La tecnologia canvia constantment, però també la seva normativa.
Som experts en certificacions CISA, CISM, CGEIT i CRISC.
Un gran equip al teu abast.
Dins del marc de conferències de formació contínua, es va celebrar el passat 10 de juny 2014, a l'IL3, Institut de Formació Contínua - Universitat de Barcelona, una interessant xerrada sobre “Risk Optimization management inside IT Governance”. La Jornada va ser patrocinada per Deloitte , Auren , Innevis , Víntegris , Cloudjacket, ItAdvisory i Andornet i amb el suport institucional de Coettc, COEINF, Consejo General de Economistas, IAITG, ISMS, itSMF, UAB, ATI, Telecos.cat, CCJCC, CESICAT i l’Institut Municipal d’Informàtica Hàbitat Urbà - Ajuntament de Barcelona.
El Sr. Altafaja va anunciar que en primer lloc se celebrava l'Assemblea Ordinària conjuntament amb l’ Extraordinària i que tot seguit començaria la jornada de formació a càrrec del Sr. Ramiro Cid. El Sr. Altafaja va aprofitar per acomiadar-se com a President del capítol de Barcelona agraint a tots els membres de la Junta i del socis en general, el suport rebut durant la seva presidència. El Sr. Ramiro Cid, a començat la ponència contextualitzat el concepte de ‘Risk Apetite’ dins de les organitzacions donant una idea dels requisits que ha de complir l’organització per a tenir un major o menor predisposició al Risc, en funció de la seva cultura organitzacional en les TIC, així com en el seu grau de maduresa quant a la gestió del risc TIC es refereix. Un cop feta aquesta introducció ha fet un repàs ràpid sobre el concepte de preparació d’una auditoria, per després posar-la en el context d’una auditoria en un país que forma part de la seva organització on ha hagut un incident, que ha fet necessari que es planteges aquesta auditoria interna. Aquesta auditoria interna es durà a terme per membres de la mateixa organització, però de països d’arreu del món diferents del país on ha hagut l’incident.
En la planificació es va dur a terme un BIA (Business Impact Analysis) amb el suport de l’equip internacional, per classificar els impactes dels possibles incidents segons uns escenaris, i segons un temps d’aturada per l’incident. Això permetrà calcular la pèrdua en relació al valor de l’impacte i la pèrdua en relació al temps que l’actiu no està disponible. Un cop duta a terme un pla d’auditoria, l’auditoria mitjançant entrevistes, treballs in-situ, etc., es va recopilar i analitzar tota la informació per part de l’equip per fer un primer esborrany de l’informe amb els gaps (no conformitats) identificats, i es va lliurar l’esborrany a l’IS Manager per a la seva revisió i opinió. Finalment, va comentar què n’havien tret d’aquesta experiència des d’un punt de vista de millora per al país auditat.
1.- Cal una alineació correcta entre la seguretat TIC i el negoci. Això vol dir escoltar les àrees de negoci d’una forma transversal.
2.- Cal dotar a les àrees TIC, de recursos dedicats a al seguretat.
3.- Cal formar a les persones clau, en seguretat TIC.
4.- Calen sessions de sensibilització a tot el personal de la organització
Barcelona 10 de juny 2014
PDF Risk Optimization management inside IT Governance
https://isacabcn.org/index.php/ca/111-risk-optimization-management-inside-it-governance#sigFreeId2a21e172a0