Dentro del marco de conferencias de formación continua, se celebró el pasado 10 de junio 2014, en el IL3, Instituto de Formación Continua - Universitat de Barcelona, una interesante charla sobre "Risk Optimization management inside IT Governance". La Jornada fué patrocinada por Deloitte , Auren , Innevis , Víntegris , Cloudjacket, ItAdvisory y Andornet y con el suporte institucional de Coettc, COEINF, Consejo General de Economistas, IAITG, ISMS, itSMF, UAB, ATI, Telecos.cat, CCJCC, CESICAT i l’Institut Municipal d’Informàtica Hàbitat Urbà - Ajuntament de Barcelona.

El Sr. Altafaja anunció que en primer lugar se celebraba la Asamblea Ordinaria conjuntamente con la Extraordinaria y que a continuación comenzaría la jornada de formación a cargo del Sr. Ramiro Cid. El Sr. Altafaja aprovechó para despedirse como Presidente del capítulo de Barcelona agradeciendo a todos los miembros de la Junta y de los socios en general, el apoyo recibido durante su presidencia. El Sr. Ramiro Cid, ha comenzado la ponencia contextualizado el concepto de 'Risk Apetite' dentro de las organizaciones dando una idea de los requisitos que debe cumplir la organización para tener un mayor o menor predisposición al riesgo, en función de su cultura organizacional en las TIC, así como en su grado de madurez en cuanto a la gestión del riesgo TIC se refiere. Una vez hecha esta introducción ha hecho un repaso rápido sobre el concepto de preparación de una auditoría, para luego ponerla en el contexto de una auditoría en un país que forma parte de su organización donde ha habido un incidente, que ha hecho necesario que se planteas esta auditoría interna. Esta auditoría interna se llevará a cabo por miembros de la misma organización, pero de países de todo el mundo diferentes del país donde ha habido el incidente.

En la planificación se llevó a cabo un BIA (Business Impact Analysis) con el apoyo del equipo internacional, para clasificar los impactos de los posibles incidentes según unos escenarios, y según un tiempo de parada por el incidente. Esto permitirá calcular la pérdida en relación al valor del impacto y la pérdida en relación al tiempo que el activo no está disponible. Una vez llevada a cabo un plan de auditoría, la auditoría mediante entrevistas, trabajos in-situ, etc., Se recopiló y analizó toda la información por parte del equipo para hacer un primer borrador del informe con los gaps (no conformidades) identificados, y se entregó el borrador al IS Manager para su revisión y opinión. Finalmente, comentó que habían sacado de esta experiencia desde un punto de vista de mejora para el país auditado.

1.- Hay una alineación correcta entre la seguridad TIC y el negocio. Esto quiere decir escuchar las áreas de negocio de una forma transversal.
2.- Hay que dotar a las áreas TIC, de recursos dedicados a seguridad.
3.- Hay que formar a las personas clave, en seguridad TIC.
4.- Se necesitan sesiones de sensibilización a todo el personal de la organización.

Barcelona 10 de junio 2014

PDF Risk Optimization management inside IT Governance

• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
•