Está en la página 1de 20

SEMANA 9

1. Qu es anlisis de riesgo?. Explique


ISO 27000 Definicin:
Anlisis de riesgos: Proceso para comprender la naturaleza del riesgo y para
determinar el nivel de riesgo

Es el estudio de las causas de las posibles amenazas y probables eventos no


deseados y los daos y consecuencias que stas puedan producir.

Habiendo ya identificado y clasificados los riesgos, pasamos a realizar el anlisis de


los mismos, es decir, se estudian la posibilidad y las consecuencias de cada factor
de riesgo con el fin de establecer el nivel de riesgo de nuestro proyecto. El anlisis
de los riesgos determinar cules son los factores de riesgo que potencialmente
tendran un mayor efecto sobre nuestro proyecto y, por lo tanto, deben ser
gestionados por el empleador con especial atencin.

2. Qu es evaluacin de riesgos?
ISO 27000 Definicin:
Evaluacin de riesgos: Proceso general de identificacin, anlisis y evaluacin de
riesgos.

La evaluacin de riesgos es una parte integral del Plan de Gestin de Riesgos, que
analiza la probabilidad, impacto, y efecto de todos los riesgos conocidos que pueden
afectar el proyecto, como tambin las acciones correctivas que deben llevarse a
cabo en caso que el riesgo llegara efectivamente a ocurrir.

3. Qu es tratamiento de riesgos?
ISO 27000 Definicin:
2.71. Tratamiento de riesgos: Proceso de seleccin e implementacin de las medidas
encaminadas a modificar los riesgos.

4. Qu opciones de tratamiento de riesgos manejamos?

5. Qu es vulnerabilidad?. Ejemplos
6. Que es una amenaza? . Ejemplos
7. Que es un control? . Tipos de controles? Ejemplos de controles (preventivo-
correctivo-de investigacin)

1. Control tcnico: Controles relacionados con el uso de medidas tcnicas o tecnologas tales como
cortafuegos, sistemas de alarma, cmaras de vigilancia, sistemas de deteccin de intrusos (IDS), etc.
2. Control administrativo: Los controles relacionados con la estructura organizativa, tales como la
separacin de funciones, rotacin de puestos de trabajo, descripciones de puestos, proceso de
aprobacin, etc.
3. Controles de gestin: Los controles relacionados con la gestin del personal, incluyendo la
formacin y entrenamiento del personal, exmenes de la gestin y auditoras.
4. Control legal: Controles relacionados con la aplicacin de una legislacin, requisitos
reglamentarios o las obligaciones contractuales.
8. Cul es la relacin entre amenaza y vulnerabilidad?. De dos ejemplo.
En s mismo, la presencia de una vulnerabilidad no produce dao, debe existir una amenaza
para explotarla. Una vulnerabilidad que no se corresponde con una amenaza puede no
requerir la puesta en marcha de un control, pero debe ser identificada y controlada en caso
de que se produzcan cambios.
Tener en cuenta que la aplicacin incorrecta, el uso o el mal funcionamiento de un control,
por s mismo, podran representar una amenaza. Un control puede ser eficaz o ineficaz en
funcin del entorno en el que opera. Por otro lado, una amenaza que no es vulnerable no
puede representar un riesgo.
SEMANA 10 (No hay preguntas)

1. Que es filosofia de Gestion de Riesgos?

Es el conjunto de valores y actitudes compartidas relacionadas con la forma en que


la entidad considera el riesgo en cada cosa que hace, desde la definicin de la
estrategia hasta las actividades del da a da.

2. Donde se refleja la filosofa de Gestin de Riesgos?

Esta filosofa se refleja en polticas, comunicaciones orales y escritas, y en el


proceso de toma de decisiones.

3. Que es apetito al riesgo?

El apetito al riesgo es la cantidad de riesgo que la entidad est dispuesta a aceptar


en su bsqueda de valor. De alguna manera, este apetito es el reflejo la filosofa de
gestin de riesgos e influencia la forma en que la entidad opera.

4. Como es considerado el apetito al riesgo por la entidades?

Cabe destacar que las entidades comienzan considerando el apetito al riesgo de una
forma cualitativa, o sea utilizando categoras como riesgo alto, riesgo medio y
riesgo bajo. Solamente cuando alcanzan un grado de madurez mayor, las
organizaciones suelen cambiar este enfoque cualitativo por uno cuantitativo.

