTICO: LA MADRE DE TODAS LAS BATALLAS DICE

CONSULTA EVENTO ADVERSO

Certificaciones Internacionales ISACA 07Sep2016 JSR

AUDITORÍA DE SEGURIDAD WEB - ISACA VALENCIA

Mejora continua en un SGSI - ISACA VALENCIA

LAS FRACTURAS COMO MARCADOR PREDICTIVO ADVERSO EN

Gestión Del Evento Adverso

Presentación isaca prezi

a) Evento Adverso

Resumen Ejecutivo. I.- Deberá describirse en un máximo de

ENCUENTRO El Conocimiento Personal, la Base de … · REFLEXIONES PERSONALES: Para describirse, reconocerse, describirse, nombrar dones y talentos, fragilidades. TRABAJOS DE GRUPOS

Implementación efectiva de un SGSI ISO 27001 - Isaca

Penetration Testing - ISACA

Isaca presentation

Presentación ISACA - Estudiantil

WmContentFile 1112464174800 CTX Isaca

ISACA ISSA Presentation

CIGRAS2012 (ISACA Montevideo) Seguridad y Negocio

Líder Reconocido en Auditoría, Seguridad y Gobierno de TI · 2018. 11. 27. · 18/11/2011 2 V Congreso ISACA Valencia ISACA CARACTERISTICAS DE ISACA – Organización Internacional

Guía del candidato para los exámenes de ISACA

Estudio del evento adverso

CSPO ISACA ISO27k presentation v.02

ISACA ISO 27K Presentation

Jornada ISACA-CV: Software libre (2 de 3)

DEFINICIÓN DE ZONAS DE ADVERSO …...DEFINICIÓN DE ZONAS DE ADVERSO METEOROLÓGICO Este documento tiene como propósito describir las zonas que pueden verse afectadas por un adverso