5. Cuales son los beneficios de la Gestin de Riesgos?

La gestin de riesgos corporativos tampoco crea un ambiente sin riesgos. Lo que s


permite es operar mucho ms eficientemente en un ambiente colmado de riesgos.
Alinea el riesgo aceptado y la estrategia
Mejora las decisiones de respuesta a los riesgos
Reduce las sorpresas y las prdidas operativas
Identifica y gestiona la diversidad de riesgos para toda la entidad
Provee respuestas integradas a riesgos mltiples
Permite aprovechar las oportunidades
Racionaliza el capital

6. Cuales son los componentes de la Gestin de Riesgos?

Ambiente interno
Establecimiento de Objetivos
Identificacin de Eventos
Evaluacin de Riesgos
Respuesta a los Riesgos
Actividades de Control
Informacion y Comunicacion
Supervision

7. Que ISO tiene presente el pensamiento basado en riesgo? (Ejemplo)

El pensamiento basado en el riesgo siempre ha estado presente en ISO 9001 esta


revisin lo incorpora en la totalidad del sistema de gestin.

Ejemplo: Si deseo cruzar una calle miro el trfico antes de iniciar.


No me parar frente a un vehculo en movimiento.

El riesgo de usar el puente peatonal es que me puedo retrasar. La oportunidad de


usarlo es que existe menos chance de resultar lesionado por un vehculo.

8. Defina Riesgo y Peligro

Peligro: cualquier cosa que puede causar dao

Riesgo: La probabilidad de que alguien sea lesionado por el peligro

9. Cuales son los objetivos de la ley de seguridad y salud en el trabajo?

Promover una cultura de prevencin de riesgos laborales en el pas


Estado : Rol fiscalizador y de control
Empleador: Deber de prevencin
Trabajadores y sus organizaciones sindicales: Velar por la promocion, difusion y
cumplimiento de la normativa

10. Cuales son los principios de la ley de seguridad y salud en el trabajo?

Prevencin
Responsabilidad
Cooperacin
Informacion y capacitacion
Gestin integral
Atencin integral de la salud
Consulta y participacin
Principio de primaca de la realidad
Principio de proteccin

11. Definiciones de riesgo segn ISO 9001:2015

Un efecto es una desviacin de lo esperado positiva o negativa.


El riesgo se trata de lo que podra suceder y cul podra ser el efecto de este
suceso.
El riesgo tambin considera qu tan probable es. El objeto de un sistema de
gestin es lograr la conformidad y la satisfaccin del cliente.

12. Por qu usar el pensamiento Basado en Riesgo?

Al considerar el riesgo en toda la organizacin se mejora la probabilidad de lograr los


objetivos establecidos, el resultado es ms consistente y los clientes pueden confiar
en que recibirn el producto o servicio que esperan.

13. Cmo se operativiza el pensamiento Basado en Riesgo?

Use un enfoque dirigido por el riesgo en sus procesos organizacionales. Identifique


cules son SUS riesgos y oportunidades esto depende del contexto
Ejemplo:
Si cruzo una va congestionada con muchos vehculos que se mueven rpido, los
riesgos no son los mismos que si la va fuera pequea con pocos vehculos en
movimiento. Tambin es necesario considerar aspectos tales como clima, visibilidad,
movilidad personal y objetivos personales especficos.

14. Cmo considera la implementacin de un SGSI?

La implementacin de un Sistema de Gestin de Seguridad de la informacin es una


decisin estratgica que debe involucrar a toda la organizacin y que debe ser
apoyada y dirigida desde la direccin.

15. Ciclo DEMING


16. Para que sirva la CMM?

17. Defina ISO/IEC 27005

Es el estndar internacional que se ocupa de la gestin de riesgos de seguridad de


la informacin, la norma suministra directrices para la gestin de riesgos y es
aplicable a todo tipo de organizaciones que tengan la intencin de gestionar los
riesgos que puedan complicar la seguridad de la informacin

18. Defina ISO 31000

La ISO 31000 es una norma internacional que ofrece las directrices y principios para
gestionar el riesgo de las organizaciones.
19. Ciclo de vida de los documentos

Creacin
Identificacin
Clasificacin y seguridad
Modificacin
Aprobacin
Distribucin
Uso adecuado
Archivado
Disposicin

20. Cuales son los documentos necesarios en la implementacin de la ISO


27001?

Alcance del SGSI


Polticas y objetivos de la seguridad de informacin
Metodologia de evaluacion y tratamiento de riesgos
Declaracin de aplicabilidad
Plan de tratamiento del riesgo
Informe de evaluacin de riesgos
Definicin de funciones y responsabilidades de seguridad
Inventario de activos
Uso aceptable de los activos
Poltica de control de acceso
Procedimiento operativos para la gestin de TI
Principios de ingeniera para sistema seguro
Poltica de seguridad para proveedores
Procedimientos para gestin de incidentes
Procedimientos de la continuidad del negocio
Requisitos legales, normativos y contractuales

21. Cuales son los registros necesarios?

Registro de capacitacin, habilidades, experiencia y calificaciones


Resultados de Supervisin y medicin
Programa de auditora interna
Resultados de las auditoras internas
Resultados de la revisin por parte de la direccion
Resultados de las acciones correctivas
Registros sobre actividades de los usuarios, excepciones y eventos de
seguridad
SEMANA 11

1. Qu es Control Interno?
Es el conjunto de planes, mtodos, procedimientos y otras medidas de una
institucin, establecidos por la autoridad superior, diseados con el objeto de
proporcionar un grado de seguridad razonable en cuanto a la consecucin de los
objetivos.

2. Qu es COSO?

El Informe COSO es un documento que contiene las principales directivas para la


implantacin, gestin y control de un sistema de control. (COSO: Committee of
Sponsoring Organizations of the Treadway Commission)

3. Para qu sirve COSO y cules es son caractersticas?


Es un proceso efectuado por el consejo de administracin, la direccin y el resto del personal
de una entidad, diseado con el objeto de proporcionar un grado de seguridad razonable en
cuanto a la consecucin de objetivos dentro de las siguientes categoras:
Eficacia y eficiencia de las operaciones

Fiabilidad de la informacin financiera

Cumplimiento de la leyes y normas que sean aplicables


Caractersticas

Medio para alcanzar un fin, no un fin en s mismo.


No es un evento o circunstancia sino una serie de acciones que permean en
las actividades de la organizacin.
Forma parte de los procesos bsicos de la administracin-planeacin
ejecucin y monitoreo y se encuentra integrado en ellos
Los controles deben construirse Dentro de la infraestructura de la
organizacin y no Sobre ella.
Es efectuado por personas.
No es solamente un conjunto de manuales de polticas y procedimientos, sino
son personas en cada nivel de la organizacin.
Es ejecutado por la gente de una organizacin a travs de lo que hace y dice.
La gente disea los objetivos de la Entidad y establece los mecanismos de
control.
No existe sistema infalible, ningn sistema har por siempre lo que se espera
que haga. No importa lo bien diseado y operado que sea un sistema de
control; lo ms que puede esperarse es que proporcione seguridad razonable.

4. Cules son los componentes de COSO?


Los 8 componentes del coso:
1. Ambiente Interno
2. Establecimiento de objetivos
3. Identificacin de eventos
4. Evaluacin de riesgos
5. Respuesta al riesgo
6. Actividades de Control
7. Informacion y comunicacion
8. Monitoreo

SEMANA 12
1. Qu es un Plan de Continuidad del Negocio (BCP)?. Explique.

Procedimientos documentados que conducen a las organizaciones a responder,


recuperar, reanudar y restaurar el nivel de operacin predefinido despus de una
interrupcin.
Conjunto formado por planes de actuacin, planes de emergencia, planes
financieros, planes de comunicacin y planes de contingencias destinados a mitigar
el impacto provocado por la concrecin de determinados riesgos sobre la
informacin y los procesos de negocio de una compaa.

2. Que es la ISO 22301:2012 Seguridad de la sociedad Sistemas de gestin de


la continuidad del negocio Requisitos?. Explique al respecto.

Es el nuevo estndar global para gestionar la continuidad del negocio en una


organizacin.
La norma ISO 22301 especifica los requisitos para un sistema de gestin encargado
de proteger a su empresa de incidentes que provoquen una interrupcin en la
actividad, reducir la probabilidad de que se produzcan y garantizar la recuperacin
de su empresa.

3. Qu relacin hay entre las ISOS 27001 y 22301?. Explique


4. Qu es un evento, una interrupcin, un incidente, una crisis, un desastre, una
emergencia?

evento: situacin que puede afectar significativamente la reputacin,


seguridad de los colaboradores o clientes la empresa, continuidad del
negocio.
interrupcin: Suspensin de alguna actividad, un proceso o un estado.
incidente: situacin que podra provocar o conducir a una interrupcin, una
prdida, una emergencia o una crisis.
crisis: es un evento que ocasiona o amenaza con ocasionar, un efecto
negativo y grave en la integridad de las personas, operacin de los procesos
del negocio, los resultados financieros y/o la reputacin del banco, afectando
el cumplimiento de sus objetivos estratgicos.
desastre: evento calamitoso, repentino o previsible, que trastorna seriamente
el funcionamiento de una comunidad o sociedad y causa prdidas humanas,
materiales, econmicas o ambientales que desbordan la capacidad de la
comunidad o sociedad afectada para hacer frente a la situacin a travs de
sus propios recursos.
emergencia: accidente o suceso que acontece de manera absolutamente
imprevista.

5. Qu es un Plan de Recuperacin de Desastres (DRP)?


Es un proceso documentado o conjunto de procedimientos o acciones para
recuperar y proteger la infraestructura de TI de una organizacin en caso de un
desastre .

6. Qu es Plan de Respuesta ante Emergencias (ERP)?

Es un conjunto de actividades y procedimientos aprobados con el objetivo estructurar


y organizar los recursos humanos y los medios de seguridad disponibles de la
organizacin, con el fin de preparar a todo el personal a reaccionar en forma rpida,
eficaz, oportuna y coordinadamente en los primeros momentos que se presente una
emergencia, hasta que lleguen los servicios de ayuda exterior.

7. Qu es un Plan de Gestin de Crisis (CMP)?

Es un documento que describe los procesos que una empresa utilizar para
responder a una situacin crtica que afectara negativamente la rentabilidad, la
reputacin o la capacidad de operar de una organizacin.

SEMANA 13

1. Que es un Plan de Contingencias?. Para qu sirve?

Un plan de contingencia es un conjunto de procedimientos alternativos a la


operatividad normal de cada institucin. Sirve para minimizar los posibles riesgos
que pueden afectar negativamente a una actividad.

2. Cul es la importancia de un PC?. Explique

Permite una respuesta rpida en caso de incidentes, accidentes o estados de


emergencia

3. Que es una estrategia de escenarios?

Analizar las diferentes opciones que puede encontrarse una organizacin a la hora
de enfrentar un problema o situacin.

4. Por qu un PC debe actualizarse peridicamente?

Porque los riesgos varan, pueden surgir nuevas emergencias.


5. Qu diferencia hay entre un Plan de Continuidad del Negocio (PCN) y un Plan
de Contingencias (PC)?

Un plan de continuidad realmente incluye un plan de contingencias desde el punto


de vista que el plan de contingencias es utilizado nicamente cuando ya se ha cado
en un desastre mientras que el plan de continuidad aparte de tener medidas en caso
de desastre tambin analiza las vulnerabilidades y desarrollar contramedidas para
mitigar dichas vulnerabilidades, dicho en otras palabras el plan de continuidad no
solo es curativo como el plan de contingencias sino que tambin es preventivo.

6. Que es la ISO 22320?

Es una norma internacional de Sistemas de Gestin de Emergencias y Respuesta


ante Incidentes que permite a organizaciones pblicas y privadas desarrollar y
mejorar sus capacidades de respuestas ante todo tipo de emergencias y de
cualquier dimensin, tanto local como supranacional.

SEMANA 14
1. Que es COBIT?

COBIT es un marco de gobierno de las tecnologas de informacin que proporciona


una serie de herramientas para que la gerencia pueda conectar los requerimientos
de control con los aspectos tcnicos y los riesgos del negocio.

COBIT permite el desarrollo de las polticas y buenas prcticas para el control de las
tecnologas en toda la organizacin.

COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a


incrementar su valor a travs de las tecnologas, y permite su alineamiento con los
objetivos del negocio.

2. Cuntos procesos tiene COBIT?

Tiene 34 procesos

3. Que marcos referenciales de ISACA integra COBIT?

Val IT es un marco de referencia de gobierno que incluye principios rectores


generalmente aceptados y procesos de soporte relativos a la evaluacin y
seleccin de inversiones de negocios de TI.
Risk IT es un marco de referencia normativo basado en un conjunto de
principios rectores para una gestin efectiva de riesgos de TI.
BMIS (Business Model for Information Security) una aproximacin holstica y
orientada al negocio para la administracin de la seguridad informtica
ITAF (IT Assurance Framework) un marco para el diseo, la ejecucin y
reporte de auditoras de TI y de tareas de evaluacin de cumplimiento.

4. Cuales son los 5 principios del COBIT? Explique

Satisfacer las necesidades de las partes interesadas: Las empresas


existen para crear valor a sus Stakeholders. Esto se logra manteniendo un
balance entre los objetivos de negocio, la optimizacin de los riesgos que
puedan existir y el uso de recursos dentro de la organizacin.
Cubrir la organizacin de forma integral: COBIT 5 cubre todas las
funciones y procesos dentro de la empresa. No solo se enfoca en la parte de
TI, sino que trata a la informacin y a la tecnologa como activos que
necesitan ser tratados como otro cualquier activo dentro de la empresa.
Aplicar un solo marco integrado: Hay varios estndares relacionados a las
tecnologas de informacin y sus buenas prcticas. COBIT 5 se alinea con
estos estndares y frameworks en un alto nivel y puede ser utilizado como un
marco contenedor de todos estos.
Habilitar un enfoque holstico: COBIT 5 define un conjunto de habilitadores
para dar soporte a la implementacin de un gobierno y una gestin
comprensiva de TI. Estos habilitadores son definidos como cualquier cosa
que pueda ayudar a alcanzar los objetivos de negocio de la organizacin.
Separar el gobierno de la administracin: COBIT 5 hace una clara
distincin entre gobierno y gestin. Estas dos disciplinas tienen diferentes
tipos de actividades, requieren distintas estructuras organizacionales y sirve
para diferentes propsitos.

5. Qu temas cubre la guia de implementacion?

Posicionar al Gobierno de IT dentro de la organizacin


Tomar los primeros pasos hacia un Gobierno de IT superador
Desafos de implementacin y factores de xitos
Facilitar la gestin del cambio
Implementar la mejora continua
La utilizacin del COBIT 5 y sus componentes

6. Cuales son los beneficios al utilizar COBIT 5?

Incremento de la creacin de valor a travs un gobierno y gestin efectiva de


la informacin y de los activos tecnolgicos. La funcin de TI se vuelve mas
enfocada al negocio.
Incremento de la satisfaccin del usuario con el compromiso de TI y sus
servicios prestados TI es visto como facilitador clave.
Incremento del nivel de cumplimiento con las leyes regulaciones y polticas
relevantes.
Las personas que participan son ms proactivas en la creacin de valor a
partir de la gestin de TI.

7. Explique Procesos de Gobierno y Procesos de Gestin


Procesos de Gobierno: Permite que las mltiples partes interesadas tengan
una lectura organizada del anlisis de opciones, identificacion del norte a
seguir y la supervisin del cumplimiento y avance de los planes establecidos
Procesos de Gestin: Utilizacin prudente de medios (recursos, personas,
procesos, prcticas) para lograr un fin especfico

8. Cuales son los procesos de auditora?

Establecer los objetivos del programa de auditora


Establecer el programa de auditora
Implementacin del programa de auditora
Monitorear el programa de auditora
Revisar y mejorar el programa de auditora

9. Cmo y cundo se debe controlar y medir ?

Es la organizacin quien determina cmo controlar, medir y con qu frecuencia, la


norma no lo indica sin embargo es una buena prctica el utilizar tableros.

10. Que es una auditora?

Proceso sistemtico, independiente y documentado para obtener evidencia de


auditora y evaluarla para determinar en qu medida cumple los criterios de
auditora.

11. Tipos de auditoria


12. Cuales son los principales servicios y actividades de la Auditora Interna ?

Evaluacin de los objetivos del sistema de gestin


Evaluacin de la gestin del sistema de gestin
Evaluacin de la gestin de riesgos
Evaluacin de la eficacia y la eficiencia de los procesos y controles de
seguridad
Evaluacin de la eficacia y la eficiencia de la gestin del ciclo de vida del
sistema de gestin
Evaluacin de la medicin y la revisin del sistema de gestin
Evaluacin de la mejora continua
La coordinacin entre las auditoras internas y externas

13. Cuales son las directrices para auditar sistemas de gestin?

14. Diferencias entre auditora interna y externa


15. Actividades de una auditora

16. Defina no conformidad

De acuerdo con la definicin de la norma ISO 9000:2005, una no conformidad es el


no cumplimienot de un requisito

17. Qu elementos incluyen la documentacin de una no conformidad?

Evidencias que respaldan los hallazgos


Descripcin de los requisitos por los que se detect la no conformidad
Informe de no conformidad
18. Diagrama causa y efecto

19. Defina mejora continua

La mejora continua es un proceso de aumento de la eficacia y la eficiencia de la


organizacin para cumplir con sus polticas y objetivos

20.

FIJAS
Que es Ciberseguridad?
La seguridad informtica, tambin conocida como ciberseguridad o seguridad de
tecnologas de la informacin, es el rea relacionada con la informtica y la
telemtica que se enfoca en la proteccin de la infraestructura computacional y todo
lo relacionado con esta y, especialmente, la informacin contenida en una
computadora o circulante a travs de las redes de computadoras. 1 Para ello
existen una serie de estndares, protocolos, mtodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura o a la
informacin